Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Depois de configurar a proteção do Microsoft Teams no Microsoft Defender para Office 365, tem de integrar as capacidades de proteção do Teams nos seus processos de resposta de Operações de Segurança (SecOps). Este processo é fundamental para garantir uma abordagem fiável e de alta qualidade para proteger, detetar e responder a ameaças de segurança relacionadas com a colaboração.
Envolver a equipa do SecOps durante as fases de implementação/piloto garante que a sua organização está pronta para lidar com ameaças. As capacidades de proteção do Teams no Defender para Office 365 estão integradas nativamente nos fluxos de trabalho e ferramentas secOps de Defender para Office 365 e Defender XDR existentes.
Outro passo importante é garantir que os membros da equipa do SecOps têm as permissões adequadas para realizar as suas tarefas.
Integrar mensagens do Teams comunicadas pelo utilizador na resposta a incidentes do SecOps
Quando os utilizadores comunicam mensagens do Teams como potencialmente maliciosas ou não maliciosas, as mensagens comunicadas são enviadas para a Microsoft e/ou para a caixa de correio de relatórios, conforme definido pelas definições comunicadas pelo utilizador no Defender para Office 365.
A mensagem do Teams comunicada pelo utilizador como risco de segurança e a mensagem do Teams comunicada pelo utilizador como não sendo alertas de risco de segurança são automaticamente gerados e correlacionados com Defender XDR Incidentes para relatórios de utilizadores maliciosos e não maliciosos, respetivamente.
Recomendamos vivamente que os membros da equipa do SecOps iniciem a triagem e a investigação a partir da fila Defender XDR incidentes no portal do Microsoft Defender ou na integração SIEM/SOAR.
Sugestão
Atualmente, a mensagem do Teams comunicada pelo utilizador como risco de segurança e a mensagem do Teams comunicada pelo utilizador como não os alertas de risco de segurança não geram investigações de investigação e resposta automatizadas (AIR).
Os membros da equipa do SecOps podem rever os detalhes da mensagem submetida do Teams nas seguintes localizações no portal do Defender:
- A ação Ver submissão no incidente Defender XDR.
- O separador Utilizador reportado da página Submissões em https://security.microsoft.com/reportsubmission?viewid=user:
- Os administradores podem submeter mensagens reportadas pelo utilizador do Teams à Microsoft para análise a partir do separador Relatório do utilizador. As entradas no separador mensagens do Teams são o resultado da submissão manual da mensagem do Teams comunicada pelo utilizador à Microsoft (a conversão da submissão do utilizador para uma submissão de administrador).
- Os administradores podem utilizar o Mark e notificar as mensagens comunicadas do Teams para enviar e-mails de resposta aos utilizadores que comunicaram mensagens.
Os membros da equipa do SecOps também podem utilizar entradas de blocos na Lista de Permissões/Bloqueios de Inquilinos para bloquear os seguintes indicadores de comprometimento:
- URLs suspeitos ainda não identificados por Defender para Office 365. As entradas de blocos de URL são impostas no momento em que clicam no Teams quando a integração do Teams nas políticas de Ligações Seguras está ativada.
- Ficheiros com o valor hash SHA256.
Ativar o SecOps para gerir proativamente falsos negativos no Microsoft Teams
Os membros da equipa do SecOps podem utilizar a investigação de ameaças ou informações de feeds de informações sobre ameaças externas para responder proativamente a mensagens falsas negativas do Teams (mensagens incorretas permitidas). Podem utilizar as informações para bloquear proativamente ameaças. Por exemplo:
- Crie entradas de blocos de URL na Lista de Permissões/Bloqueios de Inquilinos no Defender para Office 365. As entradas de bloco aplicam-se no momento do clique para URLs no Teams.
- Bloquear domínios no Teams com a Lista de Permissões/Bloqueios de Inquilinos.
- Submeta URLs não detetados à Microsoft através da submissão de administradores.
Sugestão
Conforme descrito anteriormente, os administradores não podem submeter proativamente mensagens do Teams à Microsoft para análise. Em vez disso, submetem mensagens comunicadas pelo utilizador do Teams à Microsoft (convertendo a submissão do utilizador numa submissão de administrador).
