Verwenden von MailItemsAccessed zum Untersuchen von kompromittierten Konten
Ein kompromittiertes Benutzerkonto (auch als Kontoübernahme bezeichnet) ist ein Angriffstyp, bei dem ein Angreifer Zugriff auf ein Benutzerkonto erhält und als Benutzer agiert. Diese Arten von Angriffen richten manchmal mehr Schaden an, als der Angreifer möglicherweise beabsichtigt. Bei der Untersuchung von kompromittierten E-Mail-Konten müssen Sie davon ausgehen, dass mehr E-Mail-Daten kompromittiert sind, als durch Nachverfolgen der tatsächlichen Anwesenheit des Angreifers ermittelt werden kann. Abhängig vom Typ der Daten in E-Mail-Nachrichten müssen Sie davon ausgehen, dass vertrauliche Informationen kompromittiert wurden, oder es werden Geldbußen im Zusammenhang mit gesetzlichen Vorschriften fällig, wenn Sie nicht nachweisen können, dass keine vertrauliche Informationen offengelegt wurden. So können beispielsweise für HIPAA-regulierte Organisationen erhebliche Geldbußen anfallen, wenn nachgewiesen wird, dass Gesundheitsinformationen von Patienten (PHI) offengelegt wurden. In diesen Fällen ist es unwahrscheinlich, dass Angreifer sich für die PHI interessieren, doch Organisationen müssen Datenverstöße trotzdem melden, wenn sie nicht das Gegenteil beweisen können.
Um Ihnen bei der Untersuchung von kompromittierten E-Mail-Konten zu helfen, wird der Zugriff auf E-Mail-Daten nun durch E-Mail-Protokolle und -Clients mit der Postfachüberwachungsaktion MailItemsAccessed überwacht. Diese neue überwachte Aktion hilft Ermittlern, Verletzungen von E-Mail-Daten besser zu verstehen und den Umfang der Kompromittierungen für bestimmte E-Mail-Elemente zu identifizieren, die möglicherweise kompromittiert wurden. Das Ziel dieser neuen Überwachungsaktion ist die Forensik-Defensierbarkeit, um zu bestätigen, dass ein bestimmter Teil der E-Mail-Daten nicht kompromittiert wurde. Wenn ein Angreifer Zugriff auf eine bestimmte E-Mail erlangt hat, überwacht Exchange Online das Ereignis, obwohl es keinen Hinweis darauf gibt, dass das E-Mail-Element gelesen wurde.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Starten Sie jetzt im Testhub für Microsoft Purview-Complianceportal. Erfahren Sie mehr über Anmelde- und Testbedingungen.
Die Postfachüberwachungsaktion "MailItemsAccessed"
Die MailItemsAccessed-Aktion ist Teil der Überwachungsfunktion (Standard). Es ist Teil der Exchange-Postfachüberwachung und ist standardmäßig für Benutzer aktiviert, denen eine Office 365 E3/E5- oder Microsoft 365 E3/E5-Lizenz zugewiesen ist.
Die Postfachüberwachungsaktion "MailItemsAccessed" deckt alle E-Mail-Protokolle ab: POP, IMAP, MAPI, EWS, Exchange ActiveSync und REST. Außerdem werden beide Arten des Zugriffs auf E-Mails abgedeckt: Synchronisierung und Bindung.
Überwachen des Synchronisierungszugriffs
Synchronisierungsvorgänge werden nur aufgezeichnet, wenn durch eine Desktopversion des Outlook-Clients für Windows oder Mac auf ein Postfach zugegriffen wird. Während des Synchronisierungsvorgangs laden diese Clients in der Regel eine große Menge von E-Mail-Elementen aus der Cloud auf einen lokalen Computer herunter. Das Überwachungsvolumen für Synchronisierungsvorgänge ist riesig. Anstatt also einen Überwachungseintrag für jedes synchronisierte E-Mail-Element zu generieren, wird ein Überwachungsereignis für den E-Mail-Ordner generiert, der die synchronisierten Elemente enthält, und davon ausgegangen, dass alle E-Mail-Elemente im synchronisierten Ordner kompromittiert wurden. Der Zugriffstyp wird im OperationsProperties-Feld des Überwachungsdatensatzes aufgezeichnet.
Ein Beispiel für die Darstellung des Synchronisierungszugriffstyps in einem Überwachungsdatensatz finden Sie in Schritt 2 im Abschnitt Verwenden von MailItemsAccessed-Überwachungsdatensätzen für forensische Untersuchungen.
