Utiliser le playbook Fichier malveillant détecté Office 365

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Utilisez ce playbook pour enquêter sur les fichiers malveillants détectés dans Office 365. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook Fichier malveillant détecté Office 365.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vous devez extraire le fichier malveillant de la console Office 365.
    2. Dans l’action 2, vous devez analyser si le fichier ou le hachage a été ajouté en tant qu’observable dans la plateforme Threat Intel.
    3. Dans l’action 3, vous devez examiner le nom et le chemin d’accès du fichier pour déterminer s’il s’agit d’un fichier/d’une application connue ou non malveillante.
      Figure 1. Playbook de fichier malveillant Office 365 détecté
      Tâches de réponse pour déterminer s’il s’agit d’un fichier/d’une application connue ou non malveillante.
    4. Dans l’action 4, vous devez soumettre le fichier à Sandbox pour analyser les résultats.
    5. Dans l’action 5, sur la base de l’enquête effectuée jusqu’à présent, vous devez vérifier si le fichier ou le hachage est malveillant ou non.
      Si le fichier ou le hachage n’est pas malveillant, une tâche de réponse manuelle est créée dans l’action 5 et le flux s’arrête.
    6. Dans l’action 6, si le fichier ou le hachage est malveillant, les actions 7 et 8 sont exécutées.
    7. Dans l’action 7, vous devez contacter l’utilisateur final pour obtenir une justification commerciale valable expliquant pourquoi il a un fichier malveillant sur l’appareil.
      Si le fichier ou le hachage est malveillant, vous pouvez utiliser le modèle d’e-mail préexistant dans le playbook pour envoyer un e-mail à l’utilisateur final demandant des clarifications.
    8. Dans l’action 8, vous devez vérifier si l’utilisateur final a fourni une justification commerciale valable ou non.
      Si l’utilisateur final a fourni une justification commerciale valide, une tâche de réponse manuelle est créée dans l’action 5 et le flux s’arrête.
    9. Dans l’action 9, si l’utilisateur n’a pas fourni de justification commerciale valide, les actions 10, 11 et 12 sont exécutées.
      Figure 2. Justification commerciale du fichier malveillant
      Tâches de réponse en l’absence de justification commerciale valable pour le fichier malveillant
    10. Dans l’action 10, étant donné qu’il n’y a pas de justification commerciale valable, vous pouvez transmettre le fichier ou le hachage malveillant à l’équipe Threat Intelligence pour examen.
    11. Dans l’action 11, vous devez exécuter le script Malware bytes scanner pour vérifier si le fichier ou le hachage est malveillant.
    12. Dans l’action 12, vous devez effectuer une analyse médico-légale pour vérifier si le fichier ou le hachage est malveillant.
    13. Dans l’action 13, une tâche de réponse est créée pour que l’utilisateur termine l’examen post-incident avant de fermer la tâche.