Sdílet prostřednictvím

Klasifikace upozornění pro podezřelá pravidla manipulace s doručenou poštou

  • Článek

Platí pro:

  • Microsoft Defender XDR

Aktéři hrozeb můžou ohrožené uživatelské účty používat k mnoha škodlivým účelům, včetně čtení e-mailů v doručené poště uživatele, vytváření pravidel doručené pošty pro přeposílání e-mailů externím účtům, odstraňování trasování a odesílání phishingových e-mailů. Škodlivá pravidla doručené pošty jsou běžná během obchodních e-mailových a phishingových kampaní a je důležité je konzistentně monitorovat.

Tento playbook vám pomůže prošetřit všechny incidenty související s podezřelými pravidly manipulace s doručenou poštou nakonfigurovanými útočníky a provádět doporučené akce k nápravě útoku a ochraně sítě. Tento playbook je určený pro bezpečnostní týmy, včetně analytiků soc (Security Operations Center) a správců IT, kteří kontrolují, prošetřují a ohodnocují výstrahy. Výstrahy můžete rychle ohodnocet jako pravdivě pozitivní (TP) nebo falešně pozitivní (TP) a provést pro upozornění tp doporučené akce k nápravě útoku.

Použití tohoto playbooku má tyto výsledky:

  • Výstrahy přidružené k pravidlu manipulace s doručenou poštou identifikujete jako škodlivé (TP) nebo neškodné aktivity (FP).

    Pokud je škodlivá, odeberete škodlivá pravidla pro manipulaci s doručenou poštou.

  • Pokud se e-maily přeposílaly na škodlivou e-mailovou adresu, provedete potřebnou akci.

Pravidla manipulace s doručenou poštou

Pravidla doručené pošty jsou nastavená tak, aby automaticky spravovala e-mailové zprávy na základě předdefinovaných kritérií. Můžete například vytvořit pravidlo doručené pošty, které přesune všechny zprávy od nadřízenýho do jiné složky, nebo přeposílání přijatých zpráv na jinou e-mailovou adresu.

Škodlivá pravidla pro manipulaci s doručenou poštou

Útočníci můžou nastavit e-mailová pravidla tak, aby skryla příchozí e-maily v ohrožené poštovní schránce uživatele a zakryla tak jejich škodlivé aktivity před uživatelem. V ohrožené poštovní schránce uživatele také můžou nastavit pravidla pro odstranění e-mailů, přesunutí e-mailů do jiné méně nápadné složky (například RSS) nebo přeposílání e-mailů na externí účet. Některá pravidla můžou přesunout všechny e-maily do jiné složky a označit je jako přečtené, zatímco některá pravidla můžou přesouvat jenom e-maily, které obsahují určitá klíčová slova v e-mailové zprávě nebo předmětu.

Pravidlo doručené pošty může být například nastavené tak, aby hledalo klíčová slova, jako je faktura, phish, neodpovídat, podezřelý e-mail nebo spam, a přesunulo je do externího e-mailového účtu. Útočníci mohou také zneužít ohroženou poštovní schránku uživatele k distribuci spamu, phishingových e-mailů nebo malwaru.

Pracovního postupu

Tady je pracovní postup pro identifikaci podezřelých aktivit pravidel manipulace s doručenou poštou.

Pracovní postup vyšetřování upozornění pro pravidla manipulace s doručenou poštou

Kroky šetření

Tato část obsahuje podrobné pokyny k reakci na incident a provedení doporučených kroků k ochraně vaší organizace před dalšími útoky.

1. Kontrola výstrah

Tady je příklad upozornění pravidla manipulace s doručenou poštou ve frontě upozornění.

Příklad pravidla manipulace s doručenou poštou

Tady je příklad podrobností výstrahy aktivované škodlivým pravidlem pro manipulaci s doručenou poštou.

Podrobnosti o upozornění aktivované škodlivým pravidlem manipulace s doručenou poštou

2. Prozkoumání parametrů pravidla pro manipulaci s doručenou poštou

Zjistěte, jestli pravidla vypadají podezřele podle následujících parametrů nebo kritérií pravidla:

  • Klíčová slova

    Útočník může pravidlo manipulace použít jenom na e-maily, které obsahují určitá slova. Tato klíčová slova můžete najít pod určitými atributy, například: "BodyContainsWords", "SubjectContainsWords" nebo "SubjectOrBodyContainsWords".

    Pokud dochází k filtrování podle klíčových slov, zkontrolujte, jestli se vám klíčová slova zdají podezřelá (mezi běžné scénáře patří filtrování e-mailů souvisejících s aktivitami útočníka, například "phish", "spam" a "neodpovídejte").

    Pokud neexistuje žádný filtr, může to být také podezřelé.

  • Cílová složka

    Aby se útočník vyhnul detekci zabezpečení, může přesunout e-maily do méně nápadné složky a označit e-maily jako přečtené (například složka RSS). Pokud útočník použije akce MoveToFolder a MarkAsRead, zkontrolujte, jestli cílová složka nějak nesouvisí s klíčovými slovy v pravidle a rozhodnout, jestli se zdá podezřelá nebo ne.

  • Odstranit vše

    Někteří útočníci jenom odstraní všechny příchozí e-maily a skryjí tak svoji aktivitu. Pravidlo "odstranit všechny příchozí e-maily" bez filtrování pomocí klíčových slov je většinou indikátorem škodlivé aktivity.

Tady je příklad konfigurace pravidla "odstranit všechny příchozí e-maily" (viz RawEventData.Parameters) příslušného protokolu událostí.

Příklad konfigurace pravidla odstranění všech příchozích e-mailů

3. Prošetřete IP adresu.

Zkontrolujte atributy IP adresy, která provedla příslušnou událost vytvoření pravidla:

  • Search pro další podezřelé cloudové aktivity, které pocházejí ze stejné IP adresy v tenantovi. Podezřelou aktivitou může být například několik neúspěšných pokusů o přihlášení.
  • Je pro tohoto uživatele isp běžný a rozumný?
  • Je umístění pro tohoto uživatele běžné a přiměřené?

4. Před vytvořením pravidel prozkoumejte podezřelou aktivitu uživatele.

Můžete zkontrolovat všechny aktivity uživatelů před vytvořením pravidel, zkontrolovat indikátory ohrožení a prozkoumat akce uživatelů, které se zdají podezřelé.

Například v případě několika neúspěšných přihlášení zkontrolujte:

  • Aktivita přihlášení

    Ověřte, že aktivita přihlášení před vytvořením pravidla není podezřelá. (běžné umístění / isp / user-agent).

  • Upozornění

    Zkontrolujte, jestli uživatel obdržel upozornění před vytvořením pravidel. To může znamenat, že uživatelský účet může být ohrožen. Například upozornění na nemožnost cesty, častá země/oblast, několik neúspěšných přihlášení a další.)

  • Incident

    Zkontrolujte, jestli je výstraha přidružená k dalším výstrahami, které indikují incident. Pokud ano, zkontrolujte, jestli incident neobsahuje další pravdivě pozitivní upozornění.

Rozšířené dotazy proaktivního vyhledávání

Rozšířené proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb založený na dotazech, který umožňuje kontrolovat události v síti a vyhledávat indikátory hrozeb.

Tento dotaz slouží k vyhledání všech nových událostí pravidla doručené pošty během určitého časového intervalu.

let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule", "UpdateInboxRules") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData

Sloupec RuleConfig poskytne novou konfiguraci pravidla doručené pošty.

Pomocí tohoto dotazu můžete zkontrolovat, jestli je pro uživatele společný isp, a to tak, že se podíváte na jeho historii.

let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by ISP

Pomocí tohoto dotazu můžete zkontrolovat, jestli je země nebo oblast pro uživatele společná, a to tak, že se podíváte na historii uživatele.

let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode

Pomocí tohoto dotazu můžete zkontrolovat, jestli je uživatelský agent pro uživatele běžný, a to zobrazením historie uživatele.

let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
  1. Zakažte škodlivé pravidlo doručené pošty.
  2. Resetujte přihlašovací údaje uživatelského účtu. Můžete také ověřit, jestli nedošlo k ohrožení zabezpečení uživatelského účtu pomocí Microsoft Defender for Cloud Apps, která z Microsoft Entra ID Protection získává signály zabezpečení.
  3. Search pro jiné škodlivé aktivity prováděné ovlivněným uživatelským účtem.
  4. Vyhledejte další podezřelé aktivity v tenantovi, které pocházejí ze stejné IP adresy nebo od stejného isp (pokud je tento isp neobvyklý), a vyhledejte další ohrožené uživatelské účty.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.