Microsoft 整合
您可以將 Microsoft 軟體和服務與 Sophos Central 整合。
已設定的整合
若要設定整合,請按一下威脅分析中心 > 整合 > 市場,然後按一下整合名稱。
有關如何設定每項整合的詳細資料,請參見以下頁面:
限制的運作方式
Sophos XDR平臺使用Microsoft Management Activity API和Microsoft Graph Security API與Microsoft集成。Sophos獨立使用這兩個API來檢測Microsoft 365環境中的威脅。
M365管理活動
Sophos XDR平臺使用管理活動API收集Microsoft 365環境中發生的原始事件。Sophos將這些事件用於威脅檢測,並在調查期間爲分析人員收集其他支援資訊。這些原始事件適用於所有Microsoft 365客戶,無論其環境中使用的許可如何。
Sophos檢測工程團隊定期根據Microsoft提供的這些原始事件創建檢測規則。這些規則允許分析人員調查可能表明帳戶泄露或業務電子郵件泄露(BEC)的情形。示例指標包括收件箱規則操縱,會話令牌盜竊,中間人攻擊,惡意應用程式同意等。
您可以在 **** Sophos Central的"檢測"頁面上看到基於Sophos的檢測。檢測標記爲SAS-M365-xxxxx,並具有檢測類型"compound_detects",如下例所示:
使用存儲在Sophos Data Lake中的Microsoft管理活動API事件,分析人員可以在環境中進行調查時使用這些日誌。例如,可以檢查用戶的登入以確認或識別可疑的登入事件,或者在帳戶被泄露時查看Microsoft 365環境中的帳戶活動。
有關Microsoft通過管理活動API提供哪些數據的詳細資訊,請參閱 Office 365管理API概述。
MS Graph Security
使用圖形安全API,Sophos根據Microsoft生態系統中觀察到的遙測數據採集Microsoft生成的檢測事件。根據這些Microsoft檢測事件的嚴重程度,創建案例供分析人員調查和響應。
生成圖形安全API檢測事件的組件(或"提供程序")如下所示:
- Entra ID保護
- 適用於Office 365的Defender
- Defender for Endpoint
- Defender for Identity
- Microsoft Defender for Cloud Apps
- Defender for Cloud
- Microsoft Sentinel
您可以在 **** Sophos Central的"檢測"頁面上看到Microsoft圖形安全API接收到的檢測事件。檢測結果標記爲MS-SEC-GRAPH-xxxxx,如下例所示:
這些產品生成並可通過Graph Security API獲取的特定Microsoft檢測事件取決於環境中使用的Microsoft 365許可。這可以包括單個每用戶計劃,以及添加到用戶或Microsoft 365租賃中的任何其他載入項或捆綁包。
我們建議您諮詢Microsoft 365授權專家,瞭解每個計劃,附加元件或套件中包含哪些提供者,偵測事件和警示。但是,我們可以提供以下指導:
- Microsoft 365 E5計劃或E5安全性附加元件包含所有用於建立要調查案例的Microsoft偵測事件。
- 對於基於Entra ID保護的身份警報,您需要Entra ID P2計劃(與上述E5計劃捆綁在一起)。
- 對於其他組件,請諮詢您的Microsoft許可專家,以瞭解訪問這些組件及其圖形安全檢測事件所需的Microsoft捆綁包或單個SKU。
有關圖形安全API和特定提供程序生成的警報的更多資訊,請參閱 警報和事件。