Documentação: Integração Sophos MDR x Microsoft 365 Management Activity

por SN Informáticaem Azure, MDRon Postado em

Você pode integrar a atividade de gerenciamento do Microsoft 365 ao Sophos Central. Isso adiciona dados de log de auditoria da Microsoft ao Data Lake e permite consultá-los com o Sophos Live Discover.

Pré-requisitos

Você deve ser um administrador do Microsoft 365.

Você deve ter a auditoria ativada no Microsoft 365. Caso contrário, você será solicitado a ativá-la durante a configuração.

Nas propriedades das APIs de gerenciamento do Microsoft Office 365, você deve ter Ativado para que os usuários façam login? definido como Sim. Para verificar e alterar isso, consulte Gerenciar APIs do Microsoft Office 365.

Configurar uma integração

Para integrar dados do Microsoft 365 ao Sophos Central, faça o seguinte:

  1. No Sophos Central, acesse Threat Analysis Center > Integrations > Marketplace.
  2. Clique em API de atividade de gerenciamento do Microsoft-Office 365.A página Microsoft – API de atividade de gerenciamento do Office 365 é aberta. Você pode configurar integrações aqui e ver uma lista de todas as que você já configurou.
  3. Em Ingestão de dados (alertas de segurança), clique em Adicionar configuração.

    Observação:

    Se esta for a primeira integração que você adiciona, solicitaremos detalhes sobre seus domínios e IPs internos. Consulte Meus domínios e IPs.

  4. Nas etapas de integração, se a auditoria do Microsoft 365 ainda não estiver ativada, você poderá clicar em Ativar auditoria do Microsoft 365.Isso leva você ao Microsoft 365. Ative a auditoria e retorne ao Sophos Central. Consulte Ativar ou desativar auditoria.

    Você pode ser solicitado a se autenticar pela Microsoft para ativar a auditoria.

    Observação:

    Pode levar até 12 horas para que os dados do log de auditoria do Microsoft 365 apareçam depois de você ativar a auditoria.

  5. Clique em Salvar e continuar.
  6. Leia o texto em Conectar-se ao Microsoft 365 e clique em Continuar.Você está conectado ao Microsoft 365 para criar um aplicativo que se integre ao Sophos Central.

    Escolha uma conta.

  7. Digite ou selecione sua conta da Microsoft e faça login.
  8. Você será solicitado a conceder permissões a um aplicativo. Essas permissões nos permitem criar um aplicativo Microsoft para integração com o Sophos Central. Clique em Aceitar.Solicitação de permissões.

    Poderá ser solicitado que você autorize novamente, dependendo do seu ambiente Microsoft 365.

    A conexão pode demorar alguns minutos.

  9. Você verá a confirmação de que o aplicativo está configurado. Clique em Fechar.Mensagem conectada com sucesso.

No Sophos Central, em Integrações > Microsoft – Atividade de gerenciamento do Office 365 você vê a nova integração.

Em Live Discover > Query, aparece uma nova categoria de dados de auditoria do Microsoft 365. Você pode executar as consultas nesta categoria nos dados do Microsoft 365.

Gerenciar APIs do Microsoft Office 365

Nas propriedades desta API você deve ter Habilitado para login dos usuários? definido como Sim. Para verificar e alterar isso, faça o seguinte.

  1. No Portal do Microsoft Azure, acesse Azure Active Directory > Aplicativos Corporativos > Todos os aplicativos.
  2. Em All Applications, filtre por Application type == Microsoft Applications.Filtrar aplicativos.
  3. Clique em APIs de gerenciamento do Office 365.
  4. Nas APIs de gerenciamento do Office 365 | Propriedades, defina Habilitado para usuários fazerem login? para Sim.Defina o parâmetro nas propriedades.
  5. Clique em Salvar.

do original em: https://docs.sophos.com/central/customer/help/en-us/ManageYourProducts/ThreatAnalysisCenter/Integrations/Microsoft/365UserActivityLogs/index.html#o365api

Gostou? Compartilhe: