Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Después de configurar la protección de Microsoft Teams en Microsoft Defender para Office 365, debe integrar las funcionalidades de protección de Teams en los procesos de respuesta de Operaciones de seguridad (SecOps). Este proceso es fundamental para garantizar un enfoque confiable y de alta calidad para proteger, detectar y responder a amenazas de seguridad relacionadas con la colaboración.
La participación del equipo de SecOps durante las fases de implementación o piloto garantiza que su organización esté lista para hacer frente a las amenazas. Las funcionalidades de protección de Teams en Defender para Office 365 se integran de forma nativa en las herramientas y flujos de trabajo de SecOps Defender para Office 365 y Defender XDR existentes.
Otro paso importante es asegurarse de que los miembros del equipo de SecOps tienen los permisos adecuados para realizar sus tareas.
Integración de mensajes de Teams notificados por el usuario en la respuesta a incidentes de SecOps
Cuando los usuarios notifican mensajes de Teams como potencialmente malintencionados o no malintencionados, los mensajes notificados se envían a Microsoft o al buzón de informes tal como se define en la configuración notificada por el usuario en Defender para Office 365.
El mensaje de Teams notificado por el usuario como riesgo de seguridad y el mensaje de Teams notificado por el usuario como alertas de riesgo de seguridad se generan y correlacionan automáticamente con Defender XDR incidentes para informes de usuarios malintencionados y no malintencionados, respectivamente.
Se recomienda encarecidamente que los miembros del equipo de SecOps inicien la evaluación e investigación de la cola de incidentes de Defender XDR en el portal de Microsoft Defender o la integración de SIEM/SOAR.
Sugerencia
Actualmente, el mensaje de Teams notificado por el usuario como riesgo de seguridad y el mensaje de Teams notificado por el usuario como alertas de riesgo de seguridad no generan investigaciones automatizadas de investigación y respuesta (AIR).
Los miembros del equipo de SecOps pueden revisar los detalles del mensaje enviado de Teams en las siguientes ubicaciones en el portal de Defender:
- La acción Ver envío en el incidente de Defender XDR.
- La pestaña Usuario notificado de la página Envíos en https://security.microsoft.com/reportsubmission?viewid=user:
- Los administradores pueden enviar mensajes de Teams notificados por el usuario a Microsoft para su análisis desde la pestaña Usuario notificado . Las entradas de la pestaña Mensajes de Teams son el resultado de enviar manualmente mensajes de Teams notificados por el usuario a Microsoft (conversión del envío del usuario a un envío de administrador).
- Los administradores pueden usar Marcar y notificar los mensajes de Teams notificados para enviar correo electrónico de respuesta a los usuarios que notificaron mensajes.
Los miembros del equipo de SecOps también pueden usar entradas de bloque en la lista de permitidos o bloqueados de inquilinos para bloquear los siguientes indicadores de peligro:
- Direcciones URL sospechosas aún no identificadas por Defender para Office 365. Las entradas de bloque de direcciones URL se aplican al hacer clic en Teams cuando la integración de Teams en directivas de vínculos seguros está activada.
- Archivos mediante el valor hash SHA256.
Habilitación de SecOps para administrar de forma proactiva falsos negativos en Microsoft Teams
Los miembros del equipo de SecOps pueden usar la búsqueda de amenazas o la información de fuentes de inteligencia sobre amenazas externas para responder proactivamente a mensajes falsos negativos de Teams (se permiten mensajes incorrectos). Pueden usar la información para bloquear las amenazas de forma proactiva. Por ejemplo:
- Cree entradas de bloque de dirección URL en la lista de permitidos o bloqueados de inquilinos en Defender para Office 365. Las entradas de bloque se aplican en el momento de hacer clic en las direcciones URL de Teams.
- Bloquear dominios en Teams mediante la lista de permitidos o bloqueados de inquilinos.
- Enviar direcciones URL no detectadas a Microsoft mediante el envío del administrador.
Sugerencia
Como se describió anteriormente, los administradores no pueden enviar mensajes de Teams de forma proactiva a Microsoft para su análisis. En su lugar, envían mensajes de Teams notificados por el usuario a Microsoft (conversión del envío del usuario a un envío de administrador).
