Aplica A: ThreatSync+ SaaS
Para detectar amenazas relacionadas con la actividad de usuario de Microsoft 365, ThreatSync+ SaaS necesita datos del registro de actividad de los usuarios de Microsoft 365. Para recopilar estos datos, monitorizar la actividad de usuario y realizar acciones de remediación, debe agregar y configurar una integración SaaS en WatchGuard Cloud.
Antes de Empezar
Antes de poder crear una integración SaaS con Microsoft 365, debe:
- Contar como mínimo con una licencia de Microsoft Office 365 E1 o Microsoft 365 Business Basic.
- Habilitar el registro de auditoría para su organización de Microsoft 365
- Verificar los roles y permisos de Microsoft 365
Habilitar el Registro de Auditoría
Antes de que ThreatSync+ SaaS pueda conectarse a los datos a través de una integración SaaS, debe habilitar el registro de auditoría para su organización de Microsoft 365.
El registro de auditoría está habilitado de forma predeterminada para las organizaciones de Microsoft 365. Para verificar que el registro de auditoría está habilitado, ejecute este comando de PowerShell en la computadora en el que agrega la integración SaaS:
Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled
Si el registro de auditoría no está habilitado, el estado es False:
UnifiedAuditLogIngestionEnabled : False
Si el estado es True, no es necesario realizar ninguna acción adicional. Si el estado es False, ejecute este comando de PowerShell para habilitar el registro de auditoría:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
El cambio en la configuración del registro de auditoría puede tardar hasta 60 minutos.
Para más información, vaya a Activar o Desactivar la Auditoría en la documentación de Microsoft.
Verificar Roles y Permisos
El administrador que agrega la configuración de SaaS debe contar con estos roles y permisos de administrador habilitados en su cuenta de Microsoft 365:
- Administrador Global
- Administrador de Seguridad
- Administrador de Soporte de Servicio
- Administrador de Usuarios
Puede seleccionar un administrador existente o crear uno nuevo con los permisos correctos. Para más información, vaya a Asignar Roles de Administrador en el Centro de Administración de Microsoft en la documentación de Microsoft.
Los roles y permisos de administrador solo son necesarios durante la configuración inicial de la integración SaaS. Una vez agregada la integración SaaS, ya no se requieren permisos de administrador.
Crear una Integración SaaS
Para crear una integración SaaS, debe tener el nombre de dominio principal de Microsoft 365 y la cuenta de usuario administrador que desea utilizar para su integración SaaS.
El nombre de dominio principal es el dominio del inquilino de Microsoft 365 que desea monitorizar en busca de amenazas. Por ejemplo, example.com. Para más información, vaya a Buscar su Nombre de Dominio Principal de Office 365.
Para crear una integración SaaS, desde WatchGuard Cloud:
- Seleccione Configurar > Integraciones de ThreatSync+ > Integración SaaS.
Se abre la página Integraciones SaaS. - Haga clic en Agregar Integración SaaS.
- En la lista desplegable Servicio SaaS, seleccione Microsoft 365.
- En el cuadro de texto Nombre de Dominio de Microsoft 365, ingrese el nombre del dominio principal del inquilino de Microsoft que desea monitorizar.
- Para habilitar la capacidad de deshabilitar o habilitar usuarios de Microsoft 365, seleccione Habilitar Remediación.
Si habilita o deshabilita la remediación para una integración SaaS existente con Microsoft 365, debe reactivar la integración SaaS y repetir los Pasos 6 a 8. Para más información, vaya a Editar una Integración SaaS.
- Haga clic en Activar.
Se le redirigirá a la página de inicio de sesión de Microsoft para la autenticación.
- Inicie sesión como usuario administrador con los permisos necesarios.
Después de iniciar sesión en Microsoft, Microsoft le redirigirá a una página de consentimiento.
- Revise los detalles del consentimiento y haga clic en Aceptar para dar su consentimiento. Se requiere el consentimiento para completar la Integración SaaS.
Después de aceptar el consentimiento, se le redirigirá a la UI de ThreatSync+ SaaS. El estado de la integración SaaS se muestra como Inicializando. El estado puede tardar hasta 30 minutos en cambiar a Activo.
- Una vez que el estado cambia a Activo, la configuración de la integración SaaS está completada. Para ver los gráficos Estado de Colección y Recuento de Registros de Microsoft 365, haga clic en el nombre de la integración en la columna Nombre.
ThreatSync+ SaaS puede tardar hasta siete días en aprender su entorno y empezar a mostrar alertas en el menú Monitorizar.
Editar una Integración SaaS
Puede editar una integración SaaS activa existente para cambiar el nombre, silenciar notificaciones de fallos repetidos o habilitar o deshabilitar la remediación para los usuarios de Microsoft 365.
Para editar una integración SaaS:
- Seleccione Configurar > Integraciones de ThreatSync+ > Integración SaaS.
Se abre la página Integraciones SaaS. - Haga clic en el nombre de la integración SaaS que desea editar.
Se abre la página Editar Integraciones SaaS. - (Opcional) En el cuadro de texto Descripción, edite el nombre de la integración SaaS.
- Marque la casilla de selección Silenciar Notificaciones de Fallos Repetidos si solo desea que se envíe una única notificación para este colector SaaS cuando se produce un fallo de colector SaaS.
- Para habilitar la capacidad de deshabilitar o habilitar usuarios de Microsoft 365, seleccione Habilitar Remediación.
Si habilita o deshabilita la remediación para una integración SaaS existente con Microsoft 365, debe reactivar la integración y volver a proporcionar el consentimiento para la integración.
- Haga clic en Guardar.
Acerca de la Integración de ThreatSync+ SaaS — Microsoft 365