Warnungsklassifizierung für verdächtige Posteingangsweiterleitungsregeln
Gilt für:
- Microsoft Defender XDR
Bedrohungsakteure können kompromittierte Benutzerkonten für verschiedene böswillige Zwecke verwenden, z. B. für das Lesen von E-Mails im Posteingang eines Benutzers, das Erstellen von Posteingangsregeln zum Weiterleiten von E-Mails an externe Konten, das Senden von Phishing-Mails und andere. Böswillige Posteingangsregeln sind bei bedenklichen E-Mail-Kompromittierungen (Business Email Compromise, BEC) und Phishing-Kampagnen weit verbreitet, und es ist wichtig, sie konsistent zu überwachen.
Dieses Playbook hilft Ihnen, Warnungen auf verdächtige Posteingangsweiterleitungsregeln zu untersuchen und sie schnell entweder als true positive (TP) oder false positive (FP) zu bewerten. Anschließend können Sie empfohlene Aktionen für die TP-Warnungen ergreifen, um den Angriff zu beheben.
Eine Übersicht über die Warnungsklassifizierung für Microsoft Defender für Office 365 und Microsoft Defender für Cloud-Apps finden Sie im Einführungsartikel.
Die Verwendung dieses Playbooks hat folgende Ergebnisse:
Sie haben die Warnungen im Zusammenhang mit Posteingangsweiterleitungsregeln als schädliche (TP) oder gutartige Aktivitäten (FP) identifiziert.
Wenn sie böswillig sind, haben Sie schädliche Posteingangsweiterleitungsregeln entfernt.
Sie haben die erforderliche Aktion ergriffen, wenn E-Mails an eine schädliche E-Mail-Adresse weitergeleitet wurden.
Regeln für die Posteingangsweiterleitung
Sie konfigurieren Posteingangsregeln, um E-Mail-Nachrichten basierend auf vordefinierten Kriterien automatisch zu verwalten. Sie können beispielsweise eine Posteingangsregel erstellen, um alle Nachrichten von Ihrem Vorgesetzten in einen anderen Ordner zu verschieben oder Nachrichten, die Sie erhalten, an eine andere E-Mail-Adresse weiterzuleiten.
Verdächtige Posteingangsweiterleitungsregeln
Nach dem Zugriff auf die Postfächer der Benutzer erstellen Angreifer häufig eine Posteingangsregel, die es ihnen ermöglicht, vertrauliche Daten an eine externe E-Mail-Adresse zu exfiltrieren und für böswillige Zwecke zu verwenden.
Bösartige Posteingangsregeln automatisieren den Exfiltrationsprozess. Mit bestimmten Regeln wird jede E-Mail im Posteingang des Zielbenutzers, die den Regelkriterien entspricht, an das Postfach des Angreifers weitergeleitet. Ein Angreifer möchte beispielsweise vertrauliche Daten im Zusammenhang mit dem Finanzbereich sammeln. Sie erstellen eine Posteingangsregel, um alle E-Mails, die Schlüsselwörter wie "Finance" und "invoice" im Betreff oder Nachrichtentext enthalten, an ihr Postfach weiterzuleiten.
Verdächtige Posteingangsweiterleitungsregeln sind möglicherweise schwer zu erkennen, da die Wartung von Posteingangsregeln eine häufige Aufgabe von Benutzern ist. Daher ist es wichtig, die Warnungen zu überwachen.
Workflow
Hier ist der Workflow zum Identifizieren verdächtiger E-Mail-Weiterleitungsregeln.
Untersuchungsschritte
Dieser Abschnitt enthält eine ausführliche Schritt-für-Schritt-Anleitung, um auf den Vorfall zu reagieren und die empfohlenen Schritte auszuführen, um Ihre Organisation vor weiteren Angriffen zu schützen.
Überprüfen generierter Warnungen
Hier sehen Sie ein Beispiel für eine Warnung einer Posteingangsweiterleitungsregel in der Warnungswarteschlange.
Hier sehen Sie ein Beispiel für die Details der Warnung, die durch eine schädliche Posteingangsweiterleitungsregel ausgelöst wurde.
Untersuchen von Regelparametern
Der Zweck dieser Phase besteht darin, zu bestimmen, ob die Regeln anhand bestimmter Kriterien verdächtig aussehen:
Empfänger der Weiterleitungsregel:
- Überprüfen Sie, ob die Ziel-E-Mail-Adresse kein zusätzliches Postfach ist, das sich im Besitz desselben Benutzers befindet ( vermeiden Sie Fälle, in denen der Benutzer E-Mails selbst zwischen persönlichen Postfächern weiterleite).
- Überprüfen Sie, ob die Ziel-E-Mail-Adresse keine interne Adresse oder Unterdomäne ist, die zum Unternehmen gehört.
