Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Dopo aver configurato la protezione di Microsoft Teams in Microsoft Defender per Office 365, è necessario integrare le funzionalità di protezione di Teams nei processi di risposta SecOps (Security Operations). Questo processo è fondamentale per garantire un approccio affidabile e di alta qualità per proteggere, rilevare e rispondere alle minacce alla sicurezza correlate alla collaborazione.
Il coinvolgimento del team SecOps durante le fasi di distribuzione/pilota assicura che l'organizzazione sia pronta a gestire le minacce. Le funzionalità di protezione di Teams in Defender per Office 365 sono integrate in modo nativo negli strumenti e nei flussi di lavoro Defender per Office 365 esistenti e Defender XDR SecOps.
Un altro passaggio importante consiste nel garantire che i membri del team SecOps dispongano delle autorizzazioni appropriate per eseguire le attività.
Integrare i messaggi di Teams segnalati dall'utente nella risposta agli eventi imprevisti secOps
Quando gli utenti segnalano i messaggi di Teams come potenzialmente dannosi, i messaggi segnalati vengono inviati a Microsoft e/o alla cassetta postale di report come definito dalle impostazioni segnalate dall'utente in Defender per Office 365.
Il messaggio di Teams segnalato dall'utente come avviso di rischio per la sicurezza viene generato automaticamente e correlato agli eventi imprevisti Defender XDR.
È consigliabile che i membri del team SecOps inizino la valutazione e l'analisi dalla coda degli eventi imprevisti Defender XDR nel portale di Microsoft Defender o nell'integrazione SIEM/SOAR.
Consiglio
Attualmente, il messaggio di Teams segnalato dall'utente come avvisi di rischio per la sicurezza non genera indagini automatizzate di indagine e risposta (AIR).
I membri del team secOps possono esaminare i dettagli dei messaggi inviati di Teams nelle posizioni seguenti nel portale di Defender:
- Azione Visualizza invio nell'evento imprevisto Defender XDR.
- La scheda Utente segnalata della pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission?viewid=user:
- Gli amministratori possono inviare messaggi di Teams segnalati dall'utente a Microsoft per l'analisi dalla scheda Utente segnalato . Le voci nella scheda Messaggi di Teams sono il risultato dell'invio manuale del messaggio di Teams segnalato dall'utente a Microsoft (conversione dell'invio dell'utente in un invio amministratore).
- Gli amministratori possono usare Contrassegno e inviare notifiche ai messaggi di Teams segnalati per inviare messaggi di risposta agli utenti che hanno segnalato i messaggi.
I membri del team SecOps possono anche usare voci di blocco nell'elenco tenant consentiti/bloccati per bloccare gli indicatori di compromissione seguenti:
- URL sospetti non ancora identificati da Defender per Office 365. Le voci di blocco URL vengono applicate al momento del clic in Teams quando è attivata l'integrazione di Teams nei criteri di collegamenti sicuri.
- File usando il valore hash SHA256.
Abilitare SecOps per gestire in modo proattivo i falsi negativi in Microsoft Teams
I membri del team SecOps possono usare la ricerca delle minacce o le informazioni provenienti da feed di intelligence sulle minacce esterni per rispondere in modo proattivo ai falsi messaggi negativi di Teams (messaggi non validi consentiti). Possono usare le informazioni per bloccare in modo proattivo le minacce. Ad esempio:
- Creare voci di blocco URL nell'elenco tenant consentiti/bloccati in Defender per Office 365. Le voci di blocco si applicano al momento del clic per gli URL in Teams.
- Bloccare i domini in Teams usando l'interfaccia di amministrazione di Teams.
- Inviare URL non rilevati a Microsoft usando l'invio amministratore.
Consiglio
Come descritto in precedenza, gli amministratori non possono inviare in modo proattivo i messaggi di Teams a Microsoft per l'analisi. Al contrario, inviano messaggi di Teams segnalati dall'utente a Microsoft (conversione dell'invio dell'utente in un invio amministratore).
Abilitare SecOps per gestire i falsi positivi in Microsoft Teams
I membri del team SecOps possono valutare e rispondere ai messaggi di Teams falsi positivi (messaggi validi bloccati) nella pagina Quarantena in Defender per Office 365 all'indirizzo https://security.microsoft.com/quarantine.
I messaggi di Teams rilevati dalla protezione automatica a zero ore (ZAP) sono disponibili nella scheda Messaggi di Teams . I membri del team SecOps possono intervenire su questi messaggi. Ad esempio, visualizzare in anteprima i messaggi, scaricare i messaggi, inviare messaggi a Microsoft per la revisione e rilasciare i messaggi dalla quarantena.
Consiglio
I messaggi di Teams rilasciati dalla quarantena sono disponibili per mittenti e destinatari nella posizione originale nelle chat e nei post del canale di Teams.
Abilitare SecOps per la ricerca di minacce e rilevamenti in Microsoft Teams
I membri del team SecOps possono cercare in modo proattivo messaggi di Teams potenzialmente dannosi, clic url in Teams e file rilevato come dannoso. È possibile usare queste informazioni per individuare potenziali minacce, analizzare i modelli e sviluppare rilevamenti personalizzati in Defender XDR per generare automaticamente eventi imprevisti.
Nella pagina Esplora risorse (Esplora minacce) nel portale di Defender all'indirizzo https://security.microsoft.com/threatexplorerv3:
- Scheda Malware contenuto : questa scheda contiene i file rilevati da Allegati sicuri per SharePoint, OneDrive e Microsoft Teams. È possibile usare i filtri disponibili per individuare i dati di rilevamento.
- Scheda clic URL : questa scheda contiene tutti i clic degli utenti sugli URL nella posta elettronica, nei file di Office supportati in SharePoint e OneDrive e in Microsoft Teams. È possibile usare i filtri disponibili per individuare i dati di rilevamento.
Nella pagina Ricerca avanzata nel portale di Defender all'indirizzo https://security.microsoft.com/v2/advanced-hunting. Le tabelle di ricerca seguenti sono disponibili per le minacce correlate a Teams:
Nota
Le tabelle di ricerca sono attualmente in anteprima.
- MessageEvents: contiene dati non elaborati su ogni messaggio di Teams interno ed esterno che include un URL. L'indirizzo mittente, il nome visualizzato del mittente, il tipo di mittente e altro ancora sono disponibili in questa tabella.
- MessagePostDeliveryEvents: contiene dati non elaborati sugli eventi ZAP nei messaggi di Teams.
- MessageUrlInfo: contiene dati non elaborati sugli URL nei messaggi di Teams.
- UrlClickEvents: contiene dati non elaborati relativi a ogni URL consentito o bloccato fatto dagli utenti nei client di Teams.
I membri del team SecOps possono aggiungere queste tabelle di ricerca ad altre tabelle del carico di lavoro (ad esempio, EmailEvents o tabelle correlate al dispositivo) per ottenere informazioni dettagliate sulle attività degli utenti finali.
Ad esempio, è possibile usare la query seguente per cercare i clic consentiti sugli URL nei messaggi di Teams rimossi da ZAP:
MessagePostDeliveryEvents | join MessageUrlInfo on TeamsMessageId | join UrlClickEvents on Url | join EmailUrlInfo on Url | where Workload == "Teams" and ActionType1 == "ClickAllowed" | project TimeGenerated, TeamsMessageId, ActionType, RecipientDetails, LatestDeliveryLocation, Url, ActionType1Le query della community nella ricerca avanzata offrono anche esempi di query di Teams.