Руководство по операциям безопасности для защиты Teams в Microsoft Defender для Office 365

После настройки защиты Microsoft Teams в Microsoft Defender для Office 365 необходимо интегрировать возможности защиты Teams в процессы реагирования на операции безопасности (SecOps). Этот процесс имеет решающее значение для обеспечения качественного и надежного подхода к защите, обнаружению и реагированию на угрозы безопасности, связанные с совместной работой.

Привлечение команды SecOps на этапах развертывания или пилотного развертывания гарантирует, что ваша организация готова к борьбе с угрозами. Возможности защиты Teams в Defender для Office 365 изначально встроены в существующие средства и рабочие процессы Defender для Office 365 и Defender SecOps.

Еще одним важным шагом является обеспечение того, чтобы члены команды SecOps имели соответствующие разрешения для выполнения своих задач.

Интеграция элементов, о которые сообщили пользователи Teams, в реагирование на инциденты SecOps

Когда пользователи сообщают о сообщениях или вызовах Teams как вредоносные или не вредоносные, сообщаемые элементы отправляются в корпорацию Майкрософт и (или) в почтовый ящик отчетов, как определено параметрами, указанными пользователем в Defender для Office 365.

Следующие оповещения автоматически создаются и сопоставляются с инцидентами в Defender для вредоносных и невредоносных объектов в Teams, о которых сообщили пользователи:

  • Сообщение Teams, сообщаемое пользователем как риск безопасности
  • Сообщение Teams, помеченное пользователем как не представляющее угрозы безопасности
  • Вызов Teams, о котором пользователь сообщил как об угрозе безопасности
  • Вызов Teams, указанный пользователем, не является угрозой безопасности

Совет

В настоящее время эти оповещения не инициируют автоматизированные расследования и реагирование (AIR).

Мы настоятельно рекомендуем, чтобы участники команды SecOps начинали проверку и расследование в очереди инцидентов Defender на портале Microsoft Defender или через интеграцию SIEM/SOAR.

Участники команды SecOps могут просматривать отправленные сообщения Teams или сведения о звонках в следующих расположениях на портале Defender:

  • Действие Просмотреть отправленный объект в инциденте Defender XDR.
  • Вкладка Сообщения пользователей на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=user:
    • Администраторы могут отправлять в Microsoft для анализа сообщения Teams, о которых сообщили пользователи, с вкладки Сообщения от пользователей. Записи на вкладке Сообщения Teams появляются в результате ручной отправки в Microsoft сообщения Teams, о котором сообщил пользователь (преобразование отправки пользователя в отправку администратором).
    • Администраторы могут использовать пометки и уведомления об сообщающихся элементах Teams для отправки ответного сообщения пользователям, которые сообщили о них.

Участники команды SecOps также могут использовать записи блокировки в списке разрешенных и заблокированных клиентов для блокировки следующих индикаторов компрометации:

  • Подозрительные URL-адреса пока не были опознаны Defender для Office 365. Записи о блокировке URL-адресов принудительно применяются в момент нажатия на ссылку в Teams, когда включена интеграция Teams в политиках Safe Links.
  • Файлы с использованием значения хэша SHA256.

Предоставьте команде SecOps возможность проактивно управлять ложноотрицательными результатами в Microsoft Teams

Участники команды SecOps могут использовать охоту на угрозы или информацию из внешних каналов аналитики угроз для упреждающего реагирования на ложноотрицательные сообщения Teams (разрешены недопустимые сообщения). Они могут использовать эти сведения для упреждающей блокировки угроз. Например, вы можете:

Совет

Как упоминалось ранее, администраторы не могут заблаговременно отправлять сообщения Teams в Корпорацию Майкрософт для анализа. Вместо этого они отправляют в Microsoft сообщения Teams, о которых сообщили пользователи (то есть преобразуя отправку пользователя в отправку администратора).

Разрешите SecOps управлять ложными срабатываниями в Microsoft Teams

Участники команды SecOps могут сортировать и обрабатывать сообщения Teams, ошибочно помеченные как нежелательные (легитимные сообщения, которые были заблокированы), на странице Карантин в Microsoft Defender для Office 365 по адресу https://security.microsoft.com/quarantine. Сообщения Teams, обнаруженные автоматической защитой нулевого часа (ZAP), доступны на вкладке Сообщения Teams . Участники команды SecOps могут принимать меры по этим сообщениям. Например, предварительный просмотр сообщений, скачивание сообщений, отправка сообщений в Корпорацию Майкрософт для проверки и освобождение сообщений из карантина.

Участники команды SecOps также могут использовать разрешающие записи в списке разрешений/блокировок тенанта, чтобы разрешить ошибочно классифицированные индикаторы:

Совет

Сообщения Teams, выпущенные из карантина, становятся доступны отправителям и получателям в исходном месте — в чатах и записях каналов Teams.

Включение SecOps для поиска угроз и обнаружения в Microsoft Teams

Участники команды SecOps могут заблаговременно искать потенциально вредоносные сообщения Teams, щелчки URL-адреса в Teams и файлы, обнаруженные как вредоносные. Эти сведения можно использовать для поиска потенциальных угроз, анализа закономерностей и разработки пользовательских средств обнаружения в Microsoft Defender для автоматического создания инцидентов.

  • На странице Проводник (Проводник угроз) на портале Defender по адресу https://security.microsoft.com/threatexplorerv3:

    • Вкладка Вредоносное содержимое: Эта вкладка содержит файлы, обнаруженные Safe Attachments для SharePoint, OneDrive и Microsoft Teams. Доступные фильтры можно использовать для поиска данных обнаружения.
    • Вкладка «Переходы по URL-адресам»: на этой вкладке отображаются все переходы пользователей по URL-адресам в сообщениях электронной почты, в поддерживаемых файлах Office в SharePoint и OneDrive, а также в Microsoft Teams. Доступные фильтры можно использовать для поиска данных обнаружения.
  • На странице Расширенная охота на портале Defender по адресу https://security.microsoft.com/v2/advanced-hunting. Для угроз, связанных с Teams, доступны следующие таблицы поиска:

    • MessageEvents: содержит необработанные данные о каждом внутреннем и внешнем сообщении Teams, включающее URL-адрес. В этой таблице доступны адрес отправителя, отображаемое имя отправителя, тип отправителя и многое другое.
    • MessagePostDeliveryEvents: содержит необработанные данные о событиях ZAP в сообщениях Teams.
    • MessageUrlInfo: содержит необработанные данные о URL-адресах в сообщениях Teams.
    • UrlClickEvents: содержит необработанные данные о каждом разрешенном или заблокированном щелчке URL-адреса пользователями в клиентах Teams.

    Участники команды SecOps могут присоединить эти таблицы поиска к другим таблицам рабочей нагрузки (например, EmailEvents или таблицы, связанные с устройствами), чтобы получить представление о действиях конечных пользователей.

    Например, можно использовать следующий запрос для поиска разрешённых переходов по URL-адресам в сообщениях Teams, удалённых функцией ZAP:

    MessagePostDeliveryEvents
    | join MessageUrlInfo on TeamsMessageId
    | join UrlClickEvents on Url
    | join EmailUrlInfo on Url
    | where Workload == "Teams" and ActionType1 == "ClickAllowed"
    | project TimeGenerated, TeamsMessageId, ActionType, RecipientDetails, LatestDeliveryLocation, Url, ActionType1
    

    Запросы сообщества в разделе «Расширенный поиск» также предлагает примеры запросов для Teams.