Klasifikace upozornění pro podezřelá pravidla přeposílání doručené pošty

Platí pro:

  • Microsoft Defender XDR

Aktéři hrozeb můžou ohrožené uživatelské účty používat k několika škodlivým účelům, včetně čtení e-mailů v doručené poště uživatele, vytváření pravidel doručené pošty pro přeposílání e-mailů externím účtům, odesílání phishingových e-mailů a dalších. Škodlivá pravidla doručené pošty jsou během obchodních e-mailových útoků (BEC) a phishingových kampaní velmi běžná a je důležité je konzistentně monitorovat.

Tento playbook vám pomůže prozkoumat upozornění na podezřelá pravidla přeposílání doručené pošty a rychle je ohodnocovat jako pravdivě pozitivní (TP) nebo falešně pozitivní (TP). Pak můžete provést doporučené akce pro výstrahy tp a útok napravit.

Přehled klasifikace upozornění pro Microsoft Defender pro Office 365 a Microsoft Defender for Cloud Apps najdete v úvodním článku.

Použití tohoto playbooku má tyto výsledky:

  • Identifikovali jste upozornění související s pravidly přeposílání doručené pošty jako škodlivé (TP) nebo neškodné aktivity (FP).

    Pokud jsou škodlivá, odebrali jste škodlivá pravidla předávání doručené pošty.

  • Provedli jste potřebnou akci, pokud se e-maily přeposílaly na škodlivou e-mailovou adresu.

Pravidla přeposílání doručené pošty

Pravidla doručené pošty nakonfigurujete tak, aby automaticky spravovala e-mailové zprávy na základě předdefinovaných kritérií. Můžete například vytvořit pravidlo doručené pošty, které přesune všechny zprávy od nadřízenýho do jiné složky, nebo přeposílání přijatých zpráv na jinou e-mailovou adresu.

Podezřelá pravidla přeposílání doručené pošty

Po získání přístupu k poštovním schránkám uživatelů útočníci často vytvoří pravidlo doručené pošty, které jim umožní exfiltrovat citlivá data na externí e-mailovou adresu a používat je pro škodlivé účely.

Škodlivá pravidla doručené pošty automatizují proces exfiltrace. U konkrétních pravidel se každý e-mail v doručené poště cílového uživatele, který odpovídá kritériím pravidla, přepošlou do poštovní schránky útočníka. Útočník může například chtít shromáždit citlivá data související s financemi. Vytvoří pravidlo doručené pošty, které přeposílají všechny e-maily, které obsahují klíčová slova, například "finance" a "faktura" v předmětu nebo textu zprávy, do své poštovní schránky.

Podezřelá pravidla přeposílání doručené pošty může být obtížné zjistit, protože údržba pravidel doručené pošty je běžnou úlohou uživatelů. Proto je důležité výstrahy monitorovat.

Pracovního postupu

Tady je pracovní postup pro identifikaci podezřelých pravidel přeposílání e-mailů.

Pracovní postup prověřování výstrah pro pravidla přeposílání doručené pošty

Kroky šetření

Tato část obsahuje podrobné pokyny k reakci na incident a provedení doporučených kroků k ochraně vaší organizace před dalšími útoky.

Kontrola vygenerovaných upozornění

Tady je příklad upozornění pravidla přeposílání doručené pošty ve frontě upozornění.

Příklad oznámení ve frontě upozornění

Tady je příklad podrobností o upozornění, které aktivovalo škodlivé pravidlo přeposílání doručené pošty.

Podrobnosti o upozornění aktivované škodlivým pravidlem přeposílání doručené pošty

Prozkoumání parametrů pravidla

Účelem této fáze je určit, jestli pravidla vypadají podezřele podle určitých kritérií:

Příjemci pravidla přeposílání:

  • Ověřte, že cílová e-mailová adresa není další poštovní schránkou vlastněnou stejným uživatelem (vyhněte se případům, kdy uživatel přeposílá e-maily mezi osobními poštovními schránkami).
  • Ověřte, že cílová e-mailová adresa není interní adresou nebo subdoménou, která patří společnosti.

