Điều tra và ứng phó với các mối đe dọa trong bảo mật Office 365

Với nguy cơ tội phạm mạng ngày càng gia tăng, các doanh nghiệp trên toàn thế giới đang phải đối mặt với thách thức trong việc bảo vệ tài sản quý giá nhất của mình: dữ liệu. May mắn thay, Microsoft Defender for Office 365 cung cấp cho các quản trị viên CNTT và chuyên viên phân tích các tính năng điều tra và ứng phó với mối đe dọa, giúp họ chủ động bảo vệ người dùng và dữ liệu.

Bằng cách sử dụng các tính năng bảo mật tích hợp sẵn trong Office 365, bạn có thể thu thập thông tin chi tiết quý giá về các mối đe dọa phổ biến, thu thập dữ liệu thực tiễn và lập kế hoạch các biện pháp ứng phó hiệu quả. Đội ngũ bảo mật của bạn có thể dễ dàng xác định, theo dõi và ngăn chặn các hoạt động độc hại trước khi chúng gây ra thiệt hại không thể khắc phục cho tổ chức của bạn.

Bài đăng này phân tích chi tiết các công cụ khác nhau có trong tính năng điều tra và ứng phó với các mối đe dọa của Microsoft. Hãy đọc tiếp để có cái nhìn tổng quan về các tính năng khác nhau và cách chúng kết hợp với nhau để tạo ra một lá chắn bất khả xâm phạm chống lại các cuộc tấn công dựa trên tệp tin và email.

Sao lưu dữ liệu Microsoft 365

Sử dụng giải pháp NAKIVO để sao lưu dữ liệu Microsoft 365 trên Exchange Online, Teams, OneDrive và SharePoint Online, đảm bảo quy trình làm việc diễn ra liên tục và không có thời gian ngừng hoạt động.

KHÁM PHÁ GIẢI PHÁP

Điều tra và ứng phó với mối đe dọa trong Office 365 là gì? Điều tra và ứng phó với mối đe dọa trong Office 365 là thuật ngữ chung chỉ một bộ tính năng trong . Các công cụ này giúp các quản trị viên CNTT và chuyên viên phân tích theo dõi và thu thập thông tin về các mối đe dọa tiềm ẩn. Các nhóm bảo mật sau đó có thể sử dụng các hành động ứng phó có sẵn trên cổng thông tin Microsoft 365 Defender để xử lý rủi ro trong SharePoint Online, OneDrive for Business, Exchange Online và Microsoft Teams. Với các tính năng bảo mật Office 365 này, bạn có thể thu thập dữ liệu từ nhiều nguồn như các sự cố bảo mật trước đó, hoạt động của người dùng, xác thực, email và các máy tính bị xâm nhập. Quy trình điều tra và ứng phó với mối đe dọa bao gồm các thành phần sau: Explorer (Phát hiện theo thời gian thực trong gói Microsoft Defender for Office 365 Plan 1) Incidents (còn được gọi là Investigations) Đào tạo mô phỏng tấn công Điều tra và phản ứng tự động Cần lưu ý rằng tất cả các tính năng này cung cấp sự bảo vệ cần thiết bằng cách thu thập dữ liệu từ các công cụ theo dõi mối đe dọa tích hợp sẵn trong Microsoft Defender, vì vậy hãy cùng tìm hiểu chi tiết về chúng trước tiên. Công cụ theo dõi mối đe dọa Công cụ theo dõi mối đe dọa là bộ sưu tập các widget, biểu đồ và bảng dữ liệu cung cấp khả năng giám sát Office 365. Chúng hiển thị các chi tiết hữu ích về các mối đe dọa mạng có thể ảnh hưởng đến tổ chức của bạn. Các trang theo dõi chứa các số liệu được cập nhật định kỳ về các rủi ro đang nổi lên như phần mềm độc hại và các âm mưu lừa đảo, nhằm chỉ ra những vấn đề nào hiện đang nguy hiểm nhất đối với tổ chức của bạn. Ngoài ra, bạn có thể tìm thấy cột để chuyển hướng đến nơi bạn có thể xem thông tin chi tiết hơn. Lưu ý : Các công cụ theo dõi mối đe dọa được tích hợp trong Microsoft Defender cho và bạn cần quyền quản trị viên toàn cầu, quản trị viên bảo mật hoặc người đọc bảo mật để sử dụng chúng. Để truy cập Threat Trackers cho tổ chức của bạn, hãy truy cập , nhấp vào , sau đó . Bạn cũng có thể truy cập trực tiếp vào . Có bốn tính năng khác nhau trong Threat Trackers: Các theo dõi đáng chú ý , Các theo dõi đang thịnh hành , Các truy vấn được theo dõi và Các truy vấn đã lưu . Các theo dõi đáng chú ý Widget này hiển thị các mối đe dọa mới hoặc hiện có với mức độ nghiêm trọng khác nhau và liệu chúng có tồn tại trong môi trường Microsoft 365 của bạn hay không.Gói Microsoft Defender cho Office 365 – Gói 2

