TẠO BÁO CÁO BẢO MẬT EMAIL VỚI MICROSOFT DEFENDER FOR OFFICE 365 VÀ POWER BI

Bảo mật email luôn là một vấn đề quan trọng với hầu hết các doanh nghiệp trong gian đoạn các cuộc tấn công mạng ngày càng gia tăng và tinh vi hơn. Để giúp doanh nghiệp an tâm trong việc sử dụng hệ thống email của Microsoft 365. Microsoft đã không ngừng cải tiến và nâng cấp các tính năng cho Microsoft Defender for Office 365. Mang lại nhiều khả năng để tạo các báo cáo phong phú, được tích hợp sẵn để cung cấp thông tin chi tiết về tư thế bảo mật của bạn. Tuy nhiên, đôi khi các nhóm bảo mật yêu cầu các giải pháp báo cáo tùy chỉnh để tạo các chế độ xem chuyên dụng, kết hợp nhiều nguồn dữ liệu và có thêm thông tin chi tiết để đáp ứng nhu cầu của họ.

Bài viết này, chúng ta sẽ cùng tìm hiểu cách để bạn có thể tận dụng Power BI và các API nâng cao của Microsoft 365 Defender để xây dựng trang tổng quan tùy chỉnh và chia sẻ mẫu mà bạn có thể tùy chỉnh và mở rộng.

Xây dựng các báo cáo bảo mật tùy chỉnh với Microsoft Defender for Office 365 và Power BI

Power BI cho phép bạn kết nối nhiều nguồn dữ liệu, chuẩn bị dữ liệu và chuyển đổi dữ liệu một cách dễ dàng với khả năng phân tích nó bằng cách sử dụng trực quan hóa tích hợp và tùy chỉnh. Bạn cũng có thể sử dụng Power BI để mở rộng tập dữ liệu bảo mật và tương quan nó với nhiều thông tin hơn như Chi tiết danh tính, cho phép bạn tạo chế độ xem tùy chỉnh như vai trò và phòng ban được nhắm mục tiêu trong tổ chức của bạn.

Trong trường hợp này, Microsoft chủ yếu dựa vào thông tin được truyền từ Tìm kiếm nâng cao – một công cụ săn tìm mối đe dọa sử dụng các truy vấn được xây dựng đặc biệt để kiểm tra dữ liệu sự kiện trong 30 ngày qua trên tất cả các sản phẩm trong Microsoft 365 Defender và có thể được sử dụng để chạy các truy vấn cho phép API để tự động hóa quy trình làm việc. Trong ví dụ dưới đây, chúng tôi sẽ trình bày cách kết nối Power BI với API tìm kiếm nâng cao của Microsoft 365 Defender và cách tự động kéo chi tiết phát hiện Microsoft Defender for Office 365 từ các bảng tìm kiếm liên quan.

Các truy vấn dựa trên bảng Email được hiển thị thông qua Săn nâng cao bao gồm:

  • EmailEvents – chứa thông tin về tất cả các email
  • EmailAttachmentInfo – chứa thông tin về các tệp đính kèm trong email
  • EmailUrlInfo – chứa thông tin về URL trong email
  • EmailPostDeliveryEvents – chứa thông tin về ZAP hoặc các sự kiện khắc phục thủ công
  • UrlClickEvents – chứa thông tin về các lần nhấp vào Liên kết An toàn từ email, Microsoft Teams và ứng dụng Office 365 trong các ứng dụng web, thiết bị di động và máy tính để bàn được hỗ trợ.
  • CloudAppEvents – CloudAppEvents được sử dụng để trực quan hóa các email Phish do người dùng báo cáo và nội dung gửi của Quản trị viên.

Mẫu sử dụng mô hình truy cập được ủy quyền và bạn có thể sử dụng mô hình này với tài khoản có quyền chạy các truy vấn Tìm kiếm nâng cao (ví dụ: Trình đọc bảo mật hoặc Quản trị viên bảo mật). Không cần đăng ký ứng dụng.

Mẫu có tổng quan cấp cao với các chi tiết liên quan đến phát hiện Spam, Phish và Phần mềm độc hại và có thể hỗ trợ như một điểm khởi đầu tuyệt vời để tạo trang tổng quan báo cáo tùy chỉnh của riêng bạn.

Hình 1: Chế độ xem cấp cao nhất của các chỉ số bảo mật chính được hợp nhất trong một chế độ xem.

Với một cái nhìn nhanh, nhóm bảo mật có thể thực hiện các bước có thể hành động để cải thiện tình hình an ninh của tổ chức.

Hình 2: Xem chi tiết các phát hiện Phần mềm độc hại

Do tác động cao của vi phạm bảo mật Các mục phần mềm độc hại có thể gây ra tình trạng bảo mật của tổ chức, chế độ xem này cung cấp cho các nhóm bảo mật một cái nhìn chi tiết về các thuộc tính mà họ có thể tập trung vào để ngăn chặn, ứng phó và loại bỏ – những vi phạm như vậy trong tổ chức của họ.

Hình 3: Chi tiết về Thỏa hiệp Email Doanh nghiệp (BEC) và Xác thực Người gửi (SPF, DKIM, DMARC)

Hình 4: Các chỉ số cấp cao nhất của kết quả Xác thực

Hình 5: Thông tin chi tiết về các lần nhấp vào URL trong email, Microsoft Teams và Ứng dụng Office 365 (Word, Excel, PowerPoint)

Hình 6: Chi tiết các chỉ số trong báo cáo của người dùng và trình của Quản trị viên trong tổ chức

Hình 7: Thông tin về các cấu hình ghi đè Microsoft Defender cho các hành động phát hiện Office 365

Việc xem xét thường xuyên thông tin chi tiết về Ghi đè là chìa khóa trong việc duy trì trạng thái bảo mật lành mạnh để đảm bảo chỉ áp dụng các ghi đè bắt buộc.

 

Dựa trên các thuộc tính email trong lược đồ Tìm kiếm nâng cao, bạn có thể xác định nhiều chức năng và hình ảnh hơn. Ví dụ: sử dụng trường DetectionMethods để phân tích các phát hiện bị bắt bởi các khả năng như Phát hiện giả mạo, Đính kèm an toàn và Kích nổ. Sử dụng các chức năng bên ngoài PowerBI, bạn có thể sử dụng các chi tiết như chi tiết SenderIPv4 và IPv6 để lập bản đồ theo vị trí địa lý và xây dựng bản đồ nhiệt của người gửi.

Những điều bổ sung cần ghi nhớ:

  • Đảm bảo rằng bạn đang sử dụng thông tin đăng nhập chính xác và URL API cơ sở chính xác ( https://api.security.microsoft.com/ ) như một phần của cấu hình.
  • Đảm bảo rằng bạn cũng biết về giới hạn của API liên quan đến số lượng kết quả và lệnh gọi có thể truy xuất.
  • Đảm bảo rằng bạn đang tinh chỉnh các truy vấn của mình và tùy chỉnh truy vấn để có được kết quả đầu ra mong muốn.

Power BI mẫu này là một giới thiệu mạnh mẽ về cách bạn có thể sử dụng các API Microsoft 365 Defender và Power BI để trực quan hóa thông tin chi tiết về phát hiện bảo mật email. Nó cho phép các tổ chức dễ dàng tạo các trang tổng quan tùy chỉnh có thể giúp họ phân tích bối cảnh mối đe dọa và phản ứng nhanh chóng, dựa trên các yêu cầu duy nhất.

CHỨNG NHẬN ĐỐI TÁC BẢN QUYỀN SOFT365 - CÁC HÃNG PHẦN MỀM TRÊN THẾ GIỚI
http://soft365.vn - https://store.soft365.vn/ - Hotline: 0936 362 158

THÔNG TIN LIÊN HỆ TƯ VẤN MUA PHẦN MỀM BẢN QUYỀN TẠI SOFT365
Công ty TNHH Thương mại và dịch vụ TSG
Địa chỉ: Hà Nội: Tầng 2, Tòa nhà ATS, 252 Hoàng Quốc Việt, Bắc Từ Liêm, Hà Nội
Hồ Chí Minh: Tầng 5, tòa nhà GIC, số 89 Vạn Kiếp, phường 03, quận Bình Thạnh, TP HCM
Website: www.soft365.vn - store.soft365.vn | Email: info@tsg.net.vn
Điện thoại: 024 7305 0506 | 028 7308 0508
Gặp tổng đài tư vấn: 0936 362 158 | info@tsg.net.vn

GIẢI PHÁP HÀNG ĐẦU - DỊCH VỤ HOÀN HẢO
SOFT365 - ĐỐI TÁC ỦY QUYỀN CỦA CÁC HÃNG PHẦN MỀM NỔI TIẾNG TRÊN THẾ GIỚI