Utiliser le playbook Fichier malveillant détecté Office 365

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Utilisez ce playbook pour enquêter sur les fichiers malveillants détectés dans Office 365. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook Fichier malveillant détecté Office 365.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vous devez extraire le fichier malveillant de la console Office 365.
    2. Dans l’action 2, vous devez analyser si le fichier ou le hachage a été ajouté en tant qu’observable dans la plateforme Threat Intel.
    3. Dans l’action 3, vous devez examiner le nom et le chemin d’accès du fichier pour déterminer s’il s’agit d’un fichier/d’une application connue ou non malveillante.
    4. Dans l’action 4, vous devez soumettre le fichier à Sandbox pour analyser les résultats.
    5. Dans l’action 5, sur la base de l’enquête effectuée jusqu’à présent, vous devez vérifier si le fichier ou le hachage est malveillant ou non.
      Si le fichier ou le hachage n’est pas malveillant, une tâche de réponse manuelle est créée dans l’action 5 et le flux s’arrête.
    6. Dans l’action 6, si le fichier ou le hachage est malveillant, les actions 7 et 8 sont exécutées.
    7. Dans l’action 7, vous devez contacter l’utilisateur final pour obtenir une justification commerciale valable expliquant pourquoi il a un fichier malveillant sur l’appareil.
      Si le fichier ou le hachage est malveillant, vous pouvez utiliser le modèle d’e-mail préexistant dans le playbook pour envoyer un e-mail à l’utilisateur final demandant des clarifications.
    8. Dans l’action 8, vous devez vérifier si l’utilisateur final a fourni une justification commerciale valable ou non.
      Si l’utilisateur final a fourni une justification commerciale valide, une tâche de réponse manuelle est créée dans l’action 5 et le flux s’arrête.
    9. Dans l’action 9, si l’utilisateur n’a pas fourni de justification commerciale valide, les actions 10, 11 et 12 sont exécutées.
    10. Dans l’action 10, étant donné qu’il n’y a pas de justification commerciale valide, vous pouvez transférer le fichier ou le hachage malveillant à l’équipe Threat Intelligence pour examen.
    11. Dans l’action 11, vous devez exécuter le script du scanner d’octets Malware pour vérifier si le fichier ou le hachage est malveillant.
    12. Dans l’action 12, vous devez effectuer une analyse médico-légale pour vérifier si le fichier ou le hachage est malveillant.
    13. Dans l’action 13, une tâche de réponse est créée pour que l’utilisateur termine la revue post-incident avant de fermer la tâche.