Habilitación de SecOps para administrar falsos positivos en Microsoft Teams
Los miembros del equipo de SecOps pueden evaluar y responder a mensajes falsos positivos de Teams (mensajes correctos bloqueados) en la página Cuarentena de Defender para Office 365 en https://security.microsoft.com/quarantine. Los mensajes de Teams detectados por la protección automática de cero horas (ZAP) están disponibles en la pestaña Mensajes de Teams . Los miembros del equipo de SecOps pueden tomar medidas sobre estos mensajes. Por ejemplo, obtener una vista previa de los mensajes, descargar mensajes, enviar mensajes a Microsoft para su revisión y liberar los mensajes de la cuarentena.
Los miembros del equipo de SecOps también pueden usar entradas allow en la lista de permitidos o bloqueados de inquilinos para permitir los indicadores clasificados erróneamente:
- Direcciones URL mal identificadas por Defender para Office 365. La dirección URL permite que las entradas se apliquen al hacer clic en Teams cuando la integración de Teams en directivas de vínculos seguros está activada.
- Archivos mediante el valor hash SHA256.
Sugerencia
Los mensajes de Teams liberados de la cuarentena están disponibles para remitentes y destinatarios en la ubicación original en chats y publicaciones de canal de Teams.
Habilitación de SecOps para buscar amenazas y detecciones en Microsoft Teams
Los miembros del equipo de SecOps pueden buscar de forma proactiva mensajes de Teams potencialmente malintencionados, clics en direcciones URL en Teams y archivos detectados como malintencionados. Puede usar esta información para buscar posibles amenazas, analizar patrones y desarrollar detecciones personalizadas en Defender XDR para generar incidentes automáticamente.
En la página Explorador (Explorador de amenazas) del portal de Defender en https://security.microsoft.com/threatexplorerv3:
- Pestaña Malware de contenido : esta pestaña contiene archivos detectados por datos adjuntos seguros para SharePoint, OneDrive y Microsoft Teams. Puede usar los filtros disponibles para buscar datos de detección.
- Pestaña de clic de dirección URL : esta pestaña contiene todos los clics del usuario en las direcciones URL en el correo electrónico, en los archivos de Office admitidos en SharePoint y OneDrive, y en Microsoft Teams. Puede usar los filtros disponibles para buscar datos de detección.
En la página Búsqueda avanzada del portal de Defender en https://security.microsoft.com/v2/advanced-hunting. Las siguientes tablas de búsqueda están disponibles para las amenazas relacionadas con Teams:
Nota:
Las tablas de búsqueda están actualmente en versión preliminar.
- MessageEvents: contiene datos sin procesar sobre todos los mensajes de Teams internos y externos que incluían una dirección URL. La dirección del remitente, el nombre para mostrar del remitente, el tipo de remitente, etc. están disponibles en esta tabla.
- MessagePostDeliveryEvents: contiene datos sin procesar sobre eventos ZAP en mensajes de Teams.
- MessageUrlInfo: contiene datos sin procesar sobre las direcciones URL en los mensajes de Teams.
- UrlClickEvents: contiene datos sin procesar sobre todas las direcciones URL permitidas o bloqueadas que hacen clic los usuarios en los clientes de Teams.
Los miembros del equipo de SecOps pueden combinar estas tablas de búsqueda con otras tablas de carga de trabajo (por ejemplo, EmailEvents o tablas relacionadas con dispositivos) para obtener información sobre las actividades de usuario final.
Por ejemplo, puede usar la siguiente consulta para buscar los clics permitidos en las direcciones URL de los mensajes de Teams que zap quitó:
MessagePostDeliveryEvents | join MessageUrlInfo on TeamsMessageId | join UrlClickEvents on Url | join EmailUrlInfo on Url | where Workload == "Teams" and ActionType1 == "ClickAllowed" | project TimeGenerated, TeamsMessageId, ActionType, RecipientDetails, LatestDeliveryLocation, Url, ActionType1Las consultas de la comunidad en la búsqueda avanzada también ofrecen ejemplos de consultas de Teams.