Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=MicrosoftIntegrations

Integrações Microsoft 365

API Produtividade

Você pode integrar softwares e serviços da Microsoft ao Sophos Central.

Configurar integrações

Para configurar uma integração, clique em Centro de Análise de Ameaças > Integrações > Marketplace e clique no nome da integração.

Para obter detalhes sobre como configurar cada integração, consulte as páginas:

Como funcionam as integrações

A plataforma Sophos XDR integra-se à Microsoft usando a API do Microsoft Management Activity e a API do Microsoft Graph Security. A Sophos usa ambas as APIs de forma independente para detectar ameaças no ambiente Microsoft 365.

Atividade de gerenciamento do M365

Usando a API de Atividade de Gerenciamento, a plataforma Sophos XDR ingere logs de auditoria do ambiente Microsoft 365. A Sophos usa esses logs de auditoria para a detecção de ameaças e para coletar informações adicionais para apoiar os analistas durante uma investigação. Esses logs de auditoria estão disponíveis para todos os clientes do Microsoft 365, independentemente do licenciamento usado em seu ambiente.

A API de Atividade de Gerenciamento fornece acesso aos logs de auditoria do M365, incluindo logs das seguintes atividades:

  • Acesso a arquivos e pastas, downloads, edições e exclusões
  • Compartilhamento de atividades
  • Alterações nas configurações
  • Inícios de sessão do usuário
  • Ações administrativas, como alterações nas configurações do locatário

A equipe de engenharia de detecção da Sophos cria regularmente regras de detecção com base nesses logs de auditoria da Microsoft. Essas regras de detecção permitem que os analistas investiguem cenários que podem indicar comprometimento de contas ou comprometimento de e-mails corporativos (BEC). Os indicadores de exemplo incluem manipulação de regras de caixa de entrada, roubo de token de sessão, ataques Man-in-the-Middle, consentimento de aplicativos maliciosos e muito mais.

Você pode ver as detecções do M365 com base no Sophos no seu ambiente acessando a página Detecções no Centro de Análise de Ameaças. As detecções são rotuladas como SAAS-M365-xxxxx e estão incluídas na categoria "Plataforma". Você pode filtrar usando essa categoria, como mostra o exemplo abaixo:

Uma detecção do tipo SAAS-M365.

Com os logs de auditoria da API de Atividade de Gerenciamento da Microsoft armazenados no Sophos Data Lake, os analistas podem utilizá-los ao investigar incidentes em um ambiente. Por exemplo, os logins de um usuário podem ser revisados para confirmar ou identificar eventos de login suspeitos ou para investigar a atividade da conta no ambiente do Microsoft 365 quando a conta foi comprometida.

Para obter mais informações sobre quais dados a Microsoft fornece por meio da API de Atividade de Gerenciamento, consulte Atividades do log de auditoria.

Ações de resposta do M365

Você pode integrar o Microsoft 365 Response Actions ao Sophos Central. Isso permite que você tome medidas para resolver problemas detectados em dados enviados para a Sophos pela integração da Atividade de Gerenciamento do M365.

Na seção Casos do Centro de Análise de Ameaças do Sophos Central, você poderá examinar a detecção e executar as seguintes ações:

  • Bloquear ou permitir o logon de usuário. Isso ajuda a interromper o acesso não autorizado aos seus sistemas.
  • Desconectar ou revogar todas as sessões atuais. Ajuda a isolar contas comprometidas e interromper movimentos laterais das ameaças.
  • Desativar as regras da caixa de entrada do usuário. Isso ajuda a impedir o encaminhamento malicioso de e-mails confidenciais, táticas de evasão de segurança, exclusão de evidências e muito mais.

Para obter informações sobre como funcionam os casos, consulte Casos. Para obter informações sobre ações de resposta, consulte Responder a casos.

API de segurança do MS Graph (Legacy)

Essa integração é para o serviço de alertas herdados do MS Graph. Uma integração está agora disponível para o serviço Alertas v2 (Alertas e Incidentes) mais recente. Consulte Integração da API de segurança do MS Graph V2.

Usando a API de segurança do MS Graph, a Sophos ingere eventos de detecção gerados pela Microsoft, com base na telemetria observada no ecossistema da Microsoft. Dependendo da gravidade desses eventos de detecção da Microsoft, são criados casos para que os analistas investiguem e respondam.

Os componentes, ou "provedores", que geram eventos de detecção para a API de segurança do Graph são os seguintes:

  • Entra ID Protection
  • Defender for Office 365
  • Defender for Endpoint
  • Defender for Identity
  • Defender for Cloud Apps
  • Defender for Cloud
  • Microsoft Sentinel

Você pode ver eventos de detecção recebidos pela API de segurança do Microsoft Graph na página Detecções no Sophos Central. As detecções são rotuladas MS-SEC-GRAPH-xxxxx, como visto neste exemplo:

Detecções do tipo MS-SEC-GRAPH.

Os eventos específicos de detecção da Microsoft gerados por esses produtos e disponíveis para ingestão por meio da API de segurança do Graph dependem do licenciamento do Microsoft 365 usado no ambiente. Isso pode incluir o plano individual por usuário e quaisquer complementos ou pacotes adicionais adicionados aos usuários ou à locação do Microsoft 365.

Recomendamos que você consulte o seu especialista em licenciamento do Microsoft 365 para compreender quais fornecedores, eventos de detecção e alertas estão incluídos em cada plano, complemento ou pacote. No entanto, podemos fornecer a seguinte orientação:

  • O plano E5 do Microsoft 365 ou o complemento de segurança E5 inclui todos os eventos de detecção da Microsoft que são utilizados para criar casos a serem investigados.
  • Para alertas de identidade baseados no Entra ID Protection, você precisa dos planos P2 do Entra ID (incluídos com os planos E5 mencionados acima).
  • Para outros componentes, consulte seu especialista em licenciamento da Microsoft para entender quais pacotes da Microsoft ou SKUs individuais você precisa para acessar esses componentes e seus eventos de detecção do Graph Security.

Para obter mais informações sobre a API de segurança do Graph e alertas gerados por provedores específicos, consulte Alertas e incidentes.

API de segurança do MS Graph V2

Essa integração é para o serviço Alerts v2 (Incidentes e Alertas) da API de segurança do MS Graph. Recomendamos que você a use.

Para obter uma visão geral, consulte Integração da API de segurança do MS Graph V2.