在 Microsoft Defender for Office 365 中配置 Microsoft Teams 保护后,需要将 Teams 保护功能集成到安全运营 (SecOps) 响应流程中。 此过程对于确保采用高质量、可靠的方法来保护、检测和响应与协作相关的安全威胁至关重要。
在部署/试点阶段让 SecOps 团队参与可确保组织准备好应对威胁。 Defender for Office 365 中的 Teams 保护功能本机集成到现有Defender for Office 365和Defender XDR SecOps 工具和工作流中。
另一个重要步骤是确保 SecOps 团队成员具有执行其任务的适当权限。
将用户报告的 Teams 消息集成到 SecOps 事件响应中
当用户将 Teams 邮件报告为潜在恶意邮件时,报告的邮件将发送到 Defender for Office 365 中的用户报告设置定义的Microsoft和/或报告邮箱。
用户报告为安全风险警报的 Teams 消息是自动生成的,并且与Defender XDR事件相关。
强烈建议 SecOps 团队成员从Microsoft Defender门户或 SIEM/SOAR 集成中的Defender XDR事件队列开始会审和调查。
提示
目前, 用户报告为安全风险警报的 Teams 消息 不会 (AIR) 调查生成自动调查和响应。
SecOps 团队成员可以在 Defender 门户中的以下位置查看提交的 Teams 消息详细信息:
- 在Defender XDR事件中查看提交作。
- “提交”页的“用户报告”选项卡位于 https://security.microsoft.com/reportsubmission?viewid=user:
- 管理员可以将用户报告的 Teams 消息提交到Microsoft,以便从“ 用户报告 ”选项卡进行分析。 “Teams 消息 ”选项卡上的条目是手动将用户报告的 Teams 消息提交到Microsoft (将用户提交转换为管理员提交) 的结果。
- 管理员可以使用对报告的 Teams 邮件进行 标记和通知 ,向报告邮件的用户发送响应电子邮件。
SecOps 团队成员还可以使用租户允许/阻止列表中的块条目来阻止以下泄露指标:
- Defender for Office 365尚未识别的可疑 URL。 当打开 安全链接策略中的 Teams 集成时,会在 Teams 中单击时强制实施 URL 块条目。
- 使用 SHA256 哈希值的文件。
使 SecOps 能够主动管理 Microsoft Teams 中的误报
SecOps 团队成员可以使用威胁搜寻或来自外部威胁情报源的信息主动响应虚假的负面 Teams 消息, (允许) 的坏消息。 他们可以使用这些信息主动阻止威胁。 例如:
- 在 Defender for Office 365 的租户允许/阻止列表中创建 URL 块条目。 单击时,阻止条目适用于 Teams 中的 URL。
- 使用 Teams 管理中心阻止 Teams 中的域。
- 使用 管理员提交将未检测到的 URL 提交到Microsoft。
提示
如前所述,管理员无法主动将 Teams 消息提交到Microsoft进行分析。 而是将用户报告的 Teams 消息提交到Microsoft, (将用户提交转换为管理员提交) 。
启用 SecOps 以管理 Microsoft Teams 中的误报
secOps 团队成员可以会审和响应误报 Teams 邮件, (在 Defender for Office 365 的“隔离”页上https://security.microsoft.com/quarantine阻止) 的好邮件。
Teams 消息选项卡上提供了零小时自动保护 (ZAP) 检测到 的 Teams 消息 。SecOps 团队成员可以对这些消息 执行作 。 例如,预览邮件、下载邮件、将邮件提交到Microsoft以供审阅,以及从隔离区中释放邮件。
提示
从隔离区释放的 Teams 邮件可用于 Teams 聊天和频道帖子中原始位置的发件人和收件人。
使 SecOps 能够在 Microsoft Teams 中搜寻威胁和检测
SecOps 团队成员可以主动搜寻潜在的恶意 Teams 消息、Teams 中的 URL 单击以及检测到恶意的文件。 可以使用此信息在Defender XDR中查找潜在威胁、分析模式和开发自定义检测,以自动生成事件。
在 “资源管理器” 页上, (Defender 门户中的威胁资源管理器) : https://security.microsoft.com/threatexplorerv3:
在 Defender 门户中https://security.microsoft.com/v2/advanced-hunting的“高级搜寻”页上。。 以下搜寻表可用于与 Teams 相关的威胁:
注意
搜寻表目前为预览版。
- MessageEvents:包含包含 URL 的每个内部和外部 Teams 消息的原始数据。 此表中提供了发件人地址、发件人显示名称、发件人类型等。
- MessagePostDeliveryEvents:包含有关 Teams 消息上的 ZAP 事件的原始数据。
- MessageUrlInfo:包含有关 Teams 消息中 URL 的原始数据。
- UrlClickEvents:包含有关 Teams 客户端中用户单击的每个允许或阻止的 URL 的原始数据。
secOps 团队成员可以将这些搜寻表与其他工作负载表联接 (例如 EmailEvents 或设备相关表) ,以深入了解端到端用户活动。
例如,可以使用以下查询来搜寻被 ZAP 删除的 Teams 邮件中允许的 URL 单击次数:
MessagePostDeliveryEvents | join MessageUrlInfo on TeamsMessageId | join UrlClickEvents on Url | join EmailUrlInfo on Url | where Workload == "Teams" and ActionType1 == "ClickAllowed" | project TimeGenerated, TeamsMessageId, ActionType, RecipientDetails, LatestDeliveryLocation, Url, ActionType1高级搜寻中的社区查询 还提供 Teams 查询示例。