Klasifikace upozornění pro podezřelá pravidla přeposílání doručené pošty
Platí pro:
- Microsoft Defender XDR
Aktéři hrozeb můžou ohrožené uživatelské účty používat k několika škodlivým účelům, včetně čtení e-mailů v doručené poště uživatele, vytváření pravidel doručené pošty pro přeposílání e-mailů externím účtům, odesílání phishingových e-mailů a dalších. Škodlivá pravidla doručené pošty jsou během obchodních e-mailových útoků (BEC) a phishingových kampaní velmi běžná a je důležité je konzistentně monitorovat.
Tento playbook vám pomůže prozkoumat upozornění na podezřelá pravidla přeposílání doručené pošty a rychle je ohodnocovat jako pravdivě pozitivní (TP) nebo falešně pozitivní (FP). Pak můžete provést doporučené akce pro výstrahy tp a útok napravit.
Přehled klasifikace upozornění pro Microsoft Defender pro Office 365 a Microsoft Defender for Cloud Apps najdete v úvodním článku.
Použití tohoto playbooku má tyto výsledky:
Identifikovali jste upozornění související s pravidly přeposílání doručené pošty jako škodlivé (TP) nebo neškodné aktivity (FP).
Pokud jsou škodlivá, odebrali jste škodlivá pravidla předávání doručené pošty.
Provedli jste potřebnou akci, pokud se e-maily přeposílaly na škodlivou e-mailovou adresu.
Pravidla přeposílání doručené pošty
Pravidla doručené pošty nakonfigurujete tak, aby automaticky spravovala e-mailové zprávy na základě předdefinovaných kritérií. Můžete například vytvořit pravidlo doručené pošty, které přesune všechny zprávy od nadřízenýho do jiné složky, nebo přeposílání přijatých zpráv na jinou e-mailovou adresu.
Podezřelá pravidla přeposílání doručené pošty
Po získání přístupu k poštovním schránkám uživatelů útočníci často vytvoří pravidlo doručené pošty, které jim umožní exfiltrovat citlivá data na externí e-mailovou adresu a používat je pro škodlivé účely.
Škodlivá pravidla doručené pošty automatizují proces exfiltrace. U konkrétních pravidel se každý e-mail v doručené poště cílového uživatele, který odpovídá kritériím pravidla, přepošlou do poštovní schránky útočníka. Útočník může například chtít shromáždit citlivá data související s financemi. Vytvoří pravidlo doručené pošty, které přeposílají všechny e-maily, které obsahují klíčová slova, například "finance" a "faktura" v předmětu nebo textu zprávy, do své poštovní schránky.
Podezřelá pravidla přeposílání doručené pošty může být obtížné zjistit, protože údržba pravidel doručené pošty je běžnou úlohou uživatelů. Proto je důležité výstrahy monitorovat.
Pracovní postup
Tady je pracovní postup pro identifikaci podezřelých pravidel přeposílání e-mailů.
Kroky šetření
Tato část obsahuje podrobné pokyny k reakci na incident a provedení doporučených kroků k ochraně vaší organizace před dalšími útoky.
Kontrola vygenerovaných upozornění
Tady je příklad upozornění pravidla přeposílání doručené pošty ve frontě upozornění.
Tady je příklad podrobností o upozornění, které aktivovalo škodlivé pravidlo přeposílání doručené pošty.
Prozkoumání parametrů pravidla
Účelem této fáze je určit, jestli pravidla vypadají podezřele podle určitých kritérií:
Příjemci pravidla přeposílání:
- Ověřte, že cílová e-mailová adresa není další poštovní schránkou vlastněnou stejným uživatelem (vyhněte se případům, kdy uživatel přeposílá e-maily mezi osobními poštovními schránkami).
- Ověřte, že cílová e-mailová adresa není interní adresou nebo subdoménou, která patří společnosti.