Actions Threat Explorer

• Office 365 Plan 2
• https://security.microsoft.com/ Email & collaboration Threat tracker https://security.microsoft.com/threattrackerv2

Nếu có, bạn cũng có thể xem các liên kết đến các bài viết hữu ích giải thích chi tiết về vấn đề này và cách nó có thể ảnh hưởng đến bảo mật Office 365 trong tổ chức của bạn.

Đội ngũ bảo mật của bạn nên kiểm tra các bản theo dõi đáng chú ý thường xuyên vì chúng chỉ được đăng trong vài tuần rồi sẽ được thay thế bằng các mục mới hơn. Điều này giúp danh sách luôn được cập nhật để bạn có thể nắm bắt kịp thời các rủi ro có liên quan.

Các trình theo dõi xu hướng

Các trình theo dõi xu hướng nổi bật các mối đe dọa mới nhất được gửi đến email của tổ chức bạn trong tuần qua. Các quản trị viên có được cái nhìn sâu sắc hơn bằng cách xem các đánh giá động về xu hướng phần mềm độc hại ở cấp độ tenant và xác định hành vi của các họ phần mềm độc hại.

Các truy vấn được theo dõi

Các truy vấn được theo dõi là một công cụ giám sát Office 365 khác, định kỳ đánh giá hoạt động trong môi trường Microsoft của bạn bằng cách tận dụng các truy vấn đã lưu. Đây là một quy trình tự động cung cấp thông tin mới nhất về các hoạt động đáng ngờ để giúp đảm bảo Bảo vệ chống lại các mối đe dọa trong Office 365.

Các truy vấn đã lưu

Các tìm kiếm Explorer thông thường hoặc các truy vấn theo dõi đáng chú ý mà bạn thường thực hiện có thể được lưu dưới dạng Các truy vấn đã lưu. Bằng cách này, bạn không cần phải tạo tìm kiếm mới mỗi lần và có thể dễ dàng truy cập các truy vấn đã lưu trước đó.

Threat Explorer và Phát hiện thời gian thực

Trong Microsoft Defender cho Office 365, Explorer, còn được gọi là Threat Explorer, cho phép các chuyên gia bảo mật phân tích các mối đe dọa tiềm ẩn nhắm vào tổ chức của bạn và theo dõi khối lượng các cuộc tấn công theo thời gian. Với tính năng này, bạn có thể xem các báo cáo toàn diện và đề xuất chính sách để tìm hiểu cách phản ứng hiệu quả với các rủi ro đang cố gắng xâm nhập vào tổ chức của bạn.

Lưu ý :

• Explorer được tích hợp trong Microsoft Defender for Office 365 plan 2 trong khi plan 1 cung cấp tính năng Phát hiện thời gian thực.
• Để truy cập một trong hai công cụ này, hãy truy cập Security & Compliance Center sau đó Threat management.