Überwachen des Bindungszugriffs
Bei einem Bindungsvorgang handelt es sich um einen individuellen Zugriff auf eine E-Mail-Nachricht. Für den Bindungszugriff wird die InternetMessageId einzelner Nachrichten im Überwachungsdatensatz aufgezeichnet. Die MailItemsAccessed-Überwachungsaktion zeichnet Bindungsvorgänge auf, und aggregiert diese dann in einem einzigen Überwachungsdatensatz. Alle Bindungsvorgänge, die innerhalb eines 2-Minuten-Intervalls auftreten, werden in einem einzelnen Überwachungsdatensatz im Ordner-Feld innerhalb der AuditData-Eigenschaft aggregiert. Jede Nachricht, auf die zugegriffen wurde, wird anhand ihres Internetnachrichten-ID-Werts identifiziert. Die Anzahl der in dem Datensatz aggregierten Bindungsvorgänge wird im Feld „OperationCount“ in der AuditData-Eigenschaft angezeigt.
Ein Beispiel für die Darstellung des Bindungszugriffstyps in einem Überwachungsdatensatz finden Sie in Schritt 4 im Abschnitt Verwenden von MailItemsAccessed-Überwachungsdatensätzen für forensische Untersuchungen.
Drosseln von MailItemsAccessed-Überwachungsdatensätzen
Wenn in weniger als 24 Stunden mehr als 1.000 MailItemsAccessed-Überwachungsdatensätze generiert werden, beendet Exchange Online die Generierung von Überwachungsdatensätzen für die MailItemsAccessed-Aktivität. Wenn ein Postfach gedrosselt wird, wird die MailItemsAccessed-Aktivität 24 Stunden lang nicht protokolliert, nachdem das Postfach gedrosselt wurde. Wenn das Postfach gedrosselt wurde, besteht die Möglichkeit, dass das Postfach während dieses Zeitraums kompromittiert wurde. Die Aufzeichnung der MailItemsAccessed-Aktivität wird nach Ablauf des 24-Stunden-Zeitraums fortgesetzt.
Hier einige Punkte, die Sie im Hinblick auf die Drosselung beachten sollten:
- Weniger als 1 % aller Postfächer in Exchange Online werden gedrosselt.
- Wenn ein Postfach gedrosselt wird, werden nur Überwachungsdatensätze für MailItemsAccessed-Aktivitäten nicht überwacht. Andere Postfachüberwachungsaktionen sind davon nicht betroffen.
- Postfächer werden nur für Bindungsvorgänge gedrosselt. Überwachungseinträge für Synchronisierungsvorgänge werden nicht gedrosselt.
- Wenn ein Postfach gedrosselt wird, können Sie davon ausgehen, dass es MailItemsAccessed-Aktivitäten gab, die nicht in den Überwachungsprotokollen aufgezeichnet wurden.
Ein Beispiel für die Darstellung der IsThrottled-Eigenschaft in einem Überwachungsdatensatz finden Sie in Schritt 1 im Abschnitt Verwenden von MailItemsAccessed-Überwachungsdatensätzen für forensische Untersuchungen.
Verwenden von MailItemsAccessed-Überwachungsdatensätzen für forensische Untersuchungen
Bei der Postfachüberwachung werden Überwachungseinträge für den Zugriff auf E-Mail-Nachrichten generiert, damit Sie sicher sein können, dass E-Mail-Nachrichten nicht kompromittiert wurden. Aus diesem Grund wird in Situationen, in denen nicht sicher ist, ob auf bestimmte Daten zugegriffen wurde, davon ausgegangen, dass ein Zugriff erfolgt ist, indem alle E-Mail-Access-Aktivitäten aufgezeichnet werden.
Die Verwendung von MailItemsAccessed-Überwachungsdatensätzen für forensische Zwecke erfolgt in der Regel nach dem Beheben einer Datenverletzung und dem Entfernen des Angreifers. Um ihre Untersuchung zu beginnen, sollten Sie die Gruppe von Postfächern identifizieren, die sie kompromittiert haben, und den Zeitrahmen bestimmen, in dem angreifer Zugriff auf Postfächer in Ihrer Organisation hatte. Anschließend können Sie die Cmdlets Search-UnifiedAuditLog oder Search-MailboxAuditLog in Exchange Online PowerShell verwenden, um Überwachungsdatensätze zu durchsuchen, die der Datenverletzung entsprechen.