Filtruje:
- Pokud pravidlo doručené pošty obsahuje filtry, které hledají konkrétní klíčová slova v předmětu nebo textu e-mailu, zkontrolujte, jestli poskytnutá klíčová slova, jako jsou finance, přihlašovací údaje a sítě, nesouvisí se škodlivou aktivitou. Tyto filtry najdete pod následujícími atributy (které se zobrazují ve sloupci RawEventData události): "BodyContainsWords", "SubjectContainsWords" nebo "SubjectOrBodyContainsWords"
- Pokud se útočník rozhodne nenastavovat na e-maily žádný filtr a místo toho pravidlo doručené pošty předá všechny položky poštovní schránky do poštovní schránky útočníka), je toto chování podezřelé.
Prozkoumání IP adresy
Zkontrolujte atributy související s IP adresou, která provedla příslušnou událost vytvoření pravidla:
- Vyhledejte další podezřelé cloudové aktivity, které pocházejí ze stejné IP adresy v tenantovi. Podezřelou aktivitou může být například několik neúspěšných pokusů o přihlášení.
- Je pro tohoto uživatele isp běžný a rozumný?
- Je umístění pro tohoto uživatele běžné a přiměřené?
Před vytvořením pravidel prozkoumejte podezřelou aktivitu pomocí doručené pošty uživatele.
Před vytvořením pravidel můžete zkontrolovat všechny aktivity uživatelů, zkontrolovat indikátory ohrožení zabezpečení a prozkoumat akce uživatelů, které se zdají podezřelé. Například několik neúspěšných přihlášení.
Přihlášení:
Ověřte, že aktivita přihlášení před událostí vytvoření pravidla není podezřelá (například společné umístění, isp nebo uživatelský agent).
Další výstrahy nebo incidenty
- Aktivovalo se před vytvořením pravidla pro uživatele další upozornění. Pokud ano, může to značit ohrožení zabezpečení uživatele.
- Pokud výstraha koreluje s jinými výstrahami a označuje incident, obsahuje incident další pravdivě pozitivní výstrahy?
Rozšířené dotazy proaktivního vyhledávání
Rozšířené proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb založený na dotazech, který umožňuje kontrolovat události v síti a vyhledávat indikátory hrozeb.
Spuštěním tohoto dotazu vyhledejte všechny nové události pravidla doručené pošty během určitého časového intervalu.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
RuleConfig bude obsahovat konfiguraci pravidla.
Spuštěním tohoto dotazu zkontrolujte, jestli je pro uživatele společný isp, a to tak, že se podíváte na jeho historii.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
Spuštěním tohoto dotazu zkontrolujte, jestli je země nebo oblast pro uživatele společná, a to tak, že se podíváte na historii uživatele.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
Spuštěním tohoto dotazu zkontrolujte, jestli je uživatelský agent pro uživatele běžný, a to tak, že se podíváte do historie uživatele.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
Spuštěním tohoto dotazu zkontrolujte, jestli ostatní uživatelé vytvořili pravidlo předávání do stejného cíle (může to znamenat, že jsou ohroženi i ostatní uživatelé).
let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
Doporučené akce
- Zakažte škodlivé pravidlo doručené pošty.
- Resetujte přihlašovací údaje účtu uživatele. Můžete také ověřit, jestli došlo k ohrožení uživatelského účtu pomocí Microsoft Defenderu for Cloud Apps, který získává signály zabezpečení z Microsoft Entra ID Protection.
- Vyhledejte další škodlivé aktivity prováděné ovlivněným uživatelem.
- Pokud chcete najít další ohrožené uživatele, zkontrolujte, jestli v tenantovi nepocházejí další podezřelé aktivity ze stejné IP adresy nebo od stejného isp (pokud je tento isp neobvyklý).
Viz také
- Přehled klasifikace upozornění
- Podezřelá aktivita přeposílání e-mailů
- Podezřelá pravidla manipulace s doručenou poštu
- Prověřování upozornění
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro