Microsoft 365 稽核記錄
您可以將 Microsoft 365 稽核記錄資料新增至 Data Lake。這使您可以使用 Sophos Live Discover 查詢 Microsoft Graph 資料。
必要條件
您必須是 Microsoft 365 管理員。
您必須在 Microsoft 365 中開啟稽核。如果您沒有開啟,系統會提示您在設定期間開啟。
在 Microsoft Office 365 管理 API 的屬性中,您必須將已啟用,以便使用者登入?設定為是。要檢查並變更此設定,請參閱 管理 Microsoft Office 365 API。
新增整合
若要將 Microsoft 365 資料整合到 Sophos Central,請依照以下步驟操作:
- 在 Sophos Central 中,移至威脅分析中心,然後按一下整合。
-
按一下 Microsoft - Office 365 管理活動 API。
如果您已設定這種類型的整合,可以在此處看到它們。
-
按一下新增。
注意
如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱我的網域和 IP。
-
在整合步驟中,如果尚未開啟 Microsoft 365 稽核,則可以按一下開啟 Microsoft 365 稽核。
將帶您前往 Microsoft 365。開啟稽核,然後返回 Sophos Central。請參閱開啟或關閉稽核。
Microsoft 可能會要求您進行驗證,以開啟稽核。
注意
Microsoft 365 稽核記錄資料在您開啟稽核之後,可能需要至多 12 小時才會顯示。
-
按一下儲存並繼續。
-
閱讀連線至 Microsoft 365 中的文字,然後按一下繼續。
您已連線至 Microsoft 365 以建立與 Sophos Central 整合的應用程式。
-
輸入或選取您的 Microsoft 帳戶並登入。
-
系統會提示您授與某個應用程式權限。這些權限可讓我們建立與 Sophos Central 整合的 Microsoft 應用程式。按一下接受。
系統可能會要求您再次授權,具體視您的 Microsoft 365 環境而定。
連線可能需要幾分鐘。
-
您會看到應用程式已設定的確認訊息。按一下關閉。
在 Sophos Central 的整合 > Microsoft - Office 365 管理活動中,您會看到新的整合。
在 Live Discover > 查詢中,新類別 Microsoft 365 稽核資料會顯示。您可以在 Microsoft 365 資料上執行此類別中的查詢。
管理 Microsoft Office 365 API
在此 API 的屬性中,您必須將已啟用,以便使用者登入?設定為是。若要檢查並變更此項,請執行以下動作。
- 在您的 Microsoft Azure 入口網站中,移至 Azure Active Directory > 企業應用程式 > 所有應用程式。
-
在所有應用程式中,按應用程式類型 == Microsoft 應用程式進行篩選。
-
按一下 Office 365 管理 API。
-
在 Office 365 管理 API | 屬性中,將已啟用,以便使用者登入?設定為是。
-
按一下儲存。