Visão geral

Como analista de incidentes de segurança, você executa a integração na interface do analista de segurança e o fluxo de trabalho retorna detalhes da mensagem de e-mail que correspondem aos critérios de pesquisa. As pesquisas de e-mail são baseadas em critérios que incluem linhas de assunto e endereços de e-mail do remetente e do destinatário. Depois que a pesquisa de e-mail for concluída, você poderá excluir e-mails suspeitos do serviço Microsoft Exchange Online e um processo de aprovação opcional pode ser configurado para solicitar aprovação antes de excluir e-mails.

Esta integração de pesquisa e exclusão de e-mail pode ser usada com um runbook ou fluxo de trabalho de incidente de resposta de phishing mais amplo. Depois que um usuário ou funcionário corporativo recebe um e-mail suspeito e o relata à equipe de resposta a phishing ou à caixa de entrada da empresa, o e-mail relatado é encaminhado para Now Platform e categorizado como um incidente de segurança. Depois de verificar que um e-mail é um ataque de phishing, como analista responsável pela investigação de incidentes de phishing, você pode iniciar uma pesquisa de e-mail para determinar se outros usuários corporativos receberam esse e-mail de phishing. A pesquisa permite localizar e-mails relacionados da mesma campanha de phishing e identificar outras possíveis vítimas que podem ter recebido o e-mail, lido e também clicado em uma URL mal-intencionada ou aberto um anexo.

Principais recursos

A integração inclui os seguintes recursos principais:

• Configure os critérios de pesquisa para ameaças de phishing no Security Incident Response com base nas combinações dos campos remetente, destinatário e assunto nas mensagens de e-mail.
• Para pesquisas de e-mail grandes e demoradas, o analista de incidentes de segurança é notificado por e-mail quando a pesquisa é concluída com sucesso, junto com o número de mensagens correspondentes.
• O status de mensagens individuais informa se os destinatários leram ou excluíram e-mails suspeitos.
• Se configurados, os processos de aprovação opcionais garantem que e-mails suspeitos não sejam excluídos sem aprovação prévia.
• Uma trilha de auditoria completa para solicitações de exclusão que inclui o número de e-mails excluídos é registrada nas anotações de trabalho dos incidentes de segurança.
• Se a marcação estiver configurada, os marcadores de segurança serão registrados quando os fluxos de trabalho de pesquisa e exclusão de e-mail forem iniciados e concluídos com sucesso em incidentes de segurança.

Versões da Microsoft Exchange Online compatíveis

Esta integração oferece suporte a Microsoft Exchange Online serviços, que fazem parte do pacote Microsoft do Office 365. A integração não é compatível com ambientes hospedados Microsoft do Exchange. Microsoft executa Microsoft Exchange Online serviços na versão do Exchange 2016.

Pré-requisitos

O plug-in com.snc.si_dep é necessário para qualquer versão Now Platform. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Security Incident Response. Instale e ative este plug-in antes de instalar e ativar as outras Operações de segurança aplicações.

Arquitetura de integração e conexão de sistemas

Para obter mais informações sobre a arquitetura da integração, incluindo termos-chave e detalhes da conexão de sistemas externos, consulte Arquitetura de integração e conexão de sistemas externos para a integração Microsoft Exchange Online.

Check-list

Os tópicos a seguir estão numerados. Siga os tópicos listados abaixo na ordem em que são apresentados para uma instalação e configuração tranquilas da aplicação.

Para obter uma check-list imprimível dessas etapas, consulte Check-list para a integração Microsoft Exchange Online. Você pode usar essa lista para monitorar o andamento enquanto trabalha nas tarefas de ponta a ponta da configuração de integração, configuração e verificação de resultados.