Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Après avoir configuré la protection Microsoft Teams dans Microsoft Defender pour Office 365, vous devez intégrer les fonctionnalités de protection Teams dans vos processus de réponse SecOps (Opérations de sécurité). Ce processus est essentiel pour garantir une approche fiable et de haute qualité pour protéger, détecter et répondre aux menaces de sécurité liées à la collaboration.
L’implication de l’équipe SecOps pendant les phases de déploiement/pilote garantit que votre organization est prêt à faire face aux menaces. Les fonctionnalités de protection Teams dans Defender for Office 365 sont intégrées en mode natif aux Defender for Office 365 et Defender XDR outils SecOps existants et aux flux de travail.
Une autre étape importante consiste à s’assurer que les membres de l’équipe SecOps disposent des autorisations appropriées pour effectuer leurs tâches.
Intégrer les messages Teams signalés par l’utilisateur dans la réponse aux incidents SecOps
Lorsque les utilisateurs signalent des messages Teams comme potentiellement malveillants, les messages signalés sont envoyés à Microsoft et/ou à la boîte aux lettres de création de rapports, comme défini par les paramètres signalés par l’utilisateur dans Defender for Office 365.
Le message Teams signalé par l’utilisateur en tant qu’alerte de risque de sécurité est automatiquement généré et corrélé aux incidents Defender XDR.
Nous recommandons vivement aux membres de l’équipe SecOps de commencer le triage et l’investigation à partir de la file d’attente des incidents Defender XDR dans le portail Microsoft Defender ou l’intégration SIEM/SOAR.
Conseil
Actuellement, les messages Teams signalés par l’utilisateur en tant qu’alertes à risque de sécurité ne génèrent pas d’investigations d’investigation et de réponse automatisées (AIR).
Les membres de l’équipe SecOps peuvent consulter les détails des messages Teams envoyés aux emplacements suivants dans le portail Defender :
- Action Afficher la soumission dans l’incident Defender XDR.
- Onglet Utilisateur signalé de la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission?viewid=user:
- Les administrateurs peuvent envoyer des messages Teams signalés par l’utilisateur à Microsoft à des fins d’analyse à partir de l’onglet Utilisateur signalé . Les entrées de l’onglet Messages Teams sont le résultat de l’envoi manuel d’un message Teams signalé par l’utilisateur à Microsoft (conversion de la soumission de l’utilisateur en soumission d’administrateur).
- Les administrateurs peuvent utiliser marquer et notifier sur les messages Teams signalés pour envoyer un e-mail de réponse aux utilisateurs qui ont signalé des messages.
Les membres de l’équipe SecOps peuvent également utiliser des entrées de bloc dans la liste verte/bloquée du locataire pour bloquer les indicateurs de compromission suivants :
- URL suspectes non encore identifiées par Defender for Office 365. Les entrées de bloc d’URL sont appliquées au moment du clic dans Teams lorsque l’intégration de Teams dans les stratégies de liens fiables est activée.
- Fichiers à l’aide de la valeur de hachage SHA256.
Activer SecOps pour gérer de manière proactive les faux négatifs dans Microsoft Teams
Les membres de l’équipe SecOps peuvent utiliser la chasse aux menaces ou des informations provenant de flux de renseignement sur les menaces externes pour répondre de manière proactive aux messages Teams faux négatifs (messages incorrects autorisés). Ils peuvent utiliser les informations pour bloquer de manière proactive les menaces. Par exemple :
- Créez des entrées de bloc d’URL dans la liste verte/bloquée du locataire dans Defender for Office 365. Les entrées de blocage s’appliquent au moment du clic pour les URL dans Teams.
- Bloquer les domaines dans Teams à l’aide du centre d’administration Teams.
- Envoyez des URL non détectées à Microsoft à l’aide de la soumission par l’administrateur.
Conseil
Comme décrit précédemment, les administrateurs ne peuvent pas envoyer de manière proactive des messages Teams à Microsoft à des fins d’analyse. Au lieu de cela, ils envoient des messages Teams signalés par l’utilisateur à Microsoft (en convertissant la soumission utilisateur en soumission d’administrateur).
Activer SecOps pour gérer les faux positifs dans Microsoft Teams
Les membres de l’équipe SecOps peuvent trier et répondre aux messages Teams faux positifs (bons messages bloqués) sur la page Quarantaine dans Defender for Office 365 à l’adresse https://security.microsoft.com/quarantine.
Les messages Teams détectés par la protection automatique zero-hour (ZAP) sont disponibles sous l’onglet Messages Teams . Les membres de l’équipe SecOps peuvent prendre des mesures sur ces messages. Par exemple, afficher un aperçu des messages, télécharger des messages, envoyer des messages à Microsoft pour révision et libérer les messages de la quarantaine.
Conseil
Les messages Teams libérés de la quarantaine sont disponibles pour les expéditeurs et les destinataires à l’emplacement d’origine dans les conversations Teams et les publications de canal.
Activer SecOps pour rechercher les menaces et les détections dans Microsoft Teams
Les membres de l’équipe SecOps peuvent rechercher de manière proactive les messages Teams potentiellement malveillants, les clics d’URL dans Teams et les fichiers détectés comme malveillants. Vous pouvez utiliser ces informations pour rechercher les menaces potentielles, analyser des modèles et développer des détections personnalisées dans Defender XDR pour générer automatiquement des incidents.
Dans la page Explorer (Threat Explorer) dans le portail Defender à l’adresse https://security.microsoft.com/threatexplorerv3:
- Onglet Contenu malveillant : cet onglet contient les fichiers détectés par les pièces jointes sécurisées pour SharePoint, OneDrive et Microsoft Teams. Vous pouvez utiliser les filtres disponibles pour rechercher les données de détection.
- Onglet CLIC URL : cet onglet contient tous les clics utilisateur sur les URL dans les e-mails, dans les fichiers Office pris en charge dans SharePoint et OneDrive, et dans Microsoft Teams. Vous pouvez utiliser les filtres disponibles pour rechercher les données de détection.
Sur la page Repérage avancé dans le portail Defender à l’adresse https://security.microsoft.com/v2/advanced-hunting. Les tableaux de chasse suivants sont disponibles pour les menaces liées à Teams :
Remarque
Les tables de chasse sont actuellement en préversion.
- MessageEvents : contient des données brutes sur chaque message Teams interne et externe qui incluait une URL. L’adresse de l’expéditeur, le nom complet de l’expéditeur, le type d’expéditeur, etc. sont disponibles dans ce tableau.
- MessagePostDeliveryEvents : contient des données brutes sur les événements ZAP sur les messages Teams.
- MessageUrlInfo : contient des données brutes sur les URL dans les messages Teams.
- UrlClickEvents : contient des données brutes sur chaque clic d’URL autorisé ou bloqué par les utilisateurs dans les clients Teams.
Les membres de l’équipe SecOps peuvent joindre ces tables de chasse à d’autres tables de charge de travail (par exemple, Des tables emailEvents ou relatives aux appareils) pour obtenir des informations sur les activités de l’utilisateur final.
Par exemple, vous pouvez utiliser la requête suivante pour rechercher les clics autorisés sur les URL dans les messages Teams qui ont été supprimés par ZAP :
MessagePostDeliveryEvents | join MessageUrlInfo on TeamsMessageId | join UrlClickEvents on Url | join EmailUrlInfo on Url | where Workload == "Teams" and ActionType1 == "ClickAllowed" | project TimeGenerated, TeamsMessageId, ActionType, RecipientDetails, LatestDeliveryLocation, Url, ActionType1Les requêtes de communauté dans la chasse avancée offrent également des exemples de requêtes Teams.