Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Po konfiguraci ochrany Microsoft Teams v Microsoft Defender pro Office 365 je potřeba integrovat funkce ochrany Teams do procesů odezvy Operace zabezpečení (SecOps). Tento proces je zásadní pro zajištění vysoce kvalitního a spolehlivého přístupu k ochraně, detekci a reakci na bezpečnostní hrozby související se spoluprací.
Zapojení týmu SecOps během fází nasazení nebo pilotního nasazení zajistí, že vaše organizace bude připravena řešit hrozby. Funkce ochrany Teams v Defender pro Office 365 jsou nativně integrované do stávajících nástrojů a pracovních toků Defender pro Office 365 a Defender XDR SecOps.
Dalším důležitým krokem je zajistit, aby členové týmu SecOps měli příslušná oprávnění k plnění svých úkolů.
Integrace zpráv Teams nahlášených uživatelem do reakce na incidenty SecOps
Když uživatelé nahlásí zprávy Teams jako potenciálně škodlivé nebo nezlými úmysly, odesílají se nahlášené zprávy do Microsoftu a/nebo do poštovní schránky pro hlášení, jak je definováno nastavením nahlášeným uživatelem v Defender pro Office 365.
Zpráva Teams nahlášená uživatelem jako bezpečnostní riziko a zpráva Teams nahlášená uživatelem jako upozornění na bezpečnostní rizika se automaticky vygenerují a korelují s Defender XDR incidenty pro hlášení uživatelů se zlými úmysly a nezlými úmysly.
Důrazně doporučujeme, aby členové týmu SecOps začali provádět třídění a šetření z fronty incidentů Defender XDR na portálu Microsoft Defender nebo integraci SIEM/SOAR.
Tip
V současné době zpráva Teams nahlášená uživatelem jako bezpečnostní riziko a zpráva Teams hlášená uživatelem jako upozornění na rizika zabezpečení negenerují šetření automatizovaná šetření a reakce (AIR).
Členové týmu SecOps můžou zkontrolovat podrobnosti odeslané zprávy Teams na portálu Defender v následujících umístěních:
- Akce Zobrazit odeslání v incidentu Defender XDR.
- Karta Nahlášený uživatel na stránce Odeslání na adrese https://security.microsoft.com/reportsubmission?viewid=user:
- Správci můžou odesílat zprávy Teams nahlášené uživateli do Microsoftu k analýze z karty Nahlášené uživatelem . Položky na kartě Zprávy Aplikace Teams jsou výsledkem ručního odeslání zprávy teams nahlášené uživatelem do Microsoftu (převod odeslání uživatele na odeslání správcem).
- Správci můžou pomocí funkce Označit a upozorňovat na nahlášené zprávy Teams k odesílání e-mailů s odpověďmi uživatelům, kteří nahlásili zprávy.
Členové týmu SecOps můžou také pomocí položek bloků v seznamu povolených nebo blokovaných tenantů blokovat následující indikátory ohrožení:
- Podezřelé adresy URL, které Defender pro Office 365 zatím neidentiznaly. Položky bloku adresy URL se vynucují při kliknutí v Teams, když je zapnutá integrace Teams v zásadách bezpečných odkazů.
- Soubory pomocí hodnoty hash SHA256.
Povolení funkce SecOps pro aktivní správu falešně negativních výsledků v Microsoft Teams
Členové týmu SecOps můžou proaktivně reagovat na falešně negativní zprávy Teams pomocí proaktivního vyhledávání hrozeb nebo informací z externích informačních kanálů analýzy hrozeb (jsou povolené chybné zprávy). Tyto informace můžou využít k aktivnímu blokování hrozeb. Příklady:
- Vytvořte položky bloku adresy URL v seznamu povolených nebo blokovaných tenantů v Defender pro Office 365. Blokové položky se po kliknutí použijí pro adresy URL v Teams.
- Blokovat domény v Teams pomocí seznamu povolených/blokovaných tenantů
- Odešlete microsoftu nezjištěné adresy URL pomocí odeslání správce.
Tip
Jak jsme popsali výše, správci nemůžou proaktivně odesílat zprávy Teams do Microsoftu k analýze. Místo toho odesílají zprávy Teams nahlášené uživateli do Microsoftu (převádí odeslání uživatele na odeslání správcem).
