Расследование угроз и реагирование в безопасности Office 365

С постоянно возрастающим риском киберпреступлений компании по всему миру борются за защиту своего самого ценного актива: своих данных. К счастью, Microsoft Defender для Office 365 предоставляет администраторам ИТ и аналитикам возможности по расследованию угроз и реагированию, которые позволяют им проактивно защищать своих пользователей и данные.

Используя встроенные функции безопасности Office 365, вы можете получить ценные источники информации о распространенных угрозах, собрать практические данные и спланировать эффективные меры по реагированию. Ваша служба безопасности легко может выявлять, контролировать и отражать вредоносную деятельность до того, как она причинит непоправимый ущерб вашей организации.

В этом посте подробно описываются различные инструменты, включенные в систему расследования и реагирования Microsoft. Продолжайте чтение, чтобы получить обзор различных функций и узнать, как они сочетаются для создания неуязвимого щита против атак на основе файлов и электронной почты.

Что такое расследование и реагирование на угрозы Office 365?

Расследование и реагирование на угрозы Office 365 – это общий термин, относящийся к набору возможностей в плане 2 Microsoft Defender для Office 365. Эти инструменты помогают администраторам ИТ и аналитикам отслеживать и собирать информацию о потенциальных угрозах. Затем службы безопасности могут использовать доступные действия по реагированию в портале Microsoft 365 Defender для устранения рисков в SharePoint Online, OneDrive для бизнеса, Exchange Online и Microsoft Teams.

С помощью этих функций безопасности Office 365 вы можете собирать данные из нескольких источников, таких как предыдущие инциденты безопасности, активность пользователей, аутентификация, электронные письма и скомпрометированные компьютеры. Процесс расследования и реагирования на угрозы включает в себя следующее:

• Explorer (Обнаружение в реальном времени в MS Defender для Office 365 План 1)
• Инциденты (также известные как Расследования)
• Тренировка по симуляции атак
• Автоматизированное расследование и реагирование

Важно отметить, что все эти возможности обеспечивают необходимую защиту, собирая данные из встроенных трекеров угроз в Microsoft Defender, так что давайте ближе рассмотрим их вначале.

Трекеры угроз

Трекеры угроз представляют собой набор информационных виджетов, диаграмм и таблиц, обеспечивающих мониторинг Office 365. Они отображают полезные детали о киберугрозах, которые могут повлиять на вашу организацию. Страницы трекеров периодически обновляются цифрами о текущих рисках, таких как вредоносные программы и схемы фишинга, чтобы показать, какие проблемы в настоящее время являются наиболее опасными для вашей организации. Кроме того, вы можете найти столбец Действия, который перенаправляет вас в Проводник угроз, где вы можете просмотреть более подробную информацию.

Примечание:

• Трекеры угроз включены в Microsoft Defender для Office 365 План 2, и вам нужны разрешения глобального администратора, администратора безопасности или читателя безопасности, чтобы использовать их.
• Чтобы получить доступ к Трекерам Угроз для вашей организации, перейдите по ссылке https://security.microsoft.com/, нажмите на Почта и совместная работа, затем на Трекер угроз. Вы также можете перейти непосредственно по ссылке https://security.microsoft.com/threattrackerv2.

В Трекерах Угроз представлены четыре различных функции: Заметные трекеры, Трендовые трекеры, Отслеживаемые запросы и Сохраненные запросы.

Заметные трекеры

Этот виджет показывает новые или существующие угрозы разной степени серьезности и указывает, существуют ли они в вашей среде Microsoft 365 или нет. Если да, вы также можете увидеть ссылки на полезные статьи, которые подробно описывают проблему и как она может повлиять на безопасность Office 365 в вашей организации.

Ваша команда безопасности должна регулярно проверять заметные трекеры, поскольку они публикуются только на несколько недель, а затем заменяются более новыми элементами. Это позволяет держать список актуальным, чтобы вы могли быть в курсе более существенных рисков.

Трендовые трекеры

Трендовые трекеры выделяют последние угрозы, отправленные на электронные адреса вашей организации за последнюю неделю. Администраторы получают лучшие инсайты, просматривая динамические оценки трендов вредоносного ПО на уровне арендатора и выявляя поведение семейств вредоносных программ.

Отслеживаемые запросы

Отслеживаемые запросы – это еще один инструмент мониторинга Office 365, который периодически оценивает активность в вашей среде Microsoft, используя сохраненные запросы. Это автоматический процесс, который предоставляет последнюю информацию о подозрительных действиях для обеспечения защиты от угроз Office 365.

Сохраненные запросы

Обычные поисковые запросы Explorer или заметные запросы трекера, которые вы обычно выполняете, могут быть сохранены как сохраненные запросы. Таким образом, вам не нужно создавать новый поиск каждый раз и легко получать доступ к ранее сохраненным запросам.

Threat Explorer и обнаружение в реальном времени

В Microsoft Defender для Office 365, Explorer, также известный как Threat Explorer, позволяет экспертам по безопасности анализировать потенциальные угрозы, нацеленные на вашу организацию, и отслеживать объем атак со временем. С помощью этой функции вы можете просматривать полные отчеты и рекомендации по политике, чтобы узнать, как вы можете эффективно реагировать на риски, пытающиеся проникнуть в вашу организацию.