Filtry:

  • Pokud pravidlo doručené pošty obsahuje filtry, které hledají konkrétní klíčová slova v předmětu nebo textu e-mailu, zkontrolujte, jestli poskytnutá klíčová slova, jako jsou finance, přihlašovací údaje a sítě, nesouvisí se škodlivou aktivitou. Tyto filtry najdete pod následujícími atributy (které se zobrazují ve sloupci RawEventData události): "BodyContainsWords", "SubjectContainsWords" nebo "SubjectOrBodyContainsWords"
  • Pokud se útočník rozhodne nenastavovat na e-maily žádný filtr a místo toho pravidlo doručené pošty předá všechny položky poštovní schránky do poštovní schránky útočníka), je toto chování podezřelé.

Prozkoumání IP adresy

Zkontrolujte atributy související s IP adresou, která provedla příslušnou událost vytvoření pravidla:

  1. Search pro další podezřelé cloudové aktivity, které pocházejí ze stejné IP adresy v tenantovi. Podezřelou aktivitou může být například několik neúspěšných pokusů o přihlášení.
  2. Je pro tohoto uživatele isp běžný a rozumný?
  3. Je umístění pro tohoto uživatele běžné a přiměřené?

Před vytvořením pravidel prozkoumejte podezřelou aktivitu pomocí doručené pošty uživatele.

Před vytvořením pravidel můžete zkontrolovat všechny aktivity uživatelů, zkontrolovat indikátory ohrožení zabezpečení a prozkoumat akce uživatelů, které se zdají podezřelé. Například několik neúspěšných přihlášení.

  • Přihlášení:

    Ověřte, že aktivita přihlášení před událostí vytvoření pravidla není podezřelá (například společné umístění, isp nebo uživatelský agent).

  • Další výstrahy nebo incidenty

    • Aktivovalo se před vytvořením pravidla pro uživatele další upozornění. Pokud ano, může to značit ohrožení zabezpečení uživatele.
    • Pokud výstraha koreluje s jinými výstrahami a označuje incident, obsahuje incident další pravdivě pozitivní výstrahy?

Rozšířené dotazy proaktivního vyhledávání

Rozšířené proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb založený na dotazech, který umožňuje kontrolovat události v síti a vyhledávat indikátory hrozeb.

Spuštěním tohoto dotazu vyhledejte všechny nové události pravidla doručené pošty během určitého časového intervalu.

let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData

RuleConfig bude obsahovat konfiguraci pravidla.

Spuštěním tohoto dotazu zkontrolujte, jestli je pro uživatele společný isp, a to tak, že se podíváte na jeho historii.

let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by ISP

Spuštěním tohoto dotazu zkontrolujte, jestli je země nebo oblast pro uživatele společná, a to tak, že se podíváte na historii uživatele.

let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode

Spuštěním tohoto dotazu zkontrolujte, jestli je uživatelský agent pro uživatele běžný, a to tak, že se podíváte do historie uživatele.

let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent

Spuštěním tohoto dotazu zkontrolujte, jestli ostatní uživatelé vytvořili pravidlo předávání do stejného cíle (může to znamenat, že jsou ohroženi i ostatní uživatelé).

let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
  1. Zakažte škodlivé pravidlo doručené pošty.
  2. Resetujte přihlašovací údaje účtu uživatele. Můžete také ověřit, jestli nedošlo k ohrožení zabezpečení uživatelského účtu pomocí Microsoft Defender for Cloud Apps, která z Microsoft Entra ID Protection získává signály zabezpečení.
  3. Search pro jiné škodlivé aktivity prováděné ovlivněným uživatelem.
  4. Pokud chcete najít další ohrožené uživatele, zkontrolujte, jestli v tenantovi nepocházejí další podezřelé aktivity ze stejné IP adresy nebo od stejného isp (pokud je tento isp neobvyklý).

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.