Ativar o SecOps para gerir falsos positivos no Microsoft Teams
Os membros da equipa do SecOps podem fazer a triagem e responder a mensagens falsas positivas do Teams (boas mensagens bloqueadas) na página Quarentena no Defender para Office 365 em https://security.microsoft.com/quarantine. As mensagens do Teams detetadas pela proteção automática de zero horas (ZAP) estão disponíveis no separador Mensagens do Teams . Os membros da equipa do SecOps podem tomar medidas nestas mensagens. Por exemplo, pré-visualizar mensagens, transferir mensagens, submeter mensagens para a Microsoft para revisão e libertar as mensagens da quarentena.
Os membros da equipa do SecOps também podem utilizar entradas de permissão na Lista de Permissões/Bloqueios de Inquilinos para permitir os indicadores mal classificados:
- Os URLs foram identificados incorretamente por Defender para Office 365. O URL permite que as entradas sejam impostas no momento do clique no Teams quando a integração do Teams nas políticas de Ligações Seguras está ativada.
- Ficheiros com o valor hash SHA256.
Sugestão
As mensagens do Teams divulgadas a partir da quarentena estão disponíveis para remetentes e destinatários na localização original em chats do Teams e publicações de canal.
Ativar o SecOps para investigar ameaças e deteções no Microsoft Teams
Os membros da equipa do SecOps podem procurar proativamente mensagens do Teams potencialmente maliciosas, cliques em URL no Teams e ficheiros detetados como maliciosos. Pode utilizar estas informações para encontrar potenciais ameaças, analisar padrões e desenvolver deteções personalizadas no Defender XDR para gerar incidentes automaticamente.
Na página Do Explorador (Explorador de Ameaças) no portal do Defender em https://security.microsoft.com/threatexplorerv3:
- Separador Software Maligno de Conteúdo : este separador contém ficheiros detetados por Anexos Seguros para o SharePoint, OneDrive e Microsoft Teams. Pode utilizar os filtros disponíveis para investigar dados de deteção.
- Separador de clique do URL : este separador contém todos os cliques de utilizador em URLs no e-mail, em ficheiros suportados do Office no SharePoint e no OneDrive e no Microsoft Teams. Pode utilizar os filtros disponíveis para investigar dados de deteção.
Na página Investigação avançada no portal do Defender em https://security.microsoft.com/v2/advanced-hunting. As seguintes tabelas de investigação estão disponíveis para ameaças relacionadas com o Teams:
Nota
As tabelas de investigação estão atualmente em Pré-visualização.
- MessageEvents: contém dados não processados sobre todas as mensagens internas e externas do Teams que incluíam um URL. O endereço do remetente, o Nome a apresentar do remetente, o Tipo de remetente e muito mais estão disponíveis nesta tabela.
- MessagePostDeliveryEvents: contém dados não processados sobre eventos ZAP em mensagens do Teams.
- MessageUrlInfo: contém dados não processados sobre URLs em mensagens do Teams.
- UrlClickEvents: contém dados não processados sobre todos os URLs permitidos ou bloqueados, clicando por utilizadores em clientes do Teams.
Os membros da equipa do SecOps podem associar estas tabelas de investigação a outras tabelas de carga de trabalho (por exemplo, EmailEvents ou Tabelas relacionadas com dispositivos) para obter informações sobre as atividades do utilizador final para o fim.
Por exemplo, pode utilizar a seguinte consulta para procurar cliques permitidos em URLs em mensagens do Teams que foram removidas pelo ZAP:
MessagePostDeliveryEvents | join MessageUrlInfo on TeamsMessageId | join UrlClickEvents on Url | join EmailUrlInfo on Url | where Workload == "Teams" and ActionType1 == "ClickAllowed" | project TimeGenerated, TeamsMessageId, ActionType, RecipientDetails, LatestDeliveryLocation, Url, ActionType1As consultas da comunidade na investigação avançada também oferecem exemplos de consultas do Teams.