Verwenden Sie das Playbook „erkannte schädliche Office 365-Datei“

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Verwenden Sie dieses Playbook, um schädliche Dateien zu untersuchen, die in Office 365 erkannt wurden. Die folgenden Schritte geben Ihnen einen Rundgang durch die Aktionen, Aufgaben und Subflows, die im Playbook „erkannte schädliche Datei für Office 365“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Prozedur

    1. Wenn das Playbook ausgelöst wird und die Ausführung beginnt, müssen Sie in Aktion 1 die schädliche Datei aus der Office 365-Konsole extrahieren.
    2. In Aktion 2 müssen Sie analysieren, ob die Datei oder der Hash als erkennbares Element in der Threat Intel Platform hinzugefügt wurde.
    3. In Aktion 3 müssen Sie den Dateinamen und Pfad untersuchen, um festzustellen, ob es sich um eine bekannte oder nicht schädliche Datei/Anwendung handelt.
      Abbildung : 1. Playbook für Office 365-schädliche Datei erkannt
      Antwortaufgaben, um festzustellen, ob es sich um eine bekannte oder nicht schädliche Datei/Anwendung handelt.
    4. In Aktion 4 müssen Sie die Datei zur Analyse der Ergebnisse an Sandbox senden.
    5. In Aktion 5 müssen Sie basierend auf der bisher durchgeführten Untersuchung überprüfen, ob die Datei oder der Hash böswillig ist oder nicht.
      Wenn die Datei oder der Hash nicht schädlich ist, wird in Aktion 5 eine manuelle Antwortaufgabe erstellt, und der Flow endet.
    6. Wenn die Datei oder der Hash in Aktion 6 schädlich ist, werden die Aktionen 7 und 8 ausgeführt.
    7. In Aktion 7 müssen Sie sich an den Endanwender wenden, um eine gültige geschäftliche Begründung zu erhalten, warum er eine schädliche Datei auf dem Gerät hat.
      Wenn die Datei oder der Hash böswillig ist, können Sie die bereits vorhandene E-Mail-Vorlage im Playbook verwenden, um dem Endanwender eine Klärung anzufordern.
    8. In Aktion 8 müssen Sie überprüfen, ob der Endanwender eine gültige geschäftliche Begründung angegeben hat oder nicht.
      Wenn der Endanwender eine gültige geschäftliche Begründung angegeben hat, wird in Aktion 5 eine manuelle Antwortaufgabe erstellt, und der Flow endet.
    9. Wenn der Anwender in Aktion 9 keine gültige geschäftliche Begründung angegeben hat, werden die Aktionen 10, 11 und 12 ausgeführt.
      Abbildung : 2. Geschäftliche Begründung für die schädliche Datei
      Antwortaufgaben, wenn keine gültige geschäftliche Begründung für die schädliche Datei vorhanden ist
    10. Da in Aktion 10 keine gültige geschäftliche Begründung vorhanden ist, können Sie die schädliche Datei oder den schädlichen Hash zur Überprüfung an das Threat Intel-Team weiterleiten.
    11. In Aktion 11 müssen Sie das Malware-Bytes-Scannerskript ausführen, um zu überprüfen, ob die Datei oder der Hash schädlich ist.
    12. In Aktion 12 müssen Sie eine forensische Analyse durchführen, um zu überprüfen, ob die Datei oder der Hash schädlich ist.
    13. In Aktion 13 wird eine Antwortaufgabe erstellt, damit der Anwender die Überprüfung nach dem Incident abschließen kann, bevor er die Aufgabe schließt.