Примечание:

• Explorer включен в план 2 Microsoft Defender для Office 365, в то время как план 1 предлагает обнаружение в реальном времени.
• Чтобы получить доступ к любому из этих инструментов, перейдите в Центр безопасности и соответствия, а затем в Управление угрозами.

Threat Explorer предоставляет важную информацию о угрозах, такую как базовые исторические данные, общие методы доставки и возможный ущерб, который может быть причинен. Аналитики могут использовать этот инструмент в качестве отправной точки для своего расследования, чтобы изучить данные по инфраструктуре злоумышленника, семьям угроз и другим параметрам.

Проверьте обнаруженные вредоносные программы

Вы можете использовать Explorer для просмотра вредоносных программ, обнаруженных в электронной почте вашей организации. Отчет можно отфильтровать по различным технологиям Microsoft 365.

Просмотр URL-адресов для рыбной ловли и данных о вердикте нажатия

Попытки рыбной ловли через URL-адреса в сообщениях электронной почты также отображаются в Threat Explorer. Этот отчет включает список разрешенных, заблокированных и переопределенных URL-адресов, отсортированных по двум таблицам:

• Топ-URL: Иногда злоумышленники добавляют хорошие URL-адреса наряду с плохими ссылками, чтобы запутать получателя. В этом списке в основном содержатся легитимные URL-адреса, найденные в сообщениях, которые вы отфильтровали, и они отсортированы по общему количеству электронных писем.
• Топ-щелчки: Это URL-адреса, обернутые в Safe Links, которые были открыты, и они отсортированы по общему количеству щелчков. Ссылки здесь скорее всего злонамеренные, и вы можете найти количество вердиктов щелчка Safe Links рядом с каждым URL-адресом.

Примечание: При настройке фильтра рыбной ловли Office 365 вы должны настроить Safe Links и их политики, чтобы определить, какие URL-адреса были нажаты, и воспользоваться защитой на момент нажатия и журналированием вердиктов нажатия.

Значения вердиктов нажатия, отображаемые в Explorer, помогают вам понять действие, которое было предпринято после выбора URL-адреса:

• Разрешено: Пользователь смог перейти по URL-адресу.
• Заблокировано: Пользователь не смог перейти по URL-адресу.
• Ожидание решения: Страница ожидания детонации отображалась, когда пользователь нажал на URL-адрес.
• Ошибка: Страница ошибки была представлена пользователю, так как при попытке получить вердикт произошла ошибка.
• Сбой: При попытке получить вердикт произошло неизвестное исключение. Возможно, пользователь перешел по URL-адресу.
• Нет: Не удалось получить вердикт. Возможно, пользователь перешел по URL-адресу.
• Блокировка переопределена: Пользователь переопределил блокировку и перешел по URL-адресу.
• Обход ожидания вердикта: Страница детонации была показана, но пользователь переопределил сообщение, чтобы получить доступ к URL-адресу.

Просмотреть электронные сообщения, сообщенные пользователями по электронной почте

Этот отчет содержит данные о сообщениях, которые пользователи вашей организации сообщили как спам, не спам или фишинг. Для получения лучших результатов рекомендуется настроить защиту от спама для Office 365.

Нахождение и расследование вредоносных электронных писем, которые были доставлены

В режиме реального времени обнаружения и Threat Explorer предоставляют сотрудникам службы безопасности возможность расследовать враждебные действия, которые могут поставить вашу организацию под угрозу. Доступные действия:

• Нахождение и идентификация IP-адреса вредоносного отправителя электронной почты
• Поиск и удаление сообщений
• Начало инцидента для дальнейшего расследования
• Проверка действия доставки и местоположения
• Просмотр временной шкалы вашего электронного письма

Просмотр вредоносных файлов, обнаруженных в SharePoint Online, OneDrive и Microsoft Teams

Отчеты в списке Explorer содержат информацию о файлах, идентифицированных как вредоносные Safe Attachments для OneDrive, Microsoft Teams и SharePoint Online. Администраторы также могут просматривать эти файлы в карантине.

Проверка отчета о статусе защиты от угроз

Этот виджет отображает статус безопасности вашего Office 365. Помимо количества электронных сообщений, содержащих вредоносный контент, вы также можете найти:

• Файлы или URL-адреса, которые были заблокированы
• Автоматическое удаление в течение нулевого часа (ZAP)
• Безопасные ссылки
• Безопасные вложения
• Функции защиты от подделки в политиках антифишинга

Эта информация позволяет вам анализировать тенденции в области безопасности, чтобы вы могли определить, нуждается ли ваша политика в корректировке.

Обучение по имитации атак

Настройте и запустите реалистичные, но безобидные кибератаки в вашей организации, чтобы проверить ваши политики безопасности и выявить уязвимости до реальной атаки. Эти симуляции являются частью защиты от угроз Office 365, поскольку они помогают обучать ваших сотрудников оставаться бдительными против социальных инженерных схем, таких как фишинговые атаки.

