Przewodnik po operacjach zabezpieczeń dotyczący ochrony aplikacji Teams w Ochrona usługi Office 365 w usłudze Microsoft Defender

Po skonfigurowaniu ochrony usługi Microsoft Teams w Ochrona usługi Office 365 w usłudze Microsoft Defender należy zintegrować funkcje ochrony aplikacji Teams z procesami reagowania operacji zabezpieczeń (SecOps). Ten proces ma kluczowe znaczenie dla zapewnienia wysokiej jakości, niezawodnego podejścia do ochrony, wykrywania i reagowania na zagrożenia bezpieczeństwa związane ze współpracą.

Zaangażowanie zespołu SecOps w fazach wdrażania/pilotażu zapewnia, że organizacja jest gotowa do radzenia sobie z zagrożeniami. Funkcje ochrony aplikacji Teams w Ochrona usługi Office 365 w usłudze Defender są natywnie zintegrowane z istniejącymi narzędziami Ochrona usługi Office 365 w usłudze Defender i Defender XDR SecOps oraz przepływami pracy.

Innym ważnym krokiem jest zapewnienie członkom zespołu SecOps odpowiednich uprawnień do wykonywania swoich zadań.

Integrowanie komunikatów usługi Teams zgłoszonych przez użytkownika z odpowiedzią na zdarzenia secops

Gdy użytkownicy zgłaszają komunikaty usługi Teams jako potencjalnie złośliwe lub niezłomne, zgłoszone wiadomości są wysyłane do firmy Microsoft i/lub do skrzynki pocztowej raportowania zgodnie z definicją ustawień zgłoszonych przez użytkownika w Ochrona usługi Office 365 w usłudze Defender.

Komunikat usługi Teams zgłaszany przez użytkownika jako zagrożenie bezpieczeństwa i komunikat usługi Teams zgłaszany przez użytkownika jako alerty o ryzyku bezpieczeństwa są automatycznie generowane i skorelowane odpowiednio z raportem Defender XDR Zdarzenia dla złośliwych i niezłomnych użytkowników.

Zdecydowanie zalecamy, aby członkowie zespołu SecOps rozpoczynali klasyfikację i badanie z kolejki zdarzeń Defender XDR w portalu Microsoft Defender lub integracji SIEM/SOAR.

Członkowie zespołu SecOps mogą przeglądać przesłane szczegóły komunikatu usługi Teams w następujących lokalizacjach w portalu usługi Defender:

• Akcja Wyświetl przesyłanie w zdarzeniu Defender XDR.
• Karta Zgłaszane przez użytkownika na stronie Przesłane pod adresem https://security.microsoft.com/reportsubmission?viewid=user:
  • Administratorzy mogą przesyłać komunikaty aplikacji Teams zgłaszane przez użytkowników do firmy Microsoft w celu analizy na karcie Zgłaszane przez użytkownika . Wpisy na karcie Komunikaty usługi Teams są wynikiem ręcznego przesyłania do firmy Microsoft komunikatu aplikacji Teams zgłoszonego przez użytkownika (konwertowanie przesłania użytkownika na przesłanie przez administratora).
  • Administratorzy mogą wysyłać wiadomości e-mail z odpowiedziami do użytkowników, którzy zgłaszali wiadomości, za pomocą funkcji Oznacz i powiadamiaj o zgłoszonych wiadomościach usługi Teams.

Członkowie zespołu SecOps mogą również używać wpisów blokowych na liście dozwolonych/zablokowanych dzierżaw, aby zablokować następujące wskaźniki naruszenia zabezpieczeń:

• Podejrzane adresy URL jeszcze niezidentyfikowane przez Ochrona usługi Office 365 w usłudze Defender. Wpisy bloków adresów URL są wymuszane w momencie kliknięcia w aplikacji Teams po włączeniu integracji aplikacji Teams z zasadami bezpiecznych łączy.
• Pliki przy użyciu wartości skrótu SHA256.

Włączanie usługi SecOps w celu proaktywnego zarządzania fałszywymi negatywami w usłudze Microsoft Teams

Członkowie zespołu SecOps mogą używać wyszukiwania zagrożeń lub informacji z zewnętrznych źródeł analizy zagrożeń, aby proaktywnie reagować na fałszywie negatywne komunikaty usługi Teams (niedozwolone komunikaty są niedozwolone). Mogą oni używać tych informacji do proaktywnego blokowania zagrożeń. Przykład:

• Utwórz wpisy bloku adresu URL na liście dozwolonych/zablokowanych dzierżaw w Ochrona usługi Office 365 w usłudze Defender. Wpisy blokowe są stosowane w momencie kliknięcia adresów URL w usłudze Teams.
• Blokuj domeny w usłudze Teams przy użyciu listy dozwolonych/zablokowanych dzierżaw.
• Prześlij niewykryte adresy URL do firmy Microsoft przy użyciu przesyłania przez administratora.

