跳至內容
查找我們如何支持MDR

Microsoft 365 稽核記錄

API

您可以將 Microsoft 365 稽核記錄資料新增至 Data Lake。這使您可以使用 Sophos Live Discover 查詢 Microsoft Graph 資料。

必要條件

您必須是 Microsoft 365 管理員。

您必須在 Microsoft 365 中開啟稽核。如果您沒有開啟,系統會提示您在設定期間開啟。

在 Microsoft Office 365 管理 API 的屬性中,您必須將已啟用,以便使用者登入?設定為。要檢查並變更此設定,請參閱 管理 Microsoft Office 365 API

設定整合

若要將 Microsoft 365 資料整合到 Sophos Central,請依照以下步驟操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 整合 > 市場
  2. 按一下 Microsoft - Office 365 管理活動 API

    Microsoft - Office 365 管理活動 API 頁面隨即開啟。您可以在此處設定整合並查看已設定的所有整合清單。

  3. 資料擷取(安全警示)中,按一下新增設定

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP

  4. 整合步驟中,如果尚未開啟 Microsoft 365 稽核,則可以按一下開啟 Microsoft 365 稽核

    將帶您前往 Microsoft 365。開啟稽核,然後返回 Sophos Central。請參閱開啟或關閉稽核

    Microsoft 可能會要求您進行驗證,以開啟稽核。

    注意

    Microsoft 365 稽核記錄資料在您開啟稽核之後,可能需要至多 12 小時才會顯示。

  5. 按一下儲存並繼續

  6. 閱讀連線至 Microsoft 365 中的文字,然後按一下繼續

    您已連線至 Microsoft 365 以建立與 Sophos Central 整合的應用程式。

    選擇一個帳戶。

  7. 輸入或選取您的 Microsoft 帳戶並登入。

  8. 系統會提示您授與某個應用程式權限。這些權限可讓我們建立與 Sophos Central 整合的 Microsoft 應用程式。按一下接受

    權限請求。

    系統可能會要求您再次授權,具體視您的 Microsoft 365 環境而定。

    連線可能需要幾分鐘。

  9. 您會看到應用程式已設定的確認訊息。按一下關閉

    已成功連線訊息。

在 Sophos Central 的整合 > Microsoft - Office 365 管理活動中,您會看到新的整合。

Live Discover > 查詢中,新類別 Microsoft 365 稽核資料會顯示。您可以在 Microsoft 365 資料上執行此類別中的查詢。

管理 Microsoft Office 365 API

在此 API 的屬性中,您必須將已啟用,以便使用者登入?設定為。若要檢查並變更此項,請執行以下動作。

  1. 在您的 Microsoft Azure 入口網站中,移至 Azure Active Directory > 企業應用程式 > 所有應用程式
  2. 所有應用程式中,按應用程式類型 == Microsoft 應用程式進行篩選。

    篩選應用程式。

  3. 按一下 Office 365 管理 API

  4. Office 365 管理 API | 屬性中,將已啟用,以便使用者登入?設定為

    在屬性中設定參數。

  5. 按一下儲存