Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
После настройки защиты Microsoft Teams в Microsoft Defender для Office 365 необходимо интегрировать возможности защиты Teams в процессы реагирования на операции безопасности (SecOps). Этот процесс имеет решающее значение для обеспечения качественного и надежного подхода к защите, обнаружению и реагированию на угрозы безопасности, связанные с совместной работой.
Привлечение команды SecOps на этапах развертывания или пилотного развертывания гарантирует, что ваша организация готова к борьбе с угрозами. Возможности защиты Teams в Defender для Office 365 изначально интегрированы в существующие Defender для Office 365 и Defender XDR средства и рабочие потоки SecOps.
Еще одним важным шагом является обеспечение того, чтобы члены команды SecOps имели соответствующие разрешения для выполнения своих задач.
Интеграция сообщений, сообщаемые пользователями Teams, в ответ на инциденты SecOps
Когда пользователи сообщают о сообщениях Teams как о потенциально вредоносных, сообщаемые сообщения отправляются в корпорацию Майкрософт и (или) в почтовый ящик отчетов в соответствии с параметрами, указанными пользователем в Defender для Office 365.
Сообщение Teams, сообщаемое пользователем как оповещение о рисках безопасности, автоматически создается и сопоставляется с инцидентами Defender XDR.
Настоятельно рекомендуется, чтобы члены команды SecOps начали рассмотрение и исследование из очереди инцидентов Defender XDR на портале Microsoft Defender или интеграции SIEM/SOAR.
Совет
В настоящее время сообщения Teams, сообщаемые пользователем в качестве оповещений о рисках безопасности, не создают автоматического исследования и реагирования (AIR).
Участники команды SecOps могут просматривать сведения об отправленных сообщениях Teams в следующих расположениях на портале Defender:
- Действие Просмотр отправки в инциденте Defender XDR.
- Вкладка Пользователь сообщила на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=user:
- Администраторы могут отправлять сообщения Teams, сообщаемые пользователем, в Корпорацию Майкрософт для анализа на вкладке Пользователь сообщил . Записи на вкладке "Сообщения Teams " являются результатом отправки сообщения о пользователях Teams в Корпорацию Майкрософт (преобразование отправки пользователем в отправку администратора).
- Администраторы могут использовать пометки и уведомления о сообщениях Teams для отправки ответных сообщений пользователям, которые сообщили сообщения.
Участники команды SecOps также могут использовать записи блокировки в списке разрешенных и заблокированных клиентов для блокировки следующих индикаторов компрометации:
- Подозрительные URL-адреса, которые пока не были опознаны Defender для Office 365. Записи блокировки URL-адресов применяются во время щелчка в Teams, когда включена интеграция Teams в политиках безопасных ссылок.
- Файлы с использованием хэш-значения SHA256.
Включение SecOps для упреждающего управления ложными отрицательными данными в Microsoft Teams
Участники команды SecOps могут использовать охоту на угрозы или информацию из внешних каналов аналитики угроз для упреждающего реагирования на ложноотрицательные сообщения Teams (разрешены недопустимые сообщения). Они могут использовать эти сведения для упреждающей блокировки угроз. Например:
- Создание записей блокировок URL-адресов в списке разрешенных и заблокированных клиентов в Defender для Office 365. Записи блокировки применяются при щелчке URL-адресов в Teams.
- Блокировать домены в Teams с помощью Центра администрирования Teams.
- Отправка незамеченных URL-адресов в корпорацию Майкрософт с помощью отправки администратором.
Совет
Как упоминалось ранее, администраторы не могут заблаговременно отправлять сообщения Teams в Корпорацию Майкрософт для анализа. Вместо этого они отправят сообщения о пользователях Teams в Корпорацию Майкрософт (преобразовав отправку пользователя в отправку администратора).
Включение SecOps для управления ложными срабатываниями в Microsoft Teams
Участники команды SecOps могут рассматривать ложноположительные сообщения Teams (хорошие сообщения заблокированы) и реагировать на них на странице карантина в Defender для Office 365 по адресу https://security.microsoft.com/quarantine.
Сообщения Teams, обнаруженные автоматической защитой нулевого часа (ZAP), доступны на вкладке Сообщения Teams . Участники команды SecOps могут принимать меры по этим сообщениям. Например, предварительный просмотр сообщений, скачивание сообщений, отправка сообщений в Корпорацию Майкрософт для проверки и освобождение сообщений из карантина.
Совет
Сообщения Teams, освобожденные из карантина, доступны отправителям и получателям в исходном расположении в чатах и публикациях каналов Teams.
Включение SecOps для поиска угроз и обнаружения в Microsoft Teams
Участники команды SecOps могут заблаговременно искать потенциально вредоносные сообщения Teams, щелчки URL-адреса в Teams и файлы, обнаруженные как вредоносные. Эти сведения можно использовать для поиска потенциальных угроз, анализа закономерностей и разработки пользовательских обнаружений в Defender XDR для автоматического создания инцидентов.
На странице Обозреватель (Обозреватель угрозы) на портале Defender по адресу https://security.microsoft.com/threatexplorerv3:
- Вкладка Вредоносные программы содержимого. Эта вкладка содержит файлы, обнаруженные безопасными вложениями для SharePoint, OneDrive и Microsoft Teams. Доступные фильтры можно использовать для поиска данных обнаружения.
- Вкладка перехода по URL-адресу . Эта вкладка содержит все URL-адреса в электронной почте, в поддерживаемых файлах Office в SharePoint и OneDrive, а также в Microsoft Teams. Доступные фильтры можно использовать для поиска данных обнаружения.
На странице Расширенная охота на портале Defender по адресу https://security.microsoft.com/v2/advanced-hunting. Для угроз, связанных с Teams, доступны следующие таблицы поиска:
Примечание.
Таблицы охоты в настоящее время находятся в предварительной версии.
- MessageEvents: содержит необработанные данные о каждом внутреннем и внешнем сообщении Teams, включающее URL-адрес. В этой таблице доступны адрес отправителя, отображаемое имя отправителя, тип отправителя и многое другое.
- MessagePostDeliveryEvents: содержит необработанные данные о событиях ZAP в сообщениях Teams.
- MessageUrlInfo: содержит необработанные данные о URL-адресах в сообщениях Teams.
- UrlClickEvents: содержит необработанные данные о каждом разрешенном или заблокированном щелчке URL-адреса пользователями в клиентах Teams.
Участники команды SecOps могут присоединить эти таблицы поиска к другим таблицам рабочей нагрузки (например, EmailEvents или таблицы, связанные с устройствами), чтобы получить представление о действиях конечных пользователей.
Например, можно использовать следующий запрос для поиска разрешенных переходов по URL-адресам в сообщениях Teams, которые были удалены ZAP:
MessagePostDeliveryEvents | join MessageUrlInfo on TeamsMessageId | join UrlClickEvents on Url | join EmailUrlInfo on Url | where Workload == "Teams" and ActionType1 == "ClickAllowed" | project TimeGenerated, TeamsMessageId, ActionType, RecipientDetails, LatestDeliveryLocation, Url, ActionType1Запросы сообщества в расширенной охоте также предлагают примеры запросов Teams.