次の手順では、Office 365 の悪意のあるファイルの検出プレイブックで使用できるアクション、タスク、およびサブフローのチュートリアルを示します。
始める前に
必要なロール:
- sn_si.admin
- flow_designer
Security Operations スポーク (sn_sec_spoke) がインストールされていることを確認します。
手順
-
Playbook がトリガーされて実行が開始されたら、手順 1 で Office 365 コンソールから悪意のあるファイルを抽出する必要があります。
-
ステップ 2 では、ファイルまたはハッシュが Threat Intel プラットフォームに観測事象として追加されているかどうかを分析する必要があります。
-
手順 3 では、ファイル名とパスを調査して、既知のファイル/アプリケーションまたは悪意のないファイル/アプリケーションかどうかを判断する必要があります。
図 : 1. Office 365 の悪意のあるファイル検出 Playbook
-
ステップ 4 では、結果を分析するためにファイルをサンドボックスに送信する必要があります。
-
ステップ5では、これまでに行われた調査に基づいて、ファイルまたはハッシュが悪意のあるものであるかどうかを確認する必要があります。
ファイルまたはハッシュが悪意のあるものでない場合は、ステップ 5 で手動応答タスクが作成され、フローが終了します。
-
ステップ 6 では、ファイルまたはハッシュが悪意のあるものである場合、ステップ 7 および 8 が実行されます。
-
ステップ 7 では、デバイス上に悪意のあるファイルがある理由について、有効な業務上の正当な理由をエンド ユーザーに問い合わせる必要があります。
ファイルまたはハッシュが悪意のあるものである場合は、Playbook の既存のメールテンプレートを使用して、エンドユーザーにメールを送信して説明を求めることができます。
-
ステップ 8 では、エンドユーザーが有効な業務上の根拠を提供したかどうかを確認する必要があります。
エンドユーザーが有効なビジネス上の根拠を提供した場合は、ステップ 5 で手動応答タスクが作成され、フローが終了します。
-
ステップ 9 では、ユーザーが有効なビジネス上の根拠を提供しなかった場合、ステップ 10、11、および 12 が実行されます。
図 : 2. 悪意のあるファイルのビジネス上の根拠
-
ステップ 10 では、有効なビジネス上の正当な理由がなかったため、悪意のあるファイルまたはハッシュを Threat Intel チームに転送して確認することができます。
-
ステップ 11 では、マルウェア バイト スキャナー スクリプトを実行して、ファイルまたはハッシュが悪意のあるものかどうかを確認する必要があります。
-
ステップ12では、フォレンジック分析を実行して、ファイルまたはハッシュが悪意のあるものであるかどうかを確認する必要があります。
-
ステップ 13 で、タスクをクローズする前にインシデントの事後レビューを完了するための応答タスクが作成されます。