Use o playbook Arquivo mal-intencionado detectado do Office 365

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Use este playbook para investigar arquivos mal-intencionados detectados no Office 365. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook Arquivo mal-intencionado detectado do Office 365.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, você precisa extrair o arquivo mal-intencionado do console do Office 365.
    2. Na Ação 2, você precisa analisar se o arquivo ou hash foi adicionado como observável na Plataforma Intel de ameaças.
    3. Na Ação 3, você precisa investigar o nome e o caminho do arquivo para determinar se ele é um arquivo/aplicação conhecido ou não malicioso.
      Figura 1. Playbook de arquivo mal-intencionado detectado do Office 365
      Tarefas de resposta para determinar se é um arquivo/aplicação conhecido ou não mal-intencionado.
    4. Na Ação 4, você precisa enviar o arquivo para a Sandbox para analisar os resultados.
    5. Na Ação 5, com base na investigação feita até o momento, você precisa verificar se o arquivo ou hash é malicioso ou não.
      Se o arquivo ou hash não for mal-intencionado, uma tarefa de resposta manual será criada na Ação 5 e o fluxo será encerrado.
    6. Na Ação 6, se o arquivo ou hash for malicioso, as ações 7 e 8 serão executadas.
    7. Na Ação 7, você precisa entrar em contato com o usuário final para obter uma justificativa comercial válida sobre o motivo pelo qual ele tem um arquivo mal-intencionado no dispositivo.
      Se o arquivo ou hash for mal-intencionado, você poderá usar o Modelo de e-mail preexistente no playbook para enviar e-mail ao usuário final solicitando esclarecimentos.
    8. Na Ação 8, você precisa verificar se o usuário final forneceu uma justificativa comercial válida ou não.
      Se o usuário final fornecer uma justificativa comercial válida, uma tarefa de resposta manual será criada na Ação 5 e o fluxo será encerrado.
    9. Na Ação 9, se o usuário não forneceu uma justificativa comercial válida, as ações 10, 11 e 12 serão executadas.
      Figura 2. Justificativa comercial para o arquivo mal-intencionado
      Tarefas de resposta se não houver justificativa comercial válida para o arquivo mal-intencionado
    10. Na Ação 10, como não havia justificativa comercial válida, você pode encaminhar o arquivo mal-intencionado ou hash para a Equipe da Intel de ameaças para revisão.
    11. Na Ação 11, você precisa executar o script do scanner de Bytes de malware para verificar se o arquivo ou hash é malicioso.
    12. Na Ação 12, você precisa executar uma Análise Forense para verificar se o arquivo ou hash é malicioso.
    13. Na Ação 13, uma tarefa de resposta é criada para que o usuário conclua a revisão pós-incidente antes de fechar a tarefa.