Use o playbook Arquivo mal-intencionado detectado do Office 365

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 1 min. de leitura

    • Use este playbook para investigar arquivos maliciosos detectados no Office 365. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos disponíveis no playbook Arquivo mal-intencionado detectado do Office 365.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, você precisa extrair o arquivo malicioso do console do Office 365.
    2. Na Ação 2, você precisa analisar se o arquivo ou hash foi adicionado como observável na Plataforma Intel de ameaças.
    3. Na Ação 3, você precisa investigar o nome e o caminho do arquivo para determinar se ele é um arquivo/aplicação conhecido ou não malicioso.
    4. Na Ação 4, você precisa enviar o arquivo para a Sandbox para analisar os resultados.
    5. Na Ação 5, com base na investigação feita até agora, você precisa verificar se o arquivo ou hash é malicioso ou não.
      Se o arquivo ou hash não for malicioso, uma tarefa de resposta manual será criada na Ação 5 e o fluxo será encerrado.
    6. Na Ação 6, se o arquivo ou hash for malicioso, as ações 7 e 8 serão executadas.
    7. Na Ação 7, você precisa entrar em contato com o usuário final para obter uma justificativa comercial válida sobre o motivo pelo qual ele tem um arquivo malicioso no dispositivo.
      Se o arquivo ou hash for malicioso, você poderá usar o Modelo de e-mail preexistente no playbook para enviar um e-mail ao usuário final solicitando esclarecimentos.
    8. Na Ação 8, você precisa verificar se o usuário final forneceu uma justificativa comercial válida ou não.
      Se o usuário final fornecer uma justificativa comercial válida, uma tarefa de resposta manual será criada na Ação 5 e o fluxo será encerrado.
    9. Na Ação 9, se o usuário não fornecer uma justificativa de negócio válida, as ações 10, 11 e 12 serão executadas.
    10. Na Ação 10, como não havia justificativa comercial válida, você pode encaminhar o arquivo malicioso ou hash para a Equipe de informações sobre ameaças para revisão.
    11. Na Ação 11, você precisa executar o script de verificação de bytes de malware para verificar se o arquivo ou hash é malicioso.
    12. Na Ação 12, você precisa executar uma Análise forense para verificar se o arquivo ou hash é malicioso.
    13. Na Ação 13, uma tarefa de resposta é criada para que o usuário conclua a revisão pós-incidente antes de encerrar a tarefa.