Utiliser le playbook Office 365 Fichier malveillant détecté

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Utilisez ce playbook pour examiner les fichiers malveillants détectés dans Office 365. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le Playbook Office 365 Fichier malveillant détecté.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vous devez extraire le fichier malveillant de la console Office 365.
    2. Dans l’action 2, vous devez analyser si le fichier ou le hachage a été ajouté en tant qu’observable dans la plateforme Threat Intel.
    3. Dans l’action 3, vous devez examiner le nom et le chemin d’accès du fichier pour déterminer s’il s’agit d’un fichier/d’une application connu ou non malveillant.
      Figure 1. Playbook Office 365 Fichier malveillant détecté
      Tâches de réponse pour déterminer s’il s’agit d’un fichier/d’une application connu ou non malveillant.
    4. Dans l’action 4, vous devez soumettre le fichier à Sandbox pour analyser les résultats.
    5. Dans l’action 5, sur la base de l’enquête effectuée jusqu’à présent, vous devez vérifier si le fichier ou le hachage est malveillant ou non.
      Si le fichier ou le hachage n’est pas malveillant, une tâche de réponse manuelle est créée dans l’action 5 et le flux se termine.
    6. Dans l’action 6, si le fichier ou le hachage est malveillant, les actions 7 et 8 sont exécutées.
    7. Dans Action 7, vous devez contacter l’utilisateur final pour obtenir une justification commerciale valable quant à la raison pour laquelle il a un fichier malveillant sur l’appareil.
      Si le fichier ou le hachage est malveillant, vous pouvez utiliser le modèle d’e-mail préexistant dans le playbook pour envoyer un e-mail à l’utilisateur final demandant des clarifications.
    8. Dans l’action 8, vous devez vérifier si l’utilisateur final a fourni une justification commerciale valide ou non.
      Si l’utilisateur final a fourni une justification commerciale valide, une tâche de réponse manuelle est créée dans l’action 5 et le flux se termine.
    9. Dans l’action 9, si l’utilisateur n’a pas fourni de justification commerciale valide, les actions 10, 11 et 12 sont exécutées.
      Figure 2. Justification commerciale du fichier malveillant
      Tâches de réponse s’il n’y avait pas de justification commerciale valide pour le fichier malveillant
    10. Dans l’action 10, puisqu’il n’y avait aucune justification commerciale valable, vous pouvez transmettre le fichier malveillant ou le hachage à l’équipe Threat Intelligence pour examen.
    11. Dans l’action 11, vous devez exécuter le script Malware bytes scanner pour vérifier si le fichier ou le hachage est malveillant.
    12. Dans l’action 12, vous devez effectuer une analyse médico-légale pour vérifier si le fichier ou le hachage est malveillant.
    13. Dans l’action 13, une tâche de réponse est créée pour que l’utilisateur termine la revue post-incident avant de fermer la tâche.