Office 365安全:基于行動手冊的自動事件響應
責編:gltian |2019-09-17 14:34:04在Office 365 ATP中?引入?自動事件響應五個月后,微軟宣布它將被更廣泛地應用。
選擇Office 365 ATP Plan 2,Office 365 E5或?Microsoft 365?E5安全的客戶現在可以通過使用自動響應使其SecOps團隊的工作更輕松。
針對最常見威脅的安全戰術
Microsoft針對以下情況提供了不同的行動手冊:
- 當用戶使用outlook或outlook on the web中的“報告郵件”項加載仿冒報告郵件時,將觸發警報并在戰術啟動之后自動進行調查
- 攻擊者通常在發送電子郵件后對鏈接進行武器化。用戶單擊此類鏈接將觸發警報,并在URL裁決更改行動手冊之后進行自動調查,該行動手冊將關聯Office 365中相關用戶的類似電子郵件和可疑活動。
- – 當Office 365 ATP檢測到和/或ZAP包含惡意軟件的電子郵件時,警報會在電子郵件出現在用戶收件箱中時觸發對Office 365中類似電子郵件和相關用戶操作的自動調查,例如已經為用戶提供服務的相關設備
- 當Office 365 ATP檢測到和/或攔截以前發送到用戶郵箱的網絡釣魚電子郵件時,警報將觸發對Office 365中類似電子郵件和相關用戶操作的自動調查,以確定電子郵件在用戶的收件箱中存在的時間段。(它還能計算用戶是否單擊了任何鏈接)
這些跟隨行動手冊進行的自動調查可以設置為在發出警報時觸發,但也可以由安全團隊通過威脅瀏覽器工具手動觸發。
“這些戰術基本上是一系列經過仔細記錄的步驟,可以全面調查警報并提供一系列建議的遏制和緩解措施,”?Office 365集團項目經理Girish Chander?解釋道?。
“它們關聯組織內發送或接收的類似電子郵件以及相關用戶的任何可疑活動。用戶標記的活動可能包括郵件轉發,郵件委派,違反Office 365數據丟失(DLP)或可疑電子郵件發送模式。“微軟計劃在未來增加新的腳本。
觸發自動調查后會發生什么?
我們以第一個場景為例。
用戶報告電子郵件為惡意郵件,用戶報告的消息觸發基于系統的信息警報,警報啟動調查行動手冊。
行動手冊中包括幾個步驟:根調查、威脅調查和狩獵,最后是補救。
根調查包括對可疑電子郵件各個方面的評估(它是什么類型的威脅,是誰發送的,它是否與已知的活動相關,等等)。一旦完成,自動響應就為SecOps團隊提供了一個他們可以對惡意電子郵件和與之相關的實體采取的建議操作的列表。
威脅調查和搜索階段包括跨平臺信息共享和一些自動操作和檢查,所有這些操作和檢查都是為了識別相似的電子郵件,是否有任何用戶點擊了所有這些電子郵件中的惡意鏈接,以及是否有一些用戶被壓縮,淘汰了。
原文鏈接:https://www.helpnetsecurity.com/2019/09/10/office-365-incident-response/
轉載自安全加:http://toutiao.secjia.com/article/page?topid=111967