Verwenden Sie das Playbook „Office 365 Böswillige Datei erkannt“.

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um in Office 365 erkannte schädliche Dateien zu untersuchen. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Playbook „Office 365 Böswillige Datei erkannt“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und seine Ausführung beginnt, müssen Sie in Aktion 1 die schädliche Datei aus der Office 365-Konsole extrahieren.
    2. In Aktion 2 müssen Sie analysieren, ob die Datei oder der Hash als erkennbares Element in der Threat Intel Platform hinzugefügt wurde.
    3. In Aktion 3 müssen Sie den Dateinamen und Pfad untersuchen, um festzustellen, ob es sich um eine bekannte oder nicht schädliche Datei/Anwendung handelt.
      Abbildung : 1. Playbook „Office 365 Bösartige Datei erkannt“.
      Antwortaufgaben, um zu bestimmen, ob es sich um eine bekannte oder nicht schädliche Datei/Anwendung handelt.
    4. In Aktion 4 müssen Sie die Datei zur Analyse der Ergebnisse an die Sandbox übermitteln.
    5. In Aktion 5 müssen Sie basierend auf den bisher durchgeführten Untersuchungen überprüfen, ob die Datei oder der Hash schädlich ist oder nicht.
      Wenn die Datei oder der Hash nicht schädlich ist, wird in Aktion 5 eine manuelle Antwortaufgabe erstellt, und der Flow wird beendet.
    6. Wenn in Aktion 6 die Datei oder der Hash schädlich ist, werden die Aktionen 7 und 8 ausgeführt.
    7. In Aktion 7 müssen Sie beim Endanwender eine stichhaltige geschäftliche Begründung dafür einholen, warum er eine schädliche Datei auf dem Gerät gespeichert hat.
      Wenn die Datei oder der Hash böswillig ist, können Sie die bereits vorhandene E-Mail-Vorlage im Playbook verwenden, um den Endanwender per E-Mail um Klärung zu bitten.
    8. In Aktion 8 müssen Sie überprüfen, ob der Endanwender eine gültige geschäftliche Begründung angegeben hat.
      Wenn der Endanwender eine gültige geschäftliche Begründung angegeben hat, wird in Aktion 5 eine manuelle Antwortaufgabe erstellt, und der Flow wird beendet.
    9. Wenn der Anwender in Aktion 9 keine stichhaltige geschäftliche Begründung angegeben hat, werden die Aktionen 10, 11 und 12 ausgeführt.
      Abbildung : 2. Geschäftliche Begründung für die schädliche Datei
      Antwortaufgaben, wenn keine gültigen geschäftlichen Begründungen für die schädliche Datei vorliegen
    10. Da in Aktion 10 keine stichhaltigen geschäftlichen Begründungen vorlagen, können Sie die schädliche Datei oder den schädlichen Hash zur Überprüfung an das Threat Intel Team weiterleiten.
    11. In Aktion 11 müssen Sie das Skript für den Malware-Bytes-Scanner ausführen, um zu überprüfen, ob die Datei oder der Hash schädlich ist.
    12. In Aktion 12 müssen Sie eine forensische Analyse durchführen, um zu überprüfen, ob die Datei oder der Hash schädlich ist.
    13. In Aktion 13 wird eine Antwortaufgabe erstellt, damit der Benutzer die Überprüfung nach dem Incident abschließen kann, bevor die Aufgabe geschlossen wird.