חקירה ותגובה לאיום באבטחת Office 365

מדריכים

עם הגידול התמידי של הסיכון מפשיעה סייברית, עסקים ברחבי העולם מאבקים לשמור על הנכס היקר ביותר שלהם: הנתונים שלהם. מזל טוב, Microsoft Defender עבור Office 365 מספק למנהלי מערכות מידע ולניתוחים יכולות חקירה ותגובה לאיומים, המאפשרות להם להגן מראש על משתמשיהם ועל הנתונים שלהם.

על ידי שימוש בתכונות האבטחה המובנות ב-Office 365, תוכל לקבל תובנות יקרות לגבי איומים נפוצים, לאסוף נתונים מעשיים ולתכנן פעולות תגובה אפקטיביות. צוות האבטחה שלך יכול בקלות לזהות, לעקוב ולהגן מפעילויות זדוניות לפני שהן גורמות נזק בלתי הפיך לארגון שלך.

הפוסט הזה מפרט את הכלים השונים הכלולים בתהליך החקירה והתגובה של Microsoft. קרא הלאה כדי לקבל סקירה כללית של התכונות השונות וכיצד הן משלבות זו עם זו כדי ליצור מגן בלתי נשבר כנגד התקפות שמתבצעות בעזרת קבצים ודוא"ל.

מהו חקירת איומים ותגובה ב-Office 365?

חקירת איומים ותגובה ב-Office 365 היא מונח-כלל המתייחס לסט של יכולות ב-Microsoft Defender עבור Office 365 תוכנית 2. כלים אלה עוזרים למנהלי מערכות מידע ולניתוחים לעקוב אחר ולאסוף מידע על איומים פוטנציאליים. צוותי האבטחה יכולים להשתמש לאחר מכן בפעולות התגובה הזמינות בפורטל Microsoft 365 Defender כדי לטפל בסיכונים ב-SharePoint Online, OneDrive for Business, Exchange Online ו-Microsoft Teams.

עם תכונות האבטחה של Office 365 הללו, תוכל לאסוף נתונים ממקורות שונים כגון אירועי אבטחה קודמים, פעילות משתמש, אימות, דואר אלקטרוני ומחשבים שנפגעו. תהליך חקירת האיום והתגובה כולל את הבא:

  • Explorer (גילויים בזמן אמת ב-MS Defender עבור Office 365 תוכנית 1)
  • אירועים (נקרא גם חקירות)
  • אימון לדמיון בתקיפה
  • חקירה ותגובה אוטומטיות

חשוב לציין כי כל היכולות הללו מספקות את ההגנה הנדרשת על ידי איסוף נתונים מ-מעקבי איומים מובנים במיקרוסופט דיפנדר, אז בואו נסתכל קרוב יותר על אלו.

מעקבי איומים

מעקבי איומים הם אוסף של ווידג'טים מידעניים, תרשימים וטבלאות שמספקים ניטור של Office 365. הם מציגים פרטים שימושיים על איומים סייבר שעשויים להשפיע על הארגון שלך. עמודי המעקב מכילים נתונים שמתעדכנים באופן תדיר על סיכונים נפוצים כמו תוכניות זיהות ותוכניות פישינג כדי לציין אילו בעיות הן כיום הכי מסוכנות לארגונך. בנוסף, תוכל למצוא עמודה של פעולות שמפנה אותך למגדל האיומים שבו תוכל לצפות במידע עמוק יותר.

הערה:

  • מעקבי האיומים כלולים ב-Microsoft Defender עבור Office 365 תוכנית 2 ונדרשת הרשאת מנהל גלובלי, מנהל אבטחה או קורא אבטחה כדי להשתמש בהם.
  • כדי לגשת למעקב אחרי איומים עבור הארגון שלך, עבור ל- https://security.microsoft.com/, לחץ על דוא"ל ושיתוף, ואז מעקב אחר איומים. תוכל גם לעבור ישירות ל- https://security.microsoft.com/threattrackerv2.

יש ארבע תכונות שונות במעקב אחר איומים: מעקבים מעניינים, מעקבים טרנדיים, שאילתות מעוקבות ו- שאילתות שמורות.

מעקבים מעניינים

וידג'ט זה מציג איומים חדשים או קיימים במערכת ה-Microsoft 365 שלך ברמות חומרה שונות והאם הם קיימים בסביבת ה-Office 365 שלך או לא. אם כן, תוכל גם לראות קישורים למאמרים מועילים שמפרטים את הבעיה ואיך היא עשויה להשפיע על אבטחת Office 365 בארגונך.