Threat Explorer cung cấp thông tin quan trọng về các mối đe dọa như dữ liệu lịch sử cơ bản, các phương thức phân phối phổ biến và thiệt hại có thể xảy ra. Các nhà phân tích có thể sử dụng công cụ này làm điểm khởi đầu cho cuộc điều tra của họ để kiểm tra dữ liệu theo cơ sở hạ tầng của kẻ tấn công, các họ mối đe dọa và các tham số khác.

Kiểm tra phần mềm độc hại được phát hiện

Bạn có thể sử dụng Explorer để xem phần mềm độc hại được phát hiện trong email của tổ chức bạn. Báo cáo có thể được lọc theo các công nghệ Microsoft 365 khác nhau.

Xem URL lừa đảo và dữ liệu kết quả nhấp chuột

Các nỗ lực lừa đảo thông qua URL trong các tin nhắn email cũng được hiển thị trong Threat Explorer. Báo cáo này bao gồm danh sách các URL được phép, bị chặn và bị ghi đè, được sắp xếp trong hai bảng:

• Các URL hàng đầu : Kẻ tấn công đôi khi thêm các URL hợp lệ vào cùng với các liên kết độc hại để đánh lừa người nhận. Danh sách này chủ yếu chứa các URL hợp lệ được tìm thấy trong các tin nhắn mà bạn đã lọc ra và chúng được sắp xếp theo tổng số email.
• Các liên kết được nhấp chuột nhiều nhất : Đây là các URL được bao bọc bởi Safe Links đã được mở và chúng được sắp xếp theo tổng số lần nhấp chuột. Các liên kết ở đây rất có thể là độc hại và bạn có thể tìm thấy số lượng kết quả đánh giá nhấp chuột của Safe Links bên cạnh mỗi URL.

Lưu ý : Khi thiết lập bộ lọc lừa đảo Office 365, bạn nên cấu hình Safe Links và các chính sách của chúng để xác định các URL nào đã bị nhấp chuột và tận dụng tính năng bảo vệ tại thời điểm nhấp chuột cùng việc ghi nhật ký kết quả đánh giá nhấp chuột.

Các giá trị kết quả đánh giá nhấp chuột hiển thị trong Explorer giúp bạn hiểu hành động đã được thực hiện khi một URL được chọn:

• Allowed: Người dùng có thể truy cập vào URL.
• Blocked: Người dùng không thể truy cập vào URL.
• Pending verdict: Trang đang chờ kích hoạt đã được hiển thị khi người dùng nhấp vào URL.
• Error: Trang lỗi đã được hiển thị cho người dùng do xảy ra lỗi khi cố gắng ghi lại kết quả.
• Failure: Một ngoại lệ không xác định đã xảy ra khi cố gắng thu thập kết quả. Có thể người dùng đã nhấp qua URL.
• None: Không thể thu thập kết quả. Có thể người dùng đã nhấp qua URL.
• Blocked overridden: Người dùng đã bỏ qua chặn và truy cập vào URL.
• Pending verdict bypassed: Trang kích hoạt đã được hiển thị nhưng người dùng đã bỏ qua thông báo để truy cập URL.

Xem xét các tin nhắn email được người dùng báo cáo

Báo cáo này hiển thị dữ liệu về các tin nhắn mà người dùng trong tổ chức của bạn đã báo cáo là thư rác, không phải thư rác hoặc lừa đảo. Để có kết quả tốt hơn, bạn nên cấu hình Chức năng chống thư rác cho Office 365.

Tìm và điều tra các email độc hại đã được gửi

Tính năng phát hiện thời gian thực và Threat Explorer cung cấp cho nhân viên bảo mật khả năng điều tra các hoạt động thù địch có thể gây rủi ro cho tổ chức của bạn. Các hành động có sẵn là:

• Xác định và nhận diện địa chỉ IP của người gửi email độc hại
• Tìm và xóa các tin nhắn
• Tạo sự cố để tiến hành điều tra sâu hơn
• Kiểm tra hành động và vị trí gửi
• Xem dòng thời gian của email

Xem các tệp độc hại được phát hiện trong SharePoint Online, OneDrive và Microsoft Teams

Các báo cáo trong Explorer liệt kê thông tin về các tệp được Safe Attachments xác định là độc hại cho OneDrive, Microsoft Teams và SharePoint Online. Quản trị viên cũng có thể xem các tệp này trong khu vực cách ly.

