주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
는 우리가 어떻게 을 지원하는지에 대해 설명합니다.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=MicrosoftIntegrations

Microsoft 통합

Microsoft 소프트웨어 및 서비스를 Sophos Central과 통합할 수 있습니다.

구성된 통합

통합을 구성하려면 위협 분석 센터> 통합 > 마켓플레이스를 클릭하고 통합 이름을 클릭합니다.

각 통합을 구성하는 방법에 대한 자세한 내용은 다음 페이지를 참조하십시오.

제한 작동 방식

Sophos XDR 플랫폼은 Microsoft Management Activity API 및 Microsoft Graph Security API를 사용하여 Microsoft와 통합됩니다. Sophos는 두 API를 독립적으로 사용하여 Microsoft 365 환경에서 위협을 감지합니다.

M365 관리 활동

Sophos XDR 플랫폼은 Management Activity API를 사용하여 Microsoft 365 환경에서 발생하는 원시 이벤트를 수집합니다. Sophos는 위협 탐지 및 조사 중 분석가를 위한 추가 지원 정보 수집에 이러한 이벤트를 사용합니다. 이러한 원시 이벤트는 해당 환경에서 사용되는 라이선스에 관계없이 모든 Microsoft 365 고객이 사용할 수 있습니다.

Sophos 감지 엔지니어링 팀은 Microsoft의 이러한 원시 이벤트를 기반으로 정기적으로 검색 규칙을 만듭니다. 이러한 규칙을 통해 분석가는 계정 손상 또는 BEC(Business 이메일)를 나타낼 수 있는 시나리오를 조사할 수 있습니다. 받은 편지함 규칙 조작, 세션 토큰 도난, 중간자 공격, 악의적인 애플리케이션 동의 등이 여기에 해당합니다.

**** Sophos Central의 탐지 페이지에서 소포스 기반 탐지를 볼 수 있습니다. 감지 항목은 SaaS-M365-xxxxx로 레이블이 지정되며 이 예에서 볼 수 있듯이 감지 유형은 "compound_detections"입니다.

SaaS-M365 유형 감지.

Sophos Data Lake에 저장된 Microsoft 관리 작업 API 이벤트를 사용하여 분석가는 환경을 조사할 때 이러한 로그를 사용할 수 있습니다. 예를 들어 사용자의 로그인을 검토하여 의심스러운 로그인 이벤트를 확인 또는 식별하거나 계정이 손상되었을 때 Microsoft 365 환경에서 계정 활동을 검토할 수 있습니다.

Microsoft에서 관리 활동 API를 통해 제공하는 데이터에 대한 자세한 내용은 Office 365 관리 API 개요를 참조하세요.

MS 그래프 보안

Sophos는 Graph Security API를 사용하여 Microsoft 에코시스템에서 관찰된 원격 측정을 기반으로 Microsoft에서 생성한 검색 이벤트를 수집합니다. 이러한 Microsoft 검색 이벤트의 심각도에 따라 분석가가 조사하고 대응할 수 있는 사례가 생성됩니다.

Graph Security API에 감지 이벤트를 생성하는 구성 요소 또는 "공급자"는 다음과 같습니다.

  • 엔트라 ID 보호
  • Office 365용 Defender
  • 엔드포인트용 Defender
  • ID용 Defender
  • 클라우드 앱용 Defender
  • 클라우드용 Defender
  • 마이크로소프트 센티넬

Microsoft Graph 보안 API가 수신한 검색 이벤트는 **** Sophos Central의 검색 페이지에서 확인할 수 있습니다. 이 예에서 볼 수 있듯이 감지에는 MS-SEC-GRAPH-xxxxx라는 레이블이 지정됩니다.

MS-SEC-GRAPH 유형 감지.

이러한 제품에서 생성되고 Graph Security API를 통해 수집할 수 있는 특정 Microsoft 검색 이벤트는 해당 환경에서 사용되는 Microsoft 365 라이선스에 따라 달라집니다. 여기에는 개별 사용자별 계획, 사용자 또는 Microsoft 365 테넌시에 추가된 추가 기능 또는 번들이 포함될 수 있습니다.

각 계획, 추가 기능 또는 번들에 어떤 공급자, 검색 이벤트 및 알림이 포함되어 있는지 알아보려면 Microsoft 365 라이선스 전문가에게 문의하는 것이 좋습니다. 그러나 다음과 같은 지침을 제공할 수 있습니다.

  • Microsoft 365 E5 계획 또는 E5 보안 추가 기능에는 조사할 케이스를 생성하는 데 사용되는 모든 Microsoft 검색 이벤트가 포함되어 있습니다.
  • Entra ID 보호 기반 ID 알림의 경우, Entra ID P2 계획(위에서 언급한 E5 계획과 함께 제공)이 필요합니다.
  • 다른 구성 요소의 경우 Microsoft 라이선스 전문가에게 문의하여 해당 구성 요소에 액세스하는 데 필요한 Microsoft 번들 또는 개별 SKU와 해당 Graph Security 검색 이벤트를 확인하십시오.

그래프 보안 API 및 특정 공급자가 생성한 경고에 대한 자세한 내용은 경고 및 인시던트를 참조하십시오.