צוות האבטחה שלך צריך לבדוק את מעקבי האיומים המעניינים באופן קבוע מאחר והם פורסמים רק למשך כמה שבועות ואז מוחלפים בפריטים עדכניים יותר. זה מאפשר לרשימה להישאר מעודכנת כך שתוכל להישאר מעודכן לגבי סיכונים רלוונטיים יותר.

מעקבים טרנדיים

מעקבים טרנדיים מדגימים את האיומים האחרונים שנשלחו לדואר האלקטרוני של הארגון שלך במהלך השבוע האחרון. מנהלי מערכת יקבלו תובנות טובות יותר על ידי צפייה בהערכות דינמיות של מגמות תוכנות זדוניות ברמת השוכר וזיהוי התנהגות של משפחות תוכנות זדוניות.

שאילתות מעוקבות

שאילתות מעוקבות היא כלי ניטור נוסף של Office 365 שמעביר ביקורת מדי פעם על הפעילות בסביבת Microsoft שלך תוך ניצול שאילתות שנשמרו. זהו תהליך אוטומטי שמספק מידע עדכני על פעילויות חשודות כדי לעזור להבטיח את הגנת האיומים של Office 365.

שאילתות שמורות

החיפושים המקובלים במסגרת המגוון ושאילתות מעקב מעניינות שאתה נוהג לבצע בדרך כלל ניתן לשמור כשאילתות מורשות. בכך אתה לא צריך ליצור חיפוש חדש בכל פעם וניתן לגשת בקלות לשאילתות שנשמרו מראש.

סורק איומים וזיהויים בזמן אמת

ב־Microsoft Defender for Office 365, הסורק, הידוע גם בשם סורק איומים, מאפשר למומחים לאבטחה לנתח איומים אפשריים שמתמקדים בארגון שלך ולנטור את נפח התקיפות לאורך זמן. בעזרת התכונה הזו, ניתן להציג דוחות מקיפים והמלצות למדיניות כדי ללמוד כיצד ניתן להגיב ביעילות לסיכונים שמנסים לחדור לארגון שלך.

הערה:

  • הסורק כלול בתוכנית 2 של Microsoft Defender for Office 365, תוך כדי שתוכנית 1 מציעה זיהויים בזמן אמת.
  • כדי לגשת לאחד משני הכלים הללו, עבור ל־מרכז האבטחה והסמכויות ואז ניהול איומים.

Threat Explorer מספק מידע חשוב על איומים כגון נתונים היסטוריים בסיסיים, שיטות מסורות של משלוח והנזק האפשרי שעשוי להיווצר. מנתחים יכולים להשתמש בכלי זה כנקודת התחלה לחקירתם כדי לבדוק נתונים לפי תשתיות התוקפים, משפחות האיומים ופרמטרים אחרים.

בדוק תוכנות זדוניות שזוהו

תוכל להשתמש ב-Explorer כדי להציג תוכנות זדוניות שנמצאו בדואר האלקטרוני של הארגון שלך. ניתן לסנן את הדוח לפי טכנולוגיות של Microsoft 365 שונות.

צפה בכתובת URL של פישינג ונתוני הכיסוי של לחיצה

ניסיונות פישינג דרך כתובות ה-URL בהודעות הדוא"ל גם מוצגים ב-Threat Explorer. הדוח כולל רשימה של כתובות URL המאושרות, חסומות ומושקעות ממוינות בשני טבלאות:

  • כתובות URL העליונות: לעיתים קרובות מתקישים מוסיפים כתובות URL טובות לצד הקישורים הרעים כדי לבלבל את הנמען. רשימה זו מכילה ברובה כתובות URL תקינות שנמצאו בהודעות שסננת והן ממוינות לפי סך הודעות הדואר האלקטרוני הכולל.
  • לחיצות העליונות: אלה הם הכתובות URL המצופות ב-Safe Links שנפתחו והן ממוינות לפי סך הלחיצות הכולל. הקישורים כאן כנראה זדוניים ואתה יכול למצוא את סך הלחיצות בסמוך לכל כתובת URL.

הערה: כאשר אתה מגדיר את מסנני הפישינג של Office 365, עליך להגדיר Safe Links ואת המדיניות שלהם כדי לזהות אילו כתובות URL נלחצו ולהרוויח מהגנה בזמן הלחיצה ורישום של נפילות הלחיצה.