Kiểm tra báo cáo trạng thái bảo vệ khỏi mối đe dọa

Widget này hiển thị trạng thái bảo mật của Office 365. Ngoài số lượng tin nhắn email chứa nội dung độc hại, bạn còn có thể tìm thấy:

• Các tệp hoặc URL bị chặn
• Xóa tự động ngay lập tức (ZAP)
• Liên kết an toàn
• Tệp đính kèm an toàn
• Các tính năng bảo vệ chống mạo danh trong chính sách chống lừa đảo

Thông tin này giúp bạn phân tích xu hướng bảo mật để xác định xem chính sách của bạn có cần điều chỉnh hay không.

Đào tạo mô phỏng tấn công

Thiết lập và thực hiện các cuộc tấn công mạng thực tế nhưng vô hại trong tổ chức của bạn để kiểm tra các chính sách bảo mật và xác định các lỗ hổng trước khi một cuộc tấn công thực sự xảy ra. Các mô phỏng này là một phần của tính năng bảo vệ khỏi các mối đe dọa trong Office 365 vì chúng giúp đào tạo nhân viên của bạn luôn cảnh giác trước các thủ đoạn lừa đảo xã hội như các cuộc tấn công lừa đảo.

Lưu ý : Bạn có thể truy cập tính năng này bằng cách truy cập Cổng thông tin Microsoft 365 Defender > Email & collaboration > Attack simulation training. Hoặc truy cập trực tiếp vào Trang đào tạo mô phỏng tấn công.

Khóa đào tạo mô phỏng tấn công có quy trình làm việc cụ thể bao gồm một loạt các bước mà bạn cần hoàn thành trước khi khởi động cuộc tấn công mô phỏng.

Chọn một kỹ thuật công trình xã hội

Đầu tiên, bạn cần chọn một trong các phương án công trình xã hội có sẵn:

• Link to malware: Chạy mã tùy ý từ một tệp được lưu trữ trên dịch vụ chia sẻ tệp uy tín, sau đó gửi một tin nhắn chứa liên kết đến tệp độc hại này. Nếu người dùng mở tệp, thiết bị sẽ bị xâm nhập.
• Credential harvest: Người dùng được chuyển hướng đến một trang web trông giống như một trang web nổi tiếng, nơi họ có thể nhập tên người dùng và mật khẩu của mình.
• Link in attachment: Một URL được thêm vào tệp đính kèm email và hoạt động tương tự như thu thập thông tin đăng nhập.
• Malware attachment: Một tệp đính kèm độc hại được thêm vào tin nhắn. Nếu tệp đính kèm này được mở, thiết bị của nạn nhân sẽ bị xâm nhập.
• Drive-by URL: Một liên kết URL sẽ chuyển hướng người dùng đến một trang web quen thuộc, từ đó cài đặt mã độc trong nền. Tính năng bảo vệ điểm cuối của Office 365 có thể không ngăn chặn được các mối đe dọa như vậy và do đó, thiết bị sẽ bị nhiễm mã độc.

Chọn tên và mô tả cho mô phỏng

Bước tiếp theo là nhập một tên duy nhất và mô tả cho mô phỏng mà bạn đang tạo. Mô tả chi tiết là tùy chọn.

Chọn tải trọng

Trên trang này, bạn nên chọn tải trọng sẽ được hiển thị cho người dùng trong mô phỏng. Đây có thể là một tin nhắn email hoặc một trang web. Bạn có thể chọn từ danh mục tích hợp sẵn chứa các tải trọng có sẵn. Bạn cũng có thể tạo một tải trọng tùy chỉnh phù hợp hơn với tổ chức của mình.