Примечание: Вы можете получить доступ к этой функции, перейдя на портал Microsoft 365 Defender > Электронная почта и сотрудничество> Тренировка по имитации атак. Или перейдите непосредственно на страницу Тренировки по имитации атак.

Тренировка по имитации атак имеет определенный рабочий процесс, состоящий из серии шагов, которые вам необходимо выполнить перед запуском имитации атаки.

Выберите метод социальной инженерии

Сначала вам нужно выбрать одну из доступных схем социальной инженерии:

• Ссылка на вредоносное ПО: Запускает произвольный код из файла, размещенного на репутабельном сервисе для обмена файлами, а затем отправляет сообщение, содержащее ссылку на этот вредоносный файл. Если пользователь открывает файл, то устройство компрометировано.
• Сбор учетных данных: Пользователей перенаправляют на то, что выглядит как известный веб-сайт, где они могут ввести свое имя пользователя и пароль.
• Ссылка во вложении: URL добавляется к вложению электронной почты и ведет себя аналогично сбору учетных данных.
• Вредоносное вложение: В сообщение добавляется вредоносное вложение. Если вложение открывается, то устройство цели компрометировано.Проходной URL: URL перенаправляет пользователя на знакомый веб-сайт, который устанавливает вредоносный код в фоновом режиме. Защита конечной точки Office 365 возможно не сможет предотвратить такие угрозы, и впоследствии устройство заражается.
• Атака по URL-адресу: URL-адрес перенаправляет пользователя на знакомый веб-сайт, который устанавливает вредоносный код на фоне. Защита конечной точки Office 365 может быть неспособна предотвратить такие угрозы, и впоследствии устройство заражается.

Выберите имя и опишите симуляцию

Следующим шагом является ввод уникального и описательного имени для создаваемой вами симуляции. Подробное описание не является обязательным.

Выберите нагрузку

На этой странице вы должны выбрать нагрузку, которая будет представлена пользователям в симуляции. Это может быть либо электронное письмо, либо веб-страница. Вы можете выбрать из встроенного каталога, содержащего доступные нагрузки. Также возможно создание пользовательской нагрузки, которая лучше соответствует вашей организации.

Целевые пользователи

Здесь вы выбираете пользователей в вашей компании, которые будут проходить обучение симуляции атаки. Вы можете либо включить всех пользователей, либо выбрать конкретные цели и группы.

Назначьте обучение

Microsoft рекомендует назначать обучение для каждой создаваемой вами симуляции, поскольку сотрудники, проходящие его, менее подвержены подобной атаке. Вы можете просмотреть предложенные курсы и модули и выбрать те, которые лучше всего соответствуют вашим потребностям на основе результатов пользователей.

Выберите уведомление для конечного пользователя

Этот раздел позволяет настроить параметры уведомлений. Вы можете добавить уведомление о позитивном подкреплении, если выберете Настроенные уведомления для конечных пользователей, чтобы поощрить ваших пользователей после завершения обучения.

Автоматизированное расследование и реагирование (AIR)

В области безопасности Office 365 возможности автоматизированного расследования и реагирования (AIR) запускают автоматические предупреждения, когда известная угроза нацеливается на вашу организацию. Это сокращает ручную работу и позволяет вашей службе безопасности действовать более эффективно, проверяя, определяя приоритеты и реагируя соответственно.

Автоматическое расследование может быть инициировано либо подозрительным вложением, пришедшим в электронном сообщении, либо аналитиком с использованием Threat Explorer. AIR собирает данные, связанные с рассматриваемым электронным письмом, такие как предполагаемые получатели, файлы и URL-адреса. Администраторы и сотрудники службы безопасности могут ознакомиться с результатами расследования и проверить рекомендации, чтобы одобрить или отклонить меры по устранению.

AIR может быть запущен одним из следующих предупреждений:

• A possibly malicious URL was clicked
• A user reported an email as phishing or malware
• Электронное сообщение, содержащее вредоносное программное обеспечение или URL-адрес фишинга, было удалено после доставки
• A suspicious email sending pattern was detected
• A user is restricted from sending messages

Заключение

Расследование угроз Office 365 предлагает различные возможности, которые помогают обеспечить безопасность ваших данных. С планом 2 Microsoft Defender для Office 365 вы можете использовать расширенные функции, такие как отслеживание угроз и Threat Explorer. Вы также можете проводить тренировки по симуляции атак, чтобы сохранить бдительность ваших пользователей и защитить их от потенциальных кибератак. Кроме того, вы можете настроить автоматизированное расследование и реагирование (AIR), чтобы разгрузить вашу службу безопасности и позволить им сосредоточиться на более приоритетных угрозах.

Сказано это, единственный способ обеспечить полную защиту среды Office 365 – это развернуть современное решение по защите данных, такое как NAKIVO Backup & Replication. Решение обеспечивает мощные возможности резервного копирования и восстановления для Exchange Online, Teams, OneDrive для бизнеса и SharePoint Online.