ערכי נפילת הלחיצה המוצגים ב-Explorer עוזרים לך להבין איזה פעולה נעשתה לאחר שנבחרה כתובת URL:

  • מורשה: המשתמש הצליח לנווט לכתובת URL.
  • חסום: המשתמש לא הצליח לנווט לכתובת URL.
  • החלטה ממתינה: הדף עם ההחלטה הממתינה הוצג כאשר המשתמש לחץ על הכתובת URL.
  • שגיאה: הדף עם השגיאה הוצג למשתמש מכיוון שהתרחשה שגיאה בעת ניסיון ללכוד את ההחלטה.
  • כשלון: אירוע לא ידוע התרחש בעת ניסיון ללכוד את ההחלטה. ייתכן כי המשתמש לחץ דרך הכתובת URL.
  • אין: לא ניתן ללכוד את ההחלטה. ייתכן כי המשתמש לחץ דרך הכתובת URL.
  • חסימה נדרשת: המשתמש דרס את החסימה וניהל לכתובת URL.
  • ניתן לעקוף החלטה ממתינה: הדף עם ההחלטה הממתינה הוצג אך המשתמש דרס את ההודעה על מנת לגשת לכתובת URL.

סקירת הודעות דוא"ל שדוחות על ידי המשתמשים

דוח זה מציג מידע בנוגע להודעות שמשתמשים בארגון שלך דיווחו שהן מיותרות, לא מיותרות או פישינג. כדי לקבל תוצאות טובות יותר, מומלץ להגדיר הגנת דוא"ל זבל עבור Office 365.

מציאת וחקירת הודעות דוא"ל זדוניות שסופקו

הגישות בזמן אמת והמגוון המאפשר לצוות האבטחה לחקור פעילויות פוגעות שעלולות להציב את הארגון שלך בסיכון. הפעולות הזמינות הן:

  • איתור וזיהוי כתובת ה-IP של שולח הודעת דוא"ל זדונית
  • מציאת ומחיקת הודעות
  • התחלת אירוע כדי להוביל לחקירה נוספת
  • בדיקת פעולת המסירה והמיקום
  • צפייה בציר הזמן של האימייל שלך

צפייה בקבצים זדוניים שזוהו ב-SharePoint Online, OneDrive ו-Microsoft Teams

דיווחים ברשימת המסיימים מספקים מידע על קבצים שזוהו כזדוניים על ידי קישורים בטוחים עבור OneDrive, Microsoft Teams ו-SharePoint Online. מנהלים יכולים גם לצפות בקבצים אלה במחסון.

בדיקת הדו"ח על מצב ההגנה מפני איומים

ווידג'ט זה מציג את מצב האבטחה של Office 365 שלך. בנוסף לספירת ההודעות בדואר האלקטרוני שמכילות תוכן זדוני, תוכל גם למצוא:

  • קבצים או כתובות URL שחסמו
  • ניקוי אוטומטי בשעה אפס (ZAP)
  • קישורים בטוחים
  • קישורים בטוחים
  • תכונות הגנה על התחזות במדיניות אנטי פישינג

מידע זה מאפשר לך לנתח מגמות באבטחה כדי שתוכל לקבוע אם המדיניות שלך זקוקה להתאמה.

אימון סימולציה לתקיפות

הגדרת והפעלת תקיפות סייבר ריאליסטיות אך לא זדוניות בארגון שלך כדי לבדוק את מדיניות האבטחה שלך ולזהות חולשות לפני שתקרה תקיפה בפועל. הסימולציות האלה הן חלק מהגנת האיומים של Office 365 מאחר והן עוזרות לאמן את העובדים שלך להיות ערניים נגד תכני פיתוח חברתי כמו התקפות פישינג.

הערה: ניתן לגשת לתכונה זו על ידי מעבר אל פורטל Microsoft 365 Defender > דוא"ל ושיתוף > אימון להתקפות סימולציה. או לעבור ישירות אל עמוד אימון להתקפות סימולציה.

אימון להתקפות סימולציה מכיל זרימת עבודה ספציפית המורכבת מסדרה של שלבים שעליך להשלים לפני הפעלת ההתקפה הסימולטיבית.

בחר טכניקת הנדבך החברתית

לפני הכל, עליך לבחור אחת מן הטכניקות לשוניות הזמינות:

  • קישור לתוכנת זיהום: מפעיל קוד שרירותי מקובץ המאוחסן בשירות משותף לשיתוף קבצים אמין ואז שולח הודעה הכוללת קישור לקובץ הזדוני זה. אם המשתמש פותח את הקובץ, המכשיר נפגע.
  • אסימון פרטים: משתמשים מופנים לאתר שנראה כמו אתר ידוע שבו הם יכולים להזין את שם המשתמש והסיסמה שלהם.
  • קישור בקובץ מצורף: URL מתווסף לקובץ דוא"ל מצורף ונתנהג באופן דומה לאסימון פרטים.
  • קובץ זיהום: מצורף זדוני מתווסף להודעה. אם הקובץ מופעל, המכשיר של היעד נפגע.כתובת URL בצד הדרך: URL מפנה את המשתמש לאתר מוכר שמתקין קוד זדוני ברקע. הגנת קצה של Office 365 עשויה שלא להיות מספיקה כדי למנוע מאיומים כאלה ובתוצאה, המכשיר נפגע.
  • כתובת URL עברית: כתובת URL שמפנה את המשתמש לאתר מוכר שמתקין קוד זדוני ברקע. הגנת קצה של Office 365 עשויה שלא להיות מספיקה למניעת איומים כאלה ובתוצאה מכך, המכשיר נגוע.

