Microsoft heeft Automated Incident Response in Office 365 Advanced Threat Protection (ATP) algemeen beschikbaar gesteld voor zakelijke klanten. De functie helpt security specialisten sneller en systematischer te reageren op problemen.
Het gaat om een tweetal categorieën van geautomatiseerde incident response die e-mailaanvallen dwarsbomen, aldus ZDnet. Zo wordt er een automatisch onderzoek gestart als reactie op nieuwe meldingen. Het gaat dan om meldingen over ontvangen phishing-e-mail en voorvallen waar gebruikers op een kwaadaardige link hebben geklikt.
Bovendien wordt malware in een ontvangen e-mail gedetecteerd en phishing-e-mail in de mailbox van een gebruiker.
Playbook
Een tweede categorie die Microsoft beschikbaar stelt richt zich op handmatig geïnitieerde onderzoeken. Het gaat dan om onderzoeken die gebruik maken van de geautomatiseerde playbook-sequenties van Microsoft voor verschillende scenario’s en aanvalstypen. Zo kan een playbook beveiligingsanalisten bijvoorbeeld helpen te reageren op gebruikersrapporten van phishing-e-mail, terwijl de weaponized URL playbook assisteert bij het reageren op een gevonden, kwaadaardige url. Beveiligingsanalisten kunnen deze onderzoeken starten met de Threat Explorer-tool van Microsoft.
Playbooks correleren vergelijkbare e-mails die binnen de organisatie zijn verzonden of ontvangen, naast ook verdachte activiteiten voor relevante gebruikers. Daarbij markeren ze ook verdachte activiteiten op gebruikersaccounts, zoals e-mail forwarding, e-delegatie, Office 365 Data Loss Prevention (DLP) schendingen of verdachte e-mail verzendpatronen.
Playbooks zijn dan ook bedoeld om snel hulp te bieden bij een bedreiging, door bijvoorbeeld accounts en apparaten te vergrendelen en multi-factor authenticatie te vereisen. Het uiteindelijke doel is om de bedreiging te verwijderen.
Algemeen dashboard
De tool beschikt over een algemeen dashboard dat details geeft over het onderzoeksnummer, het tijdstip waarop het begon en eindigde. Bovendien wacht het op vereiste acties en beschikt het over informatie over onderzochte gebruikers, apparaten en e-mails.
De geautomatiseerde incident response-functies zijn beschikbaar voor organisaties met het Office 365 ATP Plan 2 en Office 365 Enterprise E5-laag. In beide gevallen gaat het om een jaarcontract. Het is tevens beschikbaar in de Microsoft 365 E5 Security-bundel.
Gerelateerd: Microsoft maakt Threat & Vulnerability Management algemeen beschikbaar