Visão geral

Como analista de incidentes de segurança, você executa a integração a partir da interface do analista de segurança e o fluxo de trabalho retorna detalhes da mensagem de e-mail que correspondem aos critérios de pesquisa. As pesquisas de e-mail são baseadas em critérios que incluem linhas de assunto e endereços de e-mail do remetente e do destinatário. Depois que a pesquisa de e-mail for concluída, você poderá excluir e-mails suspeitos do serviço Microsoft Exchange Online e um processo de aprovação opcional pode ser configurado para solicitar aprovação antes de excluir e-mails.

Esta integração de pesquisa e exclusão de e-mail pode ser usada com um fluxo de trabalho de incidente de resposta de phishing mais amplo ou runbook. Depois que um usuário corporativo ou funcionário recebe um e-mail suspeito e o relata para a equipe de resposta de phishing da empresa ou para a caixa de entrada, o e-mail relatado é encaminhado para o Now Platform e categorizado como um incidente de segurança. Depois de verificar que um e-mail é um ataque de phishing, como analista responsável pela investigação de incidentes de phishing, você pode iniciar uma pesquisa de e-mail para determinar se outros usuários corporativos receberam esse e-mail de phishing. A pesquisa permite localizar e-mails relacionados da mesma campanha de phishing e identificar outras possíveis vítimas que podem ter recebido o e-mail, lido e também clicado em um URL malicioso ou aberto um anexo.

Principais recursos

A integração inclui os seguintes recursos principais:

• Configure os critérios de pesquisa para ameaças de phishing no Security Incident Response com base nas combinações dos campos de remetente, destinatário e assunto das mensagens de e-mail.
• Para pesquisas de e-mail grandes e demoradas, o analista de incidentes de segurança é notificado por e-mail quando a pesquisa é concluída com sucesso, junto com o número de mensagens correspondentes.
• O status de mensagens individuais informa se os destinatários leram ou excluíram e-mails suspeitos.
• Se configurados, os processos de aprovação opcionais garantem que os e-mails suspeitos não sejam excluídos sem aprovação prévia.
• Uma trilha de auditoria completa para solicitações de exclusão que inclui o número de e-mails excluídos é registrada nas anotações de trabalho dos incidentes de segurança.
• Se a marcação estiver configurada, os marcadores de segurança registrarão quando os fluxos de trabalho de pesquisa e exclusão de e-mail forem iniciados e concluídos com sucesso em incidentes de segurança.

Microsoft Exchange Online Versões compatíveis

Esta integração oferece suporte a serviços Microsoft Exchange Online, que fazem parte do pacote do Microsoft Office 365. A integração não é compatível com ambientes do Exchange hospedados Microsoft. Microsoft executa Microsoft Exchange Online serviços na versão do Exchange 2016.

Pré-requisitos

O plug-in com.snc.si_dep é necessário para qualquer versão Now Platform. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Security Incident Response. Instale e ative este plug-in antes de instalar e ativar as outras Security Operations aplicações.

Arquitetura de integração e conexão de sistemas

Para obter mais informações sobre a arquitetura da integração, incluindo termos-chave e detalhes de conexão de sistemas externos, consulte Arquitetura de integração e conexão de sistemas externos para a integração Microsoft Exchange Online.

Check-list

Os tópicos a seguir são numerados. Siga os tópicos listados abaixo na ordem em que são apresentados para uma instalação e configuração simples da aplicação.

Para obter uma check-list imprimível dessas etapas, consulte Check-list para a integração Microsoft Exchange Online. Você pode usar esta lista para monitorar seu andamento enquanto trabalha nas tarefas de ponta a ponta da configuração de integração, configuração e verificação de resultados.

Limitações