Você pode integrar a atividade de gerenciamento do Microsoft 365 ao Sophos Central. Isso adiciona dados de log de auditoria da Microsoft ao Data Lake e permite consultá-los com o Sophos Live Discover.
Pré-requisitos
Você deve ser um administrador do Microsoft 365.
Você deve ter a auditoria ativada no Microsoft 365. Caso contrário, você será solicitado a ativá-la durante a configuração.
Nas propriedades das APIs de gerenciamento do Microsoft Office 365, você deve ter Ativado para que os usuários façam login? definido como Sim. Para verificar e alterar isso, consulte Gerenciar APIs do Microsoft Office 365.
Configurar uma integração
Para integrar dados do Microsoft 365 ao Sophos Central, faça o seguinte:
- No Sophos Central, acesse Threat Analysis Center > Integrations > Marketplace.
- Clique em API de atividade de gerenciamento do Microsoft-Office 365.A página Microsoft – API de atividade de gerenciamento do Office 365 é aberta. Você pode configurar integrações aqui e ver uma lista de todas as que você já configurou.
- Em Ingestão de dados (alertas de segurança), clique em Adicionar configuração.
Observação:
Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios e IPs internos. Consulte Meus domínios e IPs.
- Nas etapas de integração, se a auditoria do Microsoft 365 ainda não estiver ativada, você poderá clicar em Ativar auditoria do Microsoft 365.Isso leva você ao Microsoft 365. Ative a auditoria e retorne ao Sophos Central. Consulte Ativar ou desativar auditoria.
Você pode ser solicitado a se autenticar pela Microsoft para ativar a auditoria.
Observação:
Pode levar até 12 horas para que os dados do log de auditoria do Microsoft 365 apareçam depois de você ativar a auditoria.
- Clique em Salvar e continuar.
- Leia o texto em Conectar-se ao Microsoft 365 e clique em Continuar.Você está conectado ao Microsoft 365 para criar um aplicativo que se integre ao Sophos Central.
- Digite ou selecione sua conta da Microsoft e faça login.
- Você será solicitado a conceder permissões a um aplicativo. Essas permissões nos permitem criar um aplicativo Microsoft para integração com o Sophos Central. Clique em Aceitar.
Poderá ser solicitado que você autorize novamente, dependendo do seu ambiente Microsoft 365.
A conexão pode demorar alguns minutos.
- Você verá a confirmação de que o aplicativo está configurado. Clique em Fechar.
No Sophos Central, em Integrações > Microsoft – Atividade de gerenciamento do Office 365 você vê a nova integração.
Em Live Discover > Query, aparece uma nova categoria de dados de auditoria do Microsoft 365. Você pode executar as consultas nesta categoria nos dados do Microsoft 365.
Gerenciar APIs do Microsoft Office 365
Nas propriedades desta API você deve ter Habilitado para login dos usuários? definido como Sim. Para verificar e alterar isso, faça o seguinte.
- No Portal do Microsoft Azure, acesse Azure Active Directory > Aplicativos Corporativos > Todos os aplicativos.
- Em All Applications, filtre por Application type == Microsoft Applications.
- Clique em APIs de gerenciamento do Office 365.
- Nas APIs de gerenciamento do Office 365 | Propriedades, defina Habilitado para usuários fazerem login? para Sim.
- Clique em Salvar.
