Beskedklassificering for mistænkelige regler for videresendelse af indbakker
Gælder for:
- Microsoft Defender XDR
Trusselsaktører kan bruge kompromitterede brugerkonti til flere skadelige formål, herunder at læse mails i en brugers indbakke, oprette indbakkeregler for at videresende mails til eksterne konti, bl.a. sende phishing-mails. Reglerne for ondsindede indbakker er meget almindelige i forbindelse med BEC (Business Email Compromise) og phishing-kampagner, og det er vigtigt at overvåge dem på en ensartet måde.
Denne playbook hjælper dig med at undersøge beskeder for mistænkelige regler for videresendelse af indbakker og hurtigt bedømme dem som enten en sand positiv (TP) eller falsk positiv (FP). Du kan derefter udføre anbefalede handlinger for TP-beskederne for at afhjælpe angrebet.
Du kan se en oversigt over klassificering af beskeder for Microsoft Defender for Office 365 og Microsoft Defender for Cloud Apps i introduktionsartiklen.
Resultaterne af at bruge denne playbook er:
Du har identificeret de beskeder, der er knyttet til reglerne for videresendelse af indbakker, som skadelige (TP) eller godartede aktiviteter (FP).
Hvis det er skadeligt, har du fjernet reglerne for videresendelse af skadelig indbakke.
Du har foretaget den nødvendige handling, hvis mails er blevet videresendt til en ondsindet mailadresse.
Regler for videresendelse af indbakke
Du kan konfigurere indbakkeregler til automatisk at administrere mails baseret på foruddefinerede kriterier. Du kan f.eks. oprette en indbakkeregel for at flytte alle meddelelser fra din chef til en anden mappe eller videresende meddelelser, du modtager, til en anden mailadresse.
Mistænkelige regler for videresendelse af indbakke
Når hackere har fået adgang til brugernes postkasser, opretter de ofte en indbakkeregel, der giver dem mulighed for at exfiltrere følsomme data til en ekstern mailadresse og bruge dem til skadelige formål.
Regler for skadelig indbakke automatiserer exfiltrationsprocessen. Med specifikke regler videresendes alle mails i målbrugerens indbakke, der opfylder regelkriterierne, til hackerens postkasse. En hacker kan f.eks. indsamle følsomme data, der er relateret til økonomi. De opretter en indbakkeregel for at videresende alle mails, der indeholder nøgleord, f.eks. "økonomi" og "faktura" i emne- eller meddelelsesteksten, til deres postkasse.
Det kan være svært at registrere mistænkelige regler for videresendelse af indbakker, fordi vedligeholdelse af indbakkeregler er en almindelig opgave, som brugerne udfører. Det er derfor vigtigt at overvåge beskederne.
Arbejdsproces
Her er arbejdsprocessen til at identificere mistænkelige regler for videresendelse af mail.
Undersøgelsestrin
Dette afsnit indeholder en detaljeret trinvis vejledning i, hvordan du reagerer på hændelsen og udfører de anbefalede trin for at beskytte din organisation mod yderligere angreb.
Gennemse genererede beskeder
Her er et eksempel på en regelbesked om videresendelse af indbakke i beskedkøen.
Her er et eksempel på detaljer om den besked, der blev udløst af en regel for videresendelse af skadelig indbakke.
Undersøg regelparametre
Formålet med denne fase er at afgøre, om reglerne ser mistænkelige ud af visse kriterier:
Modtagere af videresendelsesreglen:
- Valider, at destinationsmailadressen ikke er en ekstra postkasse, der ejes af den samme bruger (undgå tilfælde, hvor brugeren selv videresender mails mellem personlige postkasser).
- Valider, at destinationsmailadressen ikke er en intern adresse eller et underdomæne, der tilhører virksomheden.
Filtre:
- Hvis indbakkereglen indeholder filtre, som søger efter bestemte nøgleord i mailens emne eller brødtekst, skal du kontrollere, om de angivne nøgleord, f.eks. økonomi, legitimationsoplysninger og netværk, bl.a. synes relateret til ondsindet aktivitet. Du kan finde disse filtre under følgende attributter (som vises i kolonnen RawEventData for hændelsen): "BodyContainsWords", "SubjectContainsWords" eller "SubjectOrBodyContainsWords"
- Hvis hackeren vælger ikke at angive et filter til mails, og i stedet indbakkereglen videresender alle postkasseelementerne til hackerens postkasse), er denne funktionsmåde også mistænkelig.
Undersøg IP-adresse
Gennemse de attributter, der er relateret til den IP-adresse, der udførte den relevante hændelse for regeloprettelse:
- Søg efter andre mistænkelige cloudaktiviteter, der stammer fra den samme IP-adresse i lejeren. Mistænkelig aktivitet kan f.eks. være flere mislykkede logonforsøg.
- Er internetudbyderen almindelig og rimelig for denne bruger?
- Er placeringen fælles og rimelig for denne bruger?
Undersøg enhver mistænkelig aktivitet med brugerens indbakke, før du opretter regler
Du kan gennemse alle brugeraktiviteter, før du opretter regler, kontrollere, om der er indikatorer for kompromitteret handling, og undersøge brugerhandlinger, der virker mistænkelige. Det kan f.eks. være flere mislykkede logons.
Logon:
Valider, at logonaktiviteten før hændelsen for regeloprettelse ikke er mistænkelig (f.eks. den fælles placering, internetudbyderen eller brugeragenten).
Andre beskeder eller hændelser
- Udløste andre beskeder for brugeren før oprettelsen af reglen. Hvis det er tilfældet, kan dette indikere, at brugeren blev kompromitteret.
- Hvis beskeden korrelerer med andre beskeder for at angive en hændelse, indeholder hændelsen så andre sande positive beskeder?
Avancerede jagtforespørgsler
Advanced Hunting er et forespørgselsbaseret trussels jagtværktøj, der giver dig mulighed for at inspicere hændelser i dit netværk og finde trusselsindikatorer.
Kør denne forespørgsel for at finde alle de nye hændelser for indbakkereglen i et bestemt tidsrum.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
RuleConfig indeholder regelkonfigurationen.
Kør denne forespørgsel for at kontrollere, om internetudbyderen er fælles for brugeren, ved at se på brugerens historik.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
Kør denne forespørgsel for at kontrollere, om landet/området er almindeligt for brugeren, ved at se på brugerens historik.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
Kør denne forespørgsel for at kontrollere, om brugeragenten er fælles for brugeren, ved at se på brugerhistorikken.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
Kør denne forespørgsel for at kontrollere, om andre brugere har oprettet en videresendelsesregel til den samme destination (det kan også indikere, at andre brugere er kompromitteret).
let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
Anbefalede handlinger
- Deaktiver reglen for skadelig indbakke.
- Nulstil brugerens legitimationsoplysninger. Du kan også kontrollere, om brugerkontoen er blevet kompromitteret med Microsoft Defender for Cloud Apps, som henter sikkerhedssignaler fra Microsoft Entra ID Protection.
- Søg efter andre skadelige aktiviteter, der udføres af den påvirkede bruger.
- Kontrollér, om der er andre mistænkelige aktiviteter i lejeren, der stammer fra den samme IP-adresse eller fra den samme internetudbyder (hvis internetudbyderen er ualmindelig) for at finde andre kompromitterede brugere.
Se også
- Oversigt over beskedklassificering
- Mistænkelig aktivitet for videresendelse af mail
- Regler for mistænkelig manipulation af indbakke
- Undersøg beskeder
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.