跳至內容
部分或全部頁面已經過機器翻譯。
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=O365SecCompliance

Microsoft 365 管理活動

API 生產效率

  • 整合健康警示

    我們為此整合新增了一個新功能。

    當您的 Microsoft 365 管理活動整合離線或不健康時,我們現在會在 Sophos Central 生成警報。您也可以根據這些警示設置電子郵件通知。請參閱 整合健康狀態警示

您可以將 Microsoft 365 管理活動與 Sophos Central 整合。把 Microsoft 稽核日誌數據新增至 Data Lake,並允許您使用 Sophos Live Discover 進行查詢。

注意

Microsoft 不保證事件會在特定時間內記錄於稽核日誌中。因此,Sophos 偶爾會在取得 MDR 和 XDR 客戶的稽核日誌時遇到延遲。了解更多

必要條件

在開始之前,請確保您符合以下先決條件:

  • 您必須是 Microsoft 365 管理員。

  • 您必須擁有以下其中一個 Microsoft 訂閱方可進行操作:

    • Purview Audit(標準版)。使用者必須擁有以下許可證之一:

      • Microsoft 365 商務授權
      • Office 365 Enterprise 授權
      • Microsoft 365企業授權

    • Purview Audit (高級版)。使用者必須擁有以下其中一種授權證

      • Microsoft 365 E5 授權
      • 具有 Microsoft 365 E3 授權和 Microsoft 365 E5 Compliance 附加授權的組合
      • 具有 Microsoft 365 E5 Compliance 附加授權的 Office 365 E3 授權
      • 具有 Microsoft 365 E5 eDiscovery 和 Audit 附加授權的 Microsoft 365 E3 授權
      • 使用具有 Microsoft 365 E5 電子發現和審核附加授權的 Office 365 E3 授權

  • 您必須在 Microsoft 365 中開啟稽核。

    警告

    如果您未啟用 Microsoft 365 稽核功能,整合將無法運作。

  • 在 Microsoft Office 365 管理 API 的屬性中,您必須將允許使用者登入? 設定為 。若要檢查並變更此設定,請參閱 管理 Microsoft Office 365 API

設定整合

若要將 Microsoft 365 資料整合到 Sophos Central,請依照以下步驟操作:

  1. 在 Sophos Central 中,前往 威脅分析中心 > 整合 > Marketplace

  2. 按一下 Microsoft - Office 365 Management Activity API

    Microsoft - Office 365 Management Activity API 頁面隨即開啟。您可以在此處設定整合並查看已設定的所有整合清單。

  3. 資料擷取 (安全警示) 中,按一下 新增設定

    注意

    如果這是您新增的第一個整合,我們可能會要求您提供內部網域和 IP 的詳細資料。請參閱 提供您的域和IP詳細資訊

  4. 整合步驟 中,請確保 Microsoft 365 的稽核功能已啟用。

    警告

    您必須開啟 Microsoft 365 稽核功能。否則,整合功能將無法正常工作。

    若要啟用稽核,請按一下 啟用 Microsoft 365 稽核。此時將前往 Microsoft 365。在該處啟用稽核後,再返回 Sophos Central。

    Microsoft 可能會要求您進行身分驗證以啟用稽核。請參閱 開啟或關閉稽核

    注意

    啟用稽核後,Microsoft 365 稽核日誌數據可能需要最多 12 小時才會顯示。

  5. 按一下 儲存並繼續

  6. 閱讀連線至 Microsoft 365 中的說明,然後按一下 繼續

    您已連線至 Microsoft 365 以建立與 Sophos Central 整合的應用程式。

    選擇一個帳戶。

  7. 輸入或選取您的 Microsoft 帳戶並登入。

  8. 系統會提示您授與某個應用程式權限。這些權限可讓我們建立與 Sophos Central 整合的 Microsoft 應用程式。按一下 接受

    權限請求。

    系統可能會要求您再次授權,視您的 Microsoft 365 環境而定。

    連線可能需要幾分鐘。

  9. 您會看到應用程式已設定的確認訊息。按一下 關閉

    已成功連線訊息。

在 Sophos Central 的整合 > Microsoft - Office 365 Management Activity中,您會看到新的整合。

Live Discover > 查詢中,會顯示新類別 Microsoft 365 稽核資料。您可以在 Microsoft 365 資料上執行此類別中的查詢。

管理 Microsoft Office 365 API

在此 API 的屬性中,您必須將 允許使用者登入?設定為 。若要檢查並變更此項,請按照以下步驟操作。

  1. 在您的 Microsoft Azure 入口網站中,前往 Azure Active Directory > 企業應用程式 > 所有應用程式

  2. 所有應用程式 中,按 應用程式類型 == Microsoft 應用程式 進行篩選。

    篩選應用程式。

  3. 按一下 Office 365 Management API

  4. Office 365 Management API | 屬性中,將 允許使用者登入? 設定為

    在屬性中設定參數。

  5. 按一下 儲存