Del via

Beskedklassificering for mistænkelige regler for indbakkemanipulation

  • Gælder for: Microsoft Defender XDR

Trusselsaktører kan bruge kompromitterede brugerkonti til mange skadelige formål, herunder at læse mails i en brugers indbakke, oprette indbakkeregler for at videresende mails til eksterne konti, slette sporinger og sende phishing-mails. Regler for ondsindede indbakker er almindelige i forbindelse med bec(business email compromise) og phishing-kampagner, og det er vigtigt at overvåge dem på en ensartet måde.

Denne playbook hjælper dig med at undersøge enhver hændelse, der er relateret til mistænkelige regler for manipulation af indbakker, som er konfigureret af hackere, og udføre anbefalede handlinger for at afhjælpe angrebet og beskytte dit netværk. Denne strategiplan er til sikkerhedsteams, herunder SOC-analytikere (Security Operations Center) og it-administratorer, der gennemser, undersøger og karakterer beskederne. Du kan hurtigt bedømme beskeder som enten en sand positiv (TP) eller en falsk positiv (TP) og udføre anbefalede handlinger for TP-beskederne for at afhjælpe angrebet.

Resultaterne af at bruge denne playbook er:

  • Du identificerer de beskeder, der er knyttet til regler for manipulation af indbakken, som skadelige aktiviteter (TP) eller godartede aktiviteter (FP).

    Hvis du er ondsindet, fjerner du regler for manipulation af ondsindede indbakker.

  • Du foretager den nødvendige handling, hvis mails blev videresendt til en ondsindet mailadresse.

Regler for manipulation af indbakke

Indbakkeregler er indstillet til automatisk at administrere mails baseret på foruddefinerede kriterier. Du kan f.eks. oprette en indbakkeregel for at flytte alle meddelelser fra din chef til en anden mappe eller videresende meddelelser, du modtager, til en anden mailadresse.

Regler for manipulation af skadelig indbakke

Personer med ondsindede hensigter kan konfigurere mailregler for at skjule indgående mails i den kompromitterede brugerpostkasse for at skjule deres skadelige aktiviteter for brugeren. De kan også angive regler i den kompromitterede brugerpostkasse for at slette mails, flytte mails til en anden mindre mærkbar mappe (f.eks. RSS) eller videresende mails til en ekstern konto. Nogle regler kan flytte alle mails til en anden mappe og markere dem som "læst", mens nogle regler muligvis kun flytter mails, der indeholder bestemte nøgleord i mailen eller emnet.

Indbakkereglen kan f.eks. være angivet til at søge efter nøgleord som f.eks. "faktura", "phish", "besvar ikke", "mistænkelig mail" eller "spam" og flytte dem til en ekstern mailkonto. Personer med ondsindede hensigter kan også bruge den kompromitterede brugerpostkasse til at distribuere spam, phishing-mails eller malware.

Arbejdsproces

Her er arbejdsprocessen til at identificere aktiviteter med regler for mistænkelig indbakkemanipulation.

Arbejdsproces til undersøgelse af beskeder om regler for manipulation af indbakke

Undersøgelsestrin

Dette afsnit indeholder en detaljeret trinvis vejledning i, hvordan du reagerer på hændelsen og udfører de anbefalede trin for at beskytte din organisation mod yderligere angreb.

1. Gennemse beskederne

Her er et eksempel på en regelbesked om manipulation af indbakker i beskedkøen.

Eksempel på en regel for manipulation af indbakke

Her er et eksempel på detaljerne for en besked, der blev udløst af en regel for manipulation af ondsindede indbakker.

Detaljer om besked, der blev udløst af en regel for manipulation af ondsindede indbakker

2. Undersøg regelparametre for indbakkemanipulation

Find ud af, om reglerne ser mistænkelige ud i henhold til følgende regelparametre eller kriterier:

  • Nøgleord

    Hackeren anvender muligvis kun manipulationsreglen på mails, der indeholder bestemte ord. Du kan finde disse nøgleord under visse attributter, f.eks.: "BodyContainsWords", "SubjectContainsWords" eller "SubjectOrBodyContainsWords".