Povolení funkce SecOps pro správu falešně pozitivních výsledků v Microsoft Teams
Členové týmu SecOps můžou určit a odpovídat na falešně pozitivní zprávy Teams (zablokované dobré zprávy) na stránce Karanténa v Defender pro Office 365 na adrese https://security.microsoft.com/quarantine. Zprávy Aplikace Teams rozpoznané nulou automatickou ochranou (ZAP) jsou k dispozici na kartě Zprávy v Teams . Členové týmu SecOps mohou s těmito zprávami provádět akce . Můžete například zobrazit náhled zpráv, stahovat zprávy, odesílat zprávy společnosti Microsoft ke kontrole a uvolnit zprávy z karantény.
Členové týmu SecOps můžou také použít položky povolení v seznamu povolených/blokovaných klientů k povolení chybně klasifikovaných indikátorů:
- Adresy URL chybně identifikované Defender pro Office 365. Adresa URL umožňuje vynucovat položky v době kliknutí v Teams, když je zapnutá integrace Teams do zásad bezpečných odkazů.
- Soubory pomocí hodnoty hash SHA256.
Tip
Zprávy Aplikace Teams uvolněné z karantény jsou k dispozici odesílatelům a příjemcům v původním umístění v chatech a příspěvcích v kanálu Teams.
Povolení funkce SecOps pro vyhledávání hrozeb a detekcí v Microsoft Teams
Členové týmu SecOps můžou proaktivně vyhledávat potenciálně škodlivé zprávy Teams, kliknutí na adresu URL v Teams a soubory zjištěné jako škodlivé. Tyto informace můžete použít k vyhledání potenciálních hrozeb, analýze vzorů a vývoji vlastních detekcí v Defender XDR k automatickému generování incidentů.
Na stránce Průzkumník (Průzkumník hrozeb) na portálu Defender na adrese https://security.microsoft.com/threatexplorerv3:
- Karta Malware obsahu: Tato karta obsahuje soubory zjištěné bezpečnými přílohami pro SharePoint, OneDrive a Microsoft Teams. Dostupné filtry můžete použít k vyhledávání dat detekce.
- Karta url: Tato karta obsahuje všechna kliknutí uživatelů na adresy URL v e-mailu, v podporovaných souborech Office na SharePointu a OneDrivu a v Microsoft Teams. Dostupné filtry můžete použít k vyhledávání dat detekce.
Na stránce Rozšířené vyhledávání na portálu Defender na adrese https://security.microsoft.com/v2/advanced-hunting. Pro hrozby související s Teams jsou k dispozici následující tabulky proaktivního vyhledávání:
Poznámka
Tabulky proaktivního vyhledávání jsou aktuálně ve verzi Preview.
- MessageEvents: Obsahuje nezpracovaná data o každé interní a externí zprávě Teams, která obsahovala adresu URL. V této tabulce je k dispozici adresa odesílatele, zobrazované jméno odesílatele, typ odesílatele a další.
- MessagePostDeliveryEvents: Obsahuje nezpracovaná data o událostech ZAP ve zprávách Teams.
- MessageUrlInfo: Obsahuje nezpracovaná data o adresách URL ve zprávách Teams.
- UrlClickEvents: Obsahuje nezpracovaná data o každém povoleném nebo blokovaném kliknutí na adresu URL uživateli v klientech Teams.
Členové týmu SecOps můžou tyto tabulky proaktivního vyhledávání spojit s jinými tabulkami úloh (například s tabulkami EmailEvents nebo souvisejícími se zařízeními), aby získali přehled o aktivitách koncových uživatelů.
Následující dotaz můžete například použít k vyhledávání povolených kliknutí na adresy URL ve zprávách Teams odebraných zap:
MessagePostDeliveryEvents | join MessageUrlInfo on TeamsMessageId | join UrlClickEvents on Url | join EmailUrlInfo on Url | where Workload == "Teams" and ActionType1 == "ClickAllowed" | project TimeGenerated, TeamsMessageId, ActionType, RecipientDetails, LatestDeliveryLocation, Url, ActionType1Dotazy komunity v rozšířeném proaktivním vyhledávání také nabízejí příklady dotazů Teams.