Verwenden Sie das Office 365-Playbook „Böswillige Datei erkannt“.

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die folgenden Schritte geben Ihnen eine Vorstellung der Aktionen, Aufgaben und Subflows, die im Playbook Office 365 Böswillige Datei erkannt verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Sie Security Operations Spoke (sn_sec_spoke) installiert haben.

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, müssen Sie in Schritt 1 die schädliche Datei aus der Office 365-Konsole extrahieren.
    2. In Schritt 2 müssen Sie analysieren, ob die Datei oder der Hash als erkennbares Element in der Threat Intel Platform hinzugefügt wurde.
    3. In Schritt 3 müssen Sie den Dateinamen und den Pfad untersuchen, um festzustellen, ob es sich um eine bekannte oder nicht schädliche Datei/Anwendung handelt.
      Abbildung : 1. Office 365 – Böswillige Datei erkannt – Playbook
      Antwortaufgaben, um zu bestimmen, ob es sich um eine bekannte oder nicht schädliche Datei/Anwendung handelt.
    4. In Schritt 4 müssen Sie die Datei zur Analyse der Ergebnisse an Sandbox senden.
    5. In Schritt 5 müssen Sie basierend auf den bisher durchgeführten Untersuchungen überprüfen, ob die Datei oder der Hash böswillig ist oder nicht.
      Wenn die Datei oder der Hash nicht böswillig ist, wird in Schritt 5 eine manuelle Antwortaufgabe erstellt, und der Flow wird beendet.
    6. Wenn in Schritt 6 die Datei oder der Hash böswillig ist, werden die Schritte 7 und 8 ausgeführt.
    7. In Schritt 7 müssen Sie den Endbenutzer um eine gültige geschäftliche Begründung bitten, warum er eine schädliche Datei auf dem Gerät hat.
      Wenn die Datei oder der Hash böswillig ist, können Sie die bereits vorhandene E-Mail-Vorlage im Playbook verwenden, um den Endbenutzer per E-Mail um Klärung zu bitten.
    8. In Schritt 8 müssen Sie überprüfen, ob der Endbenutzer eine gültige geschäftliche Begründung angegeben hat.
      Wenn der Endbenutzer eine gültige geschäftliche Begründung angegeben hat, wird in Schritt 5 eine manuelle Antwortaufgabe erstellt, und der Flow wird beendet.
    9. Wenn der Benutzer in Schritt 9 keine gültige geschäftliche Begründung angegeben hat, werden die Schritte 10, 11 und 12 ausgeführt.
      Abbildung : 2. Geschäftliche Begründung für die schädliche Datei
      Reaktionsaufgaben, wenn keine gültige geschäftliche Begründung für die schädliche Datei vorhanden ist
    10. Da in Schritt 10 keine gültige geschäftliche Begründung vorlag, können Sie die schädliche Datei oder den schädlichen Hash zur Überprüfung an das Threat Intel-Team weiterleiten.
    11. In Schritt 11 müssen Sie das Malware-Bytes-Scanner-Skript ausführen, um zu überprüfen, ob die Datei oder der Hash böswillig ist.
    12. In Schritt 12 müssen Sie eine forensische Analyse durchführen, um zu überprüfen, ob die Datei oder der Hash böswillig ist.
    13. In Schritt 13 wird eine Antwortaufgabe erstellt, damit der Benutzer die Überprüfung nach dem Incident abschließen kann, bevor die Aufgabe geschlossen wird.