Algemeen
Dit alarm gaat af wanneer SharePoint (inclusief OneDrive) malware detecteert in een bestand.
Rationale
Medewerkers kunnen bestanden plaatsen in SharePoint en OneDrive en dat doen vanaf systemen die mogelijk niet voorzien zijn van anti-virus software, waar de anti-virus software niet up-to-date was of waar de anti-virus software een bepaald virus nog niet herkende. Zo kan het ontstaan dat een bestand in SharePoint geplaatst wordt, of later gedownload, dat een virus blijkt te bevatten. Het is altijd raadzaam om na te gaan waar dit virus vandaan kwam, omdat het erop kan duiden dat een systeem of gebruikersaccount van een medewerker gecompromitteerd is.
Opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen:
- Vraag de medewerker die het bestand plaatste of dit bewust werd gedaan.
-
Zo nee: beschouw het account van de medewerker als gecompromitteerd
- Reset het wachtwoord van de medewerker
- Trek alle ingelogde sessies in van de beheerder (revoke sessions)
-
Zo nee: beschouw het account van de medewerker als gecompromitteerd
- Download het bestand uit SharePoint om het voor analyse veilig te stellen en verwijder het daarna uit SharePoint.
- Voer met anti-virus software (die up-to-date is) een volledige systeemscan uit op de computer van de medewerker waarvandaan het bestand werd geupload. Indien het systeem in kwestie geen anti-virus software bevat, kan daarbij gebruik gemaakt worden van HitmanPro of Malwarebytes.
- Overweeg een Attic Tier2 onderzoek uit te laten voeren om meer te weten te komen over de aanval (wie, wat, wanneer, waar, waarom, hoe?). Dit wordt zeker geadviseerd indien de getroffen medewerker beheerrechten heeft.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.