Người dùng mục tiêu

Tại đây, bạn chọn những người dùng trong công ty sẽ nhận được đào tạo mô phỏng tấn công. Bạn có thể bao gồm tất cả người dùng hoặc chọn các mục tiêu và nhóm cụ thể.

Gán khóa đào tạo

Microsoft khuyến nghị bạn gán khóa đào tạo cho mỗi mô phỏng bạn tạo ra vì nhân viên tham gia khóa đào tạo sẽ ít có khả năng trở thành nạn nhân của một cuộc tấn công tương tự. Bạn có thể xem các khóa học và mô-đun được đề xuất và chọn những khóa phù hợp nhất với nhu cầu của bạn dựa trên kết quả của người dùng.

Chọn thông báo cho người dùng cuối

Tab này cho phép bạn cấu hình cài đặt thông báo. Bạn có thể thêm thông báo khích lệ nếu chọn Customized end user notifications để động viên người dùng sau khi họ hoàn thành khóa đào tạo.

Tự động Điều tra và Phản hồi (AIR)

Trong bảo mật Office 365, tính năng Tự động Điều tra và Phản hồi (AIR) sẽ kích hoạt cảnh báo tự động khi một mối đe dọa đã biết nhắm vào tổ chức của bạn. Điều này giúp giảm bớt công việc thủ công và cho phép đội ngũ bảo mật hoạt động hiệu quả hơn bằng cách xem xét, ưu tiên và phản hồi phù hợp.

Việc điều tra tự động có thể được khởi động bởi một tệp đính kèm đáng ngờ trong một email hoặc bởi một nhà phân tích sử dụng Threat Explorer. AIR thu thập dữ liệu liên quan đến email được đề cập, chẳng hạn như người nhận dự kiến, tệp tin và URL. Quản trị viên và nhân viên bảo mật có thể xem xét kết quả điều tra và kiểm tra các khuyến nghị để chấp thuận hoặc từ chối các hành động khắc phục.

AIR có thể được kích hoạt bởi một trong các cảnh báo sau:

• Một liên kết có khả năng độc hại đã bị nhấp vào
• Một người dùng đã báo cáo một email là lừa đảo hoặc chứa phần mềm độc hại
• Một email chứa phần mềm độc hại hoặc liên kết lừa đảo đã bị xóa sau khi gửi đi
• Một mẫu gửi email đáng ngờ đã được phát hiện
• Một người dùng bị hạn chế gửi tin nhắn

Kết luận

Tính năng điều tra mối đe dọa của Office 365 cung cấp nhiều khả năng giúp bảo vệ dữ liệu của bạn. Với gói Microsoft Defender for Office 365 2, bạn có thể sử dụng các tính năng nâng cao như công cụ theo dõi mối đe dọa và trình khám phá mối đe dọa. Bạn cũng có thể tiến hành đào tạo mô phỏng tấn công để giúp người dùng luôn cảnh giác và an toàn trước các cuộc tấn công mạng tiềm ẩn. Ngoài ra, bạn có thể thiết lập điều tra và phản ứng tự động (AIR) để giảm tải cho đội ngũ bảo mật, giúp họ tập trung vào các mối đe dọa có mức độ ưu tiên cao hơn.

Tuy nhiên, cách duy nhất để đảm bảo bảo vệ hoàn toàn môi trường Office 365 là triển khai một giải pháp bảo vệ dữ liệu hiện đại như NAKIVO Backup & Replication. Giải pháp này cung cấp các tính năng sao lưu và khôi phục mạnh mẽ cho Exchange Online, Teams, OneDrive for Business và SharePoint Online.

1 năm bảo vệ dữ liệu miễn phí: NAKIVO Backup & Replication

Triển khai trong vòng 2 phút và bảo vệ dữ liệu ảo, trên đám mây, vật lý và SaaS. Các tùy chọn sao lưu, nhân bản và khôi phục tức thì.

Tải xuống phiên bản miễn phí