    Hvis der filtreres efter nøgleord, skal du kontrollere, om nøgleordene virker mistænkelige for dig (almindelige scenarier er at filtrere mails, der er relateret til hackeraktiviteter, f.eks. "phish", "spam" og "besvar ikke" blandt andre).

    Hvis der slet ikke er noget filter, kan det også være mistænkeligt.

  • Destinationsmappen

    For at undgå sikkerhedsregistrering kan hackeren flytte mails til en mindre mærkbar mappe og markere mails som læst (f.eks. "RSS"-mappen). Hvis hackeren anvender handlingen "MoveToFolder" og "MarkAsRead", skal du kontrollere, om destinationsmappen på en eller anden måde er relateret til nøgleordene i reglen, for at afgøre, om den virker mistænkelig eller ej.

  • Slet alle

    Nogle personer med ondsindede hensigter sletter blot alle indgående mails for at skjule deres aktivitet. For det meste er en regel om "slet alle indgående mails" uden at filtrere dem med nøgleord en indikator for ondsindet aktivitet.

Her er et eksempel på regelkonfigurationen "Slet alle indgående mails" (som vist på RawEventData.Parameters) for den relevante hændelseslog.

Eksempel på konfiguration af regel for sletning af alle indgående mails

3. Undersøg IP-adressen

Gennemse attributterne for den IP-adresse, der udførte den relevante hændelse for regeloprettelse:

  • Søg efter andre mistænkelige cloudaktiviteter, der stammer fra den samme IP-adresse i lejeren. Mistænkelig aktivitet kan f.eks. være flere mislykkede logonforsøg.
  • Er internetudbyderen almindelig og rimelig for denne bruger?
  • Er placeringen fælles og rimelig for denne bruger?

4. Undersøg mistænkelig aktivitet fra brugeren, før reglerne oprettes

Du kan gennemse alle brugeraktiviteter, før der blev oprettet regler, kontrollere, om der er indikatorer for kompromitteret, og undersøge brugerhandlinger, der virker mistænkelige.

For flere mislykkede logons skal du f.eks. undersøge:

  • Logonaktivitet

    Kontrollér, at logonaktiviteten før oprettelsen af reglen ikke er mistænkelig. (fælles placering/internetudbyder/brugeragent).

  • Beskeder

    Kontrollér, om brugeren har modtaget beskeder, før reglerne blev oprettet. Dette kan indikere, at brugerkontoen kan være kompromitteret. Det kan f.eks. være en besked om umulige rejser, sjældent land/område, flere mislykkede logons, blandt andre.)

  • Hændelse

    Kontrollér, om beskeden er knyttet til andre beskeder, der angiver en hændelse. Hvis det er tilfældet, skal du kontrollere, om hændelsen indeholder andre sande positive beskeder.

Avancerede jagtforespørgsler

Advanced Hunting er et forespørgselsbaseret trusselsjagtværktøj, der giver dig mulighed for at inspicere hændelser i dit netværk for at finde trusselsindikatorer.

Brug denne forespørgsel til at finde alle de nye hændelser for indbakkereglen i løbet af et bestemt tidsrum.

let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule", "UpdateInboxRules") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData

Kolonnen RuleConfig leverer den nye indbakkeregelkonfiguration.

Brug denne forespørgsel til at kontrollere, om internetudbyderen er almindelig for brugeren, ved at se på brugerens historik.

let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by ISP

Brug denne forespørgsel til at kontrollere, om landet/området er almindeligt for brugeren, ved at se på brugerens historik.

let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode

Brug denne forespørgsel til at kontrollere, om brugeragenten er fælles for brugeren, ved at se på brugerens historik.

let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
  1. Deaktiver reglen for skadelig indbakke.
  2. Nulstil brugerkontoens legitimationsoplysninger. Du kan også kontrollere, om brugerkontoen er blevet kompromitteret med Microsoft Defender for Cloud Apps, hvilket får sikkerhedssignaler fra Microsoft Entra ID-beskyttelse.
  3. Søg efter andre skadelige aktiviteter, der udføres af den påvirkede brugerkonto.
  4. Kontrollér, om der er andre mistænkelige aktiviteter i lejeren, der stammer fra den samme IP-adresse eller fra den samme internetudbyder (hvis internetudbyderen er ualmindelig) for at finde andre kompromitterede brugerkonti.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.