Integrações Microsoft 365
Você pode integrar softwares e serviços da Microsoft ao Sophos Central.
Configurar integrações
Para configurar uma integração, clique em Centro de Análise de Ameaças > Integrações > Marketplace e clique no nome da integração.
Para obter detalhes sobre como configurar cada integração, consulte as páginas:
- Microsoft 365 Management Activity
- API de segurança do MS Graph (Legacy)
- API de segurança do MS Graph V2
Como funcionam as integrações
A plataforma Sophos XDR integra-se à Microsoft usando a API do Microsoft Management Activity e a API do Microsoft Graph Security. A Sophos usa ambas as APIs de forma independente para detectar ameaças no ambiente Microsoft 365.
Atividade de gerenciamento do M365
Usando a API de Atividade de gerenciamento, a plataforma Sophos XDR ingere eventos brutos que ocorrem no ambiente Microsoft 365. A Sophos usa esses eventos para a detecção de ameaças e para coletar informações adicionais para apoiar os analistas durante uma investigação. Esses eventos brutos estão disponíveis para todos os clientes do Microsoft 365, independentemente do licenciamento usado em seu ambiente.
A equipe de engenharia de detecção da Sophos cria regularmente regras de detecção com base nesses eventos brutos da Microsoft. Essas regras permitem que os analistas investiguem cenários que podem indicar comprometimento de contas ou comprometimento de e-mails corporativos (BEC). Os indicadores de exemplo incluem manipulação de regras de caixa de entrada, roubo de token de sessão, ataques Man-in-the-Middle, consentimento de aplicativos maliciosos e muito mais.
Você pode ver detecções baseadas na Sophos na página Detecções no Sophos Central. As detecções são rotuladas como SAAS-M365-xxxxx e têm o tipo de detecção "compound_detections", como mostra este exemplo:
Com os eventos da API de Atividade de Gerenciamento da Microsoft armazenados no Sophos Data Lake, os analistas podem usar esses logs ao investigar um ambiente. Por exemplo, os logins de um usuário podem ser revisados para confirmar ou identificar eventos de login suspeitos ou para revisar a atividade da conta no ambiente do Microsoft 365 quando a conta foi comprometida.
Para obter mais informações sobre quais dados a Microsoft fornece por meio da API de Atividade de Gerenciamento, consulte Visão geral das APIs de Gerenciamento do Office 365.
API de segurança do MS Graph (Legacy)
Essa integração é para o serviço de alertas herdados do MS Graph. Uma integração está agora disponível para o serviço Alertas v2 (Alertas e Incidentes) mais recente. Consulte Integração da API de segurança do MS Graph V2.
Usando a API de segurança do MS Graph, a Sophos ingere eventos de detecção gerados pela Microsoft, com base na telemetria observada no ecossistema da Microsoft. Dependendo da gravidade desses eventos de detecção da Microsoft, são criados casos para que os analistas investiguem e respondam.
Os componentes, ou "provedores", que geram eventos de detecção para a API de segurança do Graph são os seguintes:
- Entra ID Protection
- Defender for Office 365
- Defender for Endpoint
- Defender for Identity
- Defender for Cloud Apps
- Defender for Cloud
- Microsoft Sentinel
Você pode ver eventos de detecção recebidos pela API de segurança do Microsoft Graph na página Detecções no Sophos Central. As detecções são rotuladas MS-SEC-GRAPH-xxxxx, como visto neste exemplo:
Os eventos específicos de detecção da Microsoft gerados por esses produtos e disponíveis para ingestão por meio da API de segurança do Graph dependem do licenciamento do Microsoft 365 usado no ambiente. Isso pode incluir o plano individual por usuário e quaisquer complementos ou pacotes adicionais adicionados aos usuários ou à locação do Microsoft 365.
Recomendamos que você consulte o seu especialista em licenciamento do Microsoft 365 para compreender quais fornecedores, eventos de detecção e alertas estão incluídos em cada plano, complemento ou pacote. No entanto, podemos fornecer a seguinte orientação:
- O plano E5 do Microsoft 365 ou o complemento de segurança E5 inclui todos os eventos de detecção da Microsoft que são utilizados para criar casos a serem investigados.
- Para alertas de identidade baseados no Entra ID Protection, você precisa dos planos P2 do Entra ID (incluídos com os planos E5 mencionados acima).
- Para outros componentes, consulte seu especialista em licenciamento da Microsoft para entender quais pacotes da Microsoft ou SKUs individuais você precisa para acessar esses componentes e seus eventos de detecção do Graph Security.
Para obter mais informações sobre a API de segurança do Graph e alertas gerados por provedores específicos, consulte Alertas e incidentes.
API de segurança do MS Graph V2
Essa integração é para o serviço Alerts v2 (Incidentes e Alertas) da API de segurança do MS Graph. Recomendamos que você a use.
Para obter uma visão geral, consulte Integração da API de segurança do MS Graph V2.