Use o playbook do arquivo malicioso detectado do Office 365

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • As etapas a seguir fornecem instruções sobre as ações, tarefas e subfluxos que estão disponíveis no playbook do Office 365 Arquivo malicioso detectado.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Certifique-se de ter instalado o Security Operations Spoke (sn_sec_spoke).

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Etapa 1, você precisa extrair o arquivo mal-intencionado do console do Office 365.
    2. Na etapa 2, você precisa analisar se o arquivo ou o hash foi adicionado como um observável na plataforma de inteligência de ameaça.
    3. Na Etapa 3, você precisa investigar o nome e o caminho do arquivo para determinar se é um arquivo/aplicação conhecido ou não malicioso.
      Figura 1. Playbook de arquivo malicioso detectado do Office 365
      Tarefas de resposta para determinar se é um arquivo/aplicação conhecido ou não malicioso.
    4. Na Etapa 4, você precisa enviar o arquivo para Sandbox para analisar os resultados.
    5. Na etapa 5, com base na investigação feita até o momento, você precisa verificar se o arquivo ou o hash é malicioso ou não.
      Se o arquivo ou o hash não for mal-intencionado, uma tarefa de resposta manual será criada na Etapa 5 e o fluxo será encerrado.
    6. Na etapa 6, se o arquivo ou hash for mal-intencionado, as etapas 7 e 8 serão executadas.
    7. Na etapa 7, você precisa entrar em contato com o usuário final para obter uma justificativa comercial válida sobre o motivo pelo qual ele tem um arquivo mal-intencionado no dispositivo.
      Se o arquivo ou o hash forem mal-intencionados, você poderá usar o modelo de e-mail preexistente no playbook para enviar um e-mail ao usuário final solicitando esclarecimentos.
    8. Na etapa 8, você precisa verificar se o usuário final forneceu uma justificativa comercial válida ou não.
      Se o usuário final forneceu uma justificativa de negócios válida, uma tarefa de resposta manual será criada na Etapa 5 e o fluxo será encerrado.
    9. Na etapa 9, se o usuário não forneceu uma justificativa de negócios válida, as etapas 10, 11 e 12 serão executadas.
      Figura 2. Justificativa de negócios para o arquivo malicioso
      Tarefas de resposta se não houver justificativa comercial válida para o arquivo mal-intencionado
    10. Na etapa 10, como não havia justificativa comercial válida, você pode encaminhar o arquivo mal-intencionado ou o hash para a equipe de inteligência contra ameaças para revisão.
    11. Na Etapa 11, você precisa executar o script do scanner de bytes de malware para verificar se o arquivo ou o hash são mal-intencionados.
    12. Na Etapa 12, você precisa executar uma análise forense para verificar se o arquivo ou o hash são mal-intencionados.
    13. Na Etapa 13, uma tarefa de resposta é criada para que o usuário conclua a revisão pós-incidente antes de fechar a tarefa.