בחר שם ותאר את הסימולציה

השלב הבא הוא להזין שם ייחודי ותיאורטי לסימולציה שאתה יוצר. תיאור מפורט הוא אופציונלי.

בחר תוכן

בעמוד זה, עליך לבחור את התוכן שיצג למשתמשים בסימולציה. זה עשוי להיות הודעת דוא"ל או דף אינטרנט. ניתן לבחור מהקטלוג המובנה שמכיל את התוכן הזמין. כמו כן, אפשר ליצור תוכן מותאם אישית שעשוי לעבוד טוב יותר עם הארגון שלך.

משתמשים יעד

כאן אתה בוחר את המשתמשים בחברתך שיקבלו את האימון על סימולציות התקפה. ניתן לכלול את כל המשתמשים או לבחור מטרות וקבוצות ספציפיות.

הקצאת אימון

Microsoft ממליצה להקצות אימון לכל סימולציה שאתה יוצר מאחר שהעובדים שעוברים אותו פחות סביר שיפלו קורבנות לתקיפה דומה. ניתן לראות את הקורסים והמודולים המוצעים ולבחור את אלה שמתאימים ביותר לצרכיך על סמך תוצאות המשתמש.

בחר הודעת משתמש סופית

לשונית זו מאפשרת לך להגדיר את הגדרות ההתראה שלך. ניתן להוסיף התראת חיזוק חיובית אם בחרת התראות משתמש סופיות מותאמות אישית לעודד את המשתמשים שלך לאחר שהם סיימו את האימון.

חקירה ותגובה אוטומטית (AIR)

באבטחת Office 365, יכולות חקירה ותגובה אוטומטיות (AIR) מפעילות התרעות אוטומטיות כאשר איום ידוע מתקף את הארגון שלך. זה מפחית את העבודה הידנית ומאפשר לצוות האבטחה שלך לפעול בצורה יעילה יותר על ידי סקירה, דירוג ותגובה מתאימה.

חקירה אוטומטית יכולה להיות מופעלת או על ידי קובץ מצורף חשוד שהגיע בהודעת דואר או על ידי ניתוחן השתמש ב-Threat Explorer. AIR אוספת נתונים הקשורים לדואר האלקטרוני בשאלה כגון נמענים מיועדים, קבצים ו-URLים. מנהלים וצוותי אבטחה יכולים לסקור את תוצאות החקירה ולבדוק את המערכות להמלצות כדי לאשר או לדחות את פעולות התיקון.

AIR יכולה להיפעל על ידי אחת מההתרעות הבאות:

  • A possibly malicious URL was clicked
  • A user reported an email as phishing or malware
  • הודעת דואר אלקטרוני המכילה מדובר או URL פישינג הוסרה לאחר מסירה
  • A suspicious email sending pattern was detected
  • A user is restricted from sending messages

מסקנה

חקירת האיום של Office 365 מציעה יכולות שונות שמסייעות בהגנה על נתונים שלך. עם Microsoft Defender for Office 365 plan 2, תוכל להשתמש בתכונות מתקדמות כמו גששי איומים ו-Threat Explorer. תוכל גם לבצע אימון סימולציה של התקפים כדי לשמור על ידיעת המשתמשים שלך ולהגן מפני התקפים סייבר פוטנציאליים. בנוסף, תוכל להגדיר חקירה ותגובה אוטומטיות (AIR) כדי להפחית את העומס על צוות האבטחה שלך כדי שיוכל להתמקד באיומים בעדיפות גבוהה יותר.

אמנם, הדרך היחידה להבטיח הגנה מוחלטת על סביבת Office 365 היא על ידי הפעלת פתרון הגנת נתונים מודרני כמו NAKIVO Backup & Replication. הפתרון מספק יכולות גיבוי ושחזור עוצמתיות עבור Exchange Online, Teams, OneDrive for Business ו-SharePoint Online.

Source:
https://www.nakivo.com/blog/microsoft-365-threat-investigation-and-response/