Włączanie usługi SecOps w celu zarządzania wynikami fałszywie dodatnimi w usłudze Microsoft Teams

Członkowie zespołu SecOps mogą klasyfikować i odpowiadać na fałszywie dodatnie komunikaty usługi Teams (dobre komunikaty zablokowane) na stronie Kwarantanna w Ochrona usługi Office 365 w usłudze Defender pod adresem https://security.microsoft.com/quarantine. Komunikaty usługi Teams wykryte przez automatyczną ochronę o wartości zero godzin (ZAP) są dostępne na karcie Komunikaty usługi Teams . Członkowie zespołu SecOps mogą podejmować działania w przypadku tych komunikatów. Na przykład podgląd komunikatów, pobieranie komunikatów, przesyłanie wiadomości do firmy Microsoft do przeglądu i zwalnianie komunikatów z kwarantanny.

Członkowie zespołu SecOps mogą również używać pozycji zezwalania na wpisy na liście dozwolonych/zablokowanych dzierżaw, aby zezwolić na błędnie sklasyfikowane wskaźniki:

• Adresy URL błędnie identyfikowane przez Ochrona usługi Office 365 w usłudze Defender. Adres URL zezwala na wymuszanie wpisów w momencie kliknięcia w aplikacji Teams, gdy integracja aplikacji Teams w zasadach bezpiecznych linków jest włączona.
• Pliki przy użyciu wartości skrótu SHA256.

Włączanie usługi SecOps w celu wyszukiwania zagrożeń i wykrywania w usłudze Microsoft Teams

Członkowie zespołu SecOps mogą proaktywnie wyszukiwać potencjalnie złośliwe komunikaty usługi Teams, kliknięcia adresu URL w usłudze Teams i wykryty plik jako złośliwy. Te informacje umożliwiają znajdowanie potencjalnych zagrożeń, analizowanie wzorców i opracowywanie wykrywania niestandardowego w Defender XDR w celu automatycznego generowania zdarzeń.

• Na stronie Eksplorator (Eksplorator zagrożeń) w portalu usługi Defender pod adresem https://security.microsoft.com/threatexplorerv3:

  • Karta Złośliwe oprogramowanie zawartości: ta karta zawiera pliki wykryte przez bezpieczne załączniki dla programów SharePoint, OneDrive i Microsoft Teams. Dostępne filtry umożliwiają wyszukiwanie danych wykrywania.
  • Karta kliknięcia adresu URL: ta karta zawiera wszystkie kliknięcia adresów URL użytkowników w wiadomości e-mail, w obsługiwanych plikach pakietu Office w programach SharePoint i OneDrive oraz w usłudze Microsoft Teams. Dostępne filtry umożliwiają wyszukiwanie danych wykrywania.

• Na stronie Zaawansowane wyszukiwanie zagrożeń w portalu usługi Defender pod adresem https://security.microsoft.com/v2/advanced-hunting. Następujące tabele zagrożeń są dostępne dla zagrożeń związanych z usługą Teams:

  Uwaga

  Tabele wyszukiwania zagrożeń są obecnie dostępne w wersji zapoznawczej.

  • MessageEvents: zawiera nieprzetworzone dane dotyczące każdego wewnętrznego i zewnętrznego komunikatu usługi Teams zawierającego adres URL. Adres nadawcy, nazwa wyświetlana nadawcy, typ nadawcy i inne są dostępne w tej tabeli.
  • MessagePostDeliveryEvents: zawiera nieprzetworzone dane dotyczące zdarzeń ZAP w komunikatach usługi Teams.
  • MessageUrlInfo: zawiera nieprzetworzone dane dotyczące adresów URL w komunikatach usługi Teams.
  • UrlClickEvents: zawiera nieprzetworzone dane o każdym dozwolonym lub zablokowanym adresie URL klikanym przez użytkowników w klientach usługi Teams.

  Członkowie zespołu secOps mogą dołączyć te tabele wyszukiwania zagrożeń do innych tabel obciążeń (na przykład emailEvents lub tabel związanych z urządzeniami), aby uzyskać wgląd w działania użytkowników końcowych.

  Na przykład możesz użyć następującego zapytania, aby wyszukiwać dozwolone kliknięcia adresów URL w komunikatach usługi Teams, które zostały usunięte przez zap:

  MessagePostDeliveryEvents
  | join MessageUrlInfo on TeamsMessageId
  | join UrlClickEvents on Url
  | join EmailUrlInfo on Url
  | where Workload == "Teams" and ActionType1 == "ClickAllowed"
  | project TimeGenerated, TeamsMessageId, ActionType, RecipientDetails, LatestDeliveryLocation, Url, ActionType1
  

  Zapytania społeczności w ramach zaawansowanego wyszukiwania zagrożeń oferują również przykłady zapytań usługi Teams.