Categories:

Os ataques de phishing continuam sendo um dos principais vetores de ameaça, explorando tanto falhas tecnológicas quanto o comportamento humano. Quando um e-mail suspeito consegue passar pelos mecanismos de proteção, uma investigação rápida e precisa é fundamental para minimizar os danos. O Microsoft Defender para Office 365 (MDO) oferece às equipes de segurança ferramentas poderosas de investigação para ajudar.

Neste artigo, apresentaremos um fluxo de investigação passo a passo utilizando MDO. Você aprenderá a rastrear de forma eficiente a cadeia de ataque, avaliar o impacto sobre os usuários.

Quando um e-mail suspeito é entregue devido a configurações de política ou a técnicas de ameaça cada vez mais sofisticadas, uma investigação oportuna é essencial para minimizar o impacto. O Microsoft Defender para Office 365 (MDO) oferece um conjunto abrangente de ferramentas na guia Incidents, permitindo que as equipes de segurança identifiquem, investiguem e respondam rapidamente a ameaças relacionadas a e-mails.
Mas como investigar de forma eficiente? Qual é o fluxo de investigação mais eficaz após o disparo de um alerta? Segue abaixo o fluxo recomendado.

Fluxo de Investigação Passo a Passo

(https://learn.microsoft.com/en-us/security/operations/incident-response-playbook-phishing)

Particularmente eu gosto de utilizar o Explorer e o Attack Story que apresenta uma cronologia visual dos alertas e um gráfico interativo que relaciona utilizadores, e-mails e URLs.

Perguntas importantes para seguir com a investigação:

Qual é o assunto e endereço(s) de e-mail ou domínio do remetente?
Quem mais recebeu/leu o mesmo e-mail?
Existe acesso delegado à caixa de correio?
Existe uma regra de encaminhamento para a caixa de correio?
Para qual(is) usuário(s) está delegado/encaminhado?
O usuário leu o e-mail?
O e-mail continha um anexo? Havia carga maliciosa (payload) no anexo?
Os endereços IP são maliciosos? Estão associados a invasores/campanhas?
O usuário clicou no link do e-mail? O link é malicioso?
Em qual(is) endpoint(s) o e-mail foi aberto?
Houve evento de criação de processo?
O IP/URL de destino foi acessado/aberto?
Algum código foi baixado/executado?

Conclusâo:

uma investigação eficiente no Microsoft Defender for Office 365 deve seguir um fluxo estruturado, correlacionando evidências de e-mails, usuários, URLs, anexos e endpoints para determinar o alcance do incidente e permitir uma resposta rápida e eficaz, minimizando os impactos do ataque.

Tags:

No responses yet

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *