En abril de este año se anunció la vista previa de esta característica automatizada la cual apunta a ayudar a los analistas de seguridad para responder más rápido y más sistemáticamente ante una gran cantidad de alertas de seguridad.
Microsoft pretende tener dos categorías de incidentes con respuestas automáticas disponibles de manera general. Las primeras son las investigaciones automáticas que se inician en respuesta a nuevas alertas, tal como usuarios reportando emails de pishing o fraude, usuarios haciendo click en un enlace malicioso, algún malware detectado en un mail recibido o algún mail de fraude que haya llegado al mail del usuario.
La segunda categoría consiste en investigaciones manualmente iniciadas que ocupen las secuencias del “Microsoft Automated Playbook” para diferentes escenarios y tipos de ataques, por ejemplo, un playbook ayuda a los analistas de seguridad a responder a los reportes de pishing de los usuarios, mientras que el “weaponized URL playbook” asiste a la respuesta a una URL maliciosa. Los analistas de seguridad pueden ejecutar estas investigaciones a través del Microsoft Threat Explorer Tool.
En los playbooks puedes asociar emails similares, tanto enviados como recibidos dentro de la organización y cualquier tipo de actividad sospechosa para usuarios relevantes. Los playbooks también marcan las actividades sospechosas en cuentas de usuarios, tanto como el reenvío de mails, delegación de mail, violaciones al Office 365 Data Loss Preventon (DLP) o envío de mails en patrones sospechosos.
En general, estos playbooks apuntan a ayudar a los analistas a contener rápidamente las amenazas, por ejemplo, restringir cuentas y dispositivos, al mismo tiempo que exigir una autenticación multi factor para finalmente eliminar la amenaza.
El tablero de investigación provee detalles sobre el numero de investigación, el tiempo que ha estado vigente y tiempo de finalización, acciones pendientes requeridas y usuarios, dispositivas y mails siendo investigados.
La respuesta automática a incidentes está disponible para organizaciones con Office 365 ARP Plan 2, que cuesta 5USD mensual por usuario, también para los que tengan el nivel Office 365 Entreprise E5, que cuesta 35USD por mes.
Ambos requieren un contrato de un año y también está disponible en el pack de Microsoft 365 E5 Security.
Fuente: Microsoft: Office 365 gets automated response to phishing, nasty links, malware