整合 MS Graph 安全性 API V2
-
建議
這些說明適用於 MS Graph 安全性 API V2,它使用 Alerts V2 服務(警報和事件)。請參閱 警報和事件。我們建議您整合此版本。
如果您已整合舊版 MS Graph 安全 API,我們建議您將其替換為 MS Graph 安全 API V2 整合。
返回的特定警示和可用的產品可能取決於您的 Microsoft 授權級別。有關建議,請與 Microsoft 代表聯絡。
您可以整合 Microsoft Graph 安全性,以將警示新增至 Sophos Data Lake。這使您可以使用 Sophos Live Discover 查詢 Microsoft Graph 資料。
需求
您必須是 Microsoft 365 管理員。
您必須具有 Microsoft Defender XDR 功能的存取權限。有關授與您此存取權限的授權,請參閱 Microsoft Defender XDR 先決條件。
我們建議您查看您的微軟授權等級。產生的檢測結果取決於許可證:
- 使用 Microsoft 365 E5 授權和 E5 安全性外掛程式的 Microsoft 偵測到的威脅數量最多。
- 對於較低級別的許可證,例如 Business Premium 或 E3,檢測到的案例較少,不太可能觸發調查案件。
設定整合
若要將 Microsoft Graph 整合到 Sophos Central,請依照以下步驟操作:
- 在 Sophos Central 中,前往 威脅分析中心 > 整合 > Marketplace。
-
按一下 Microsoft - Graph 安全性 API V2。
Microsoft - Graph 安全性 API V2 頁面隨即打開。您可以在此設定整合,並查看已設定的整合清單。
-
在 資料擷取 (安全警示) 中,按一下 新增設定。
如果這是您新增的第一個整合設定,系統會要求您提供內部網域與 IP 位址的相關資訊。請參見 提供您的域和IP詳細資訊。
-
在整合步驟 中,請依下列方式操作:
- 輸入整合名稱和整合說明。
- 按一下 儲存並繼續。
-
閱讀連線至 Microsoft 365 中的文字,然後按一下繼續。
您已連線至 Microsoft 365 以建立與 Sophos Central 整合的應用程式。
-
輸入或選取您的 Microsoft 帳戶並登入。
-
系統會提示您授與某個應用程式權限。這些權限可讓我們建立與 Sophos Central 整合的 Microsoft 應用程式。按一下 接受。
-
如果出現提示,請選取要使用的 Microsoft 帳戶。
-
系統將提示您授與新建立的 Sophos XDR - 安全警示應用程式權限,以便該應用程式可以執行並將 MS Graph 資料傳遞至 Sophos。按一下 接受。
-
您會看到應用程式已設定的確認訊息。按一下 關閉。
-
如果這是您的第一個使用 MS Graph 警示與事件的整合,您可能需要以 Microsoft Defender 佈建警示服務,以避免授權問題。
在 Microsoft Defender Web 入口網站中,前往 「調查與回應」 > “事件與警報” > “警報”。您可能會看到以下訊息。佈建可能需要一個小時。然後,您可以檢視新警示,警示服務將開始工作。
在 Sophos Central 的整合 > Microsoft - Graph 安全性 API V2 中,您會看到新的整合。
資料在 Microsoft Defender 安全性中心顯示為可用後約五分鐘,Microsoft 應用程式首次將 Sophos Data Lake 與 Microsoft Graph 同步。
現在,Sophos Data Lake 正在接收 Microsoft Graph 安全性警示。