Utiliser le playbook Office 365 Fichier malveillant détecté

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook Office 365 Fichier malveillant détecté.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, à l’étape 1, vous devez extraire le fichier malveillant de la console Office 365.
    2. À l’étape 2, vous devez analyser si le fichier ou le hachage a été ajouté en tant qu’observable dans la plate-forme Threat Intel.
    3. À l’étape 3, vous devez examiner le nom et le chemin du fichier pour déterminer s’il s’agit d’un fichier/d’une application connue ou non malveillante.
      Figure 1. Playbook de fichier malveillant détecté pour Office 365Office 365 Malicious File Detected Playbook
      Tâches de réponse pour déterminer s’il s’agit d’un fichier/d’une application connu ou non malveillant.
    4. À l’étape 4, vous devez soumettre le fichier à Sandbox pour l’analyse des résultats.
    5. À l’étape 5, sur la base de l’enquête effectuée jusqu’à présent, vous devez vérifier si le fichier ou le hachage est malveillant ou non.
      Si le fichier ou le hachage n’est pas malveillant, une tâche de réponse manuelle est créée à l’étape 5 et le flux se termine.
    6. À l’étape 6, si le fichier ou le hachage est malveillant, les étapes 7 et 8 sont exécutées.
    7. À l’étape 7, vous devez contacter l’utilisateur final pour obtenir une justification commerciale valable quant à la raison pour laquelle il a un fichier malveillant sur l’appareil.
      Si le fichier ou le hachage est malveillant, vous pouvez utiliser le modèle d’e-mail préexistant dans le playbook pour envoyer un e-mail à l’utilisateur final demandant des clarifications.
    8. À l’étape 8, vous devez vérifier si l’utilisateur final a fourni une justification commerciale valide ou non.
      Si l’utilisateur final a fourni une justification commerciale valide, une tâche de réponse manuelle est créée à l’étape 5 et le flux se termine.
    9. À l’étape 9, si l’utilisateur n’a pas fourni de justification commerciale valide, les étapes 10, 11 et 12 sont exécutées.
      Figure 2. Justification commerciale du fichier malveillant
      Tâches de réponse s’il n’y avait pas de justification commerciale valide pour le fichier malveillant
    10. À l’étape 10, étant donné qu’il n’y avait aucune justification commerciale valable, vous pouvez transférer le fichier ou le hachage malveillant à l’équipe Threat Intelligence pour examen.
    11. À l’étape 11, vous devez exécuter le script du scanner d’octets malveillants pour vérifier si le fichier ou le hachage est malveillant.
    12. À l’étape 12, vous devez effectuer une analyse médico-légale pour vérifier si le fichier ou le hachage est malveillant.
    13. À l’Étape 13, une tâche de réponse est créée pour que l’utilisateur termine la revue post-incident avant de fermer la tâche.