Use o playbook de arquivo malicioso detectado do Office 365

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Use este playbook para investigar arquivos mal-intencionados detectados no Office 365. As etapas a seguir fornecem instruções passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook Arquivos maliciosos detectados do Office 365.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, você precisa extrair o arquivo mal-intencionado do console do Office 365.
    2. Na Ação 2, você precisa analisar se o arquivo ou hash foi adicionado como um observável na plataforma de inteligência contra ameaças.
    3. Na Ação 3, você precisa investigar o nome e o caminho do arquivo para determinar se é uma aplicação/arquivo conhecido ou não malicioso.
      Figura 1. Playbook de arquivo malicioso detectado do Office 365
      Tarefas de resposta para determinar se é uma aplicação/arquivo conhecido ou não malicioso.
    4. Na Ação 4, você precisa enviar o arquivo para a Sandbox para analisar os resultados.
    5. Na Ação 5, com base na investigação feita até o momento, você precisa verificar se o arquivo ou hash é mal-intencionado ou não.
      Se o arquivo ou hash não for mal-intencionado, uma tarefa de resposta manual será criada na Ação 5 e o fluxo será encerrado.
    6. Na Ação 6, se o arquivo ou hash for mal-intencionado, as Ações 7 e 8 serão executadas.
    7. Na Ação 7, você precisa entrar em contato com o usuário final para obter uma justificativa comercial válida do motivo pelo qual ele tem um arquivo mal-intencionado no dispositivo.
      Se o arquivo ou hash for mal-intencionado, você poderá usar o modelo de e-mail pré-existente no playbook para enviar um e-mail ao usuário final solicitando esclarecimentos.
    8. Na Ação 8, você precisa verificar se o usuário final forneceu uma justificativa de negócios válida ou não.
      Se o usuário final forneceu uma justificativa de negócios válida, uma tarefa de resposta manual será criada na Ação 5 e o fluxo será encerrado.
    9. Na Ação 9, se o usuário não forneceu uma justificativa de negócio válida, as Ações 10, 11 e 12 serão executadas.
      Figura 2. Justificativa de negócios para o arquivo mal-intencionado
      Tarefas de resposta se não houver uma justificativa de negócio válida para o arquivo mal-intencionado
    10. Na Ação 10, como não havia justificativa de negócio válida, você pode encaminhar o arquivo ou hash mal-intencionado para a equipe de informações sobre ameaças para revisão.
    11. Na Ação 11, você precisa executar o script do scanner de bytes de malware para verificar se o arquivo ou hash é mal-intencionado.
    12. Na Ação 12, você precisa executar uma análise forense para verificar se o arquivo ou hash é mal-intencionado.
    13. Na Ação 13, uma tarefa de resposta é criada para que o usuário conclua a revisão pós-incidente antes de fechar a tarefa.