Filter:
- Wenn die Posteingangsregel Filter enthält, die nach bestimmten Schlüsselwörtern im Betreff oder Textkörper der E-Mail suchen, überprüfen Sie, ob die bereitgestellten Schlüsselwörter, z. B. Finanzen, Anmeldeinformationen und Netzwerk, mit schädlichen Aktivitäten zusammenhängt. Sie finden diese Filter unter den folgenden Attributen (die in der RawEventData-Spalte des Ereignisses angezeigt werden): "BodyContainsWords", "SubjectContainsWords" oder "SubjectOrBodyContainsWords".
- Wenn der Angreifer keine Filter für die E-Mails festlegen möchte und stattdessen die Posteingangsregel alle Postfachelemente an das Postfach des Angreifers weiterleitet, ist dieses Verhalten ebenfalls verdächtig.
Untersuchen der IP-Adresse
Überprüfen Sie die Attribute, die sich auf die IP-Adresse beziehen, die das relevante Ereignis der Regelerstellung ausgeführt hat:
- Suchen Sie nach anderen verdächtigen Cloudaktivitäten, die von derselben IP-Adresse im Mandanten stammen. Beispielsweise kann es sich bei verdächtigen Aktivitäten um mehrere fehlgeschlagene Anmeldeversuche handeln.
- Ist der ISP für diesen Benutzer üblich und sinnvoll?
- Ist der Standort für diesen Benutzer üblich und angemessen?
Untersuchen Sie verdächtige Aktivitäten mit dem Benutzereingang, bevor Sie Regeln erstellen.
Sie können alle Benutzeraktivitäten überprüfen, bevor Sie Regeln erstellen, nach Anzeichen für Gefährdung suchen und Benutzeraktionen untersuchen, die verdächtig erscheinen. Beispielsweise mehrere fehlgeschlagene Anmeldungen.
Anmeldungen:
Überprüfen Sie, ob die Anmeldeaktivität vor dem Regelerstellungsereignis nicht verdächtig ist (z. B. der allgemeine Standort, der ISP oder der Benutzer-Agent).
Andere Warnungen oder Vorfälle
- Wurden vor der Regelerstellung andere Warnungen für den Benutzer ausgelöst. Wenn dies der Fall ist, kann dies darauf hindeuten, dass der Benutzer kompromittiert wurde.
- Wenn die Warnung mit anderen Warnungen korreliert, um auf einen Incident hinzuweisen, enthält der Incident dann andere wahr positive Warnungen?
Abfragen für die erweiterte Suche
Advanced Hunting ist ein abfragebasiertes Tool zur Bedrohungssuche, mit dem Sie Ereignisse in Ihrem Netzwerk untersuchen und Bedrohungsindikatoren finden können.
Führen Sie diese Abfrage aus, um alle neuen Posteingangsregelereignisse während eines bestimmten Zeitfensters zu finden.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
RuleConfig enthält die Regelkonfiguration.
Führen Sie diese Abfrage aus, um zu überprüfen, ob der ISP für den Benutzer üblich ist, indem Sie sich den Verlauf des Benutzers ansehen.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
Führen Sie diese Abfrage aus, um zu überprüfen, ob das Land/die Region für den Benutzer üblich ist, indem Sie sich den Verlauf des Benutzers ansehen.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
Führen Sie diese Abfrage aus, um zu überprüfen, ob der Benutzer-Agent für den Benutzer üblich ist, indem Sie sich den Verlauf des Benutzers ansehen.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
Führen Sie diese Abfrage aus, um zu überprüfen, ob andere Benutzer eine Weiterleitungsregel für dasselbe Ziel erstellt haben (könnte darauf hindeuten, dass auch andere Benutzer kompromittiert sind).
let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
Empfohlene Aktionen
- Deaktivieren Sie die bösartige Posteingangsregel.
- Setzen Sie die Kontoanmeldeinformationen des Benutzers zurück. Sie können auch überprüfen, ob das Benutzerkonto mit Microsoft Defender for Cloud Apps kompromittiert wurde, das Sicherheitssignale von Microsoft Entra ID Protection erhält.
- Suchen Sie nach anderen schädlichen Aktivitäten, die vom betroffenen Benutzer ausgeführt werden.
- Überprüfen Sie, ob andere verdächtige Aktivitäten im Mandanten von derselben IP-Adresse oder vom gleichen ISP stammen (wenn der ISP ungewöhnlich ist), um andere kompromittierte Benutzer zu finden.
Siehe auch
- Übersicht über die Warnungsklassifizierung
- Verdächtige E-Mail-Weiterleitunsaktivitäten
- Verdächtige Posteingangsmanipulationsregeln
- Untersuchen von Warnungen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.