Sie können einen der folgenden Befehle ausführen, um nach MailItemsAccessed-Überwachungsdatensätzen zu suchen:
Einheitliches Überwachungsprotokoll:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000
Postfachüberwachungsprotokoll:
Search-MailboxAuditLog -Identity <user> -StartDate 01/06/2020 -EndDate 01/20/2020 -Operations MailItemsAccessed -ResultSize 1000 -ShowDetails
Tipp
Ein Hauptunterschied zwischen diesen beiden Cmdlets besteht darin, dass Sie das Cmdlet Search-UnifiedAuditLog verwenden können, um nach Überwachungsdatensätzen für Aktivitäten zu suchen, die von einem oder mehreren Benutzern ausgeführt wurden. Der Grund dafür ist, dass UserIds ein mehrwertiger Parameter ist. Das Cmdlet Search-MailboxAuditLog durchsucht das Postfachüberwachungsprotokoll nach einem einzelnen Benutzer.
Nachfolgend finden Sie die Schritte für die Verwendung von MailItemsAccessed-Überwachungsdatensätzen zur Untersuchung eines Angriffs durch einen kompromittierten Benutzer. In jedem Schritt wird die Befehlssyntax für die Cmdlets Search-UnifiedAuditLog oder Search-MailboxAuditLog angezeigt.
Überprüfen Sie, ob das Postfach gedrosselt wurde. Wenn dies der Fall ist, bedeutet dies, dass einige Postfachüberwachungsdatensätze nicht protokolliert wurden. Für den Fall, dass alle Überwachungsdatensätze den Wert "IsThrottled" auf "True" haben, sollten Sie davon ausgehen, dass dieser Datensatz für einen Zeitraum von 24 Stunden danach generiert wurde, dass der Zugriff auf das Postfach nicht überwacht wurde und dass alle E-Mail-Daten kompromittiert wurden.
Führen Sie den folgenden Befehl aus, um nach MailItemsAccessed-Datensätzen zu suchen, während das Postfach gedrosselt wurde:
Einheitliches Überwachungsprotokoll:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL
Postfachüberwachungsprotokoll:
Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*IsThrottled:True*"} | FL
Suchen Sie nach Synchronisierungsaktivitäten. Wenn ein Angreifer Nachrichten in einem Postfach mithilfe eines E-Mail-Clients heruntergeladen hat, kann er den Computer vom Internet trennen und lokal auf die Nachrichten zugreifen, ohne mit dem Server interagieren zu müssen. In diesem Fall kann die Postfachüberwachung diese Aktivitäten nicht überwachen.
Führen Sie den folgenden Befehl aus, um nach MailItemsAccessed-Datensätzen zu suchen, bei denen mittels Synchronisierungsvorgängen auf E-Mail-Elemente zugegriffen wurde:
Einheitliches Überwachungsprotokoll:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FL
Postfachüberwachungsprotokoll:
Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*MailAccessType:Sync*"} | FL
Überprüfen Sie die Synchronisierungsaktivitäten, um zu bestimmen, ob einzelne dieser Aktivitäten im selben Kontext aufgetreten sind, im dem der Angreifer auf das Postfach zugegriffen hat. Der Kontext wird durch die IP-Adresse des Clientcomputers identifiziert und unterschieden, der für den Zugriff auf das Postfach und das E-Mail-Protokoll verwendet wird. Weitere Informationen hierzu finden Sie im Abschnitt Ermitteln des Zugriffskontexts verschiedener Überwachungsdatensätze.
Verwenden Sie die nachstehend aufgeführten Eigenschaften für die Ermittlungen. Diese Eigenschaften befinden sich in der AuditData- oder OperationProperties-Eigenschaft. Wenn eine der Synchronisierungen im selben Kontext wie die Angreiferaktivität stattgefunden hat, gehen Sie davon aus, dass der Angreifer alle E-Mail-Elemente mit seinem Client synchronisiert hat, was wiederum bedeutet, dass das gesamte Postfach wahrscheinlich kompromittiert wurde.
Eigenschaft | Beschreibung |
---|---|
ClientInfoString | Beschreibt Protokoll und Client (einschließlich Version) |
ClientIPAddress | IP-Adresse des Clientcomputers. |
SessionId | Die Sitzungs-ID trägt dazu bei, die Aktionen eines Angreifers von täglichen Benutzeraktivitäten im gleichen Konto zu unterscheiden (nützlich bei kompromittierten Konten). |
UserId | UPN des Benutzers, der die Nachricht liest. |
Suchen Sie nach Bindungsaktivitäten. Nachdem Sie die Schritte 2 und 3 durchgeführt haben, können Sie sicher sein, dass alle anderen Zugriffe auf E-Mail-Nachrichten durch den Angreifer in den MailItemsAccessed-Überwachungsdatensätzen erfasst werden, die eine MailAccessType-Eigenschaft mit dem Wert "Bind" aufweisen.
Führen Sie den folgenden Befehl aus, um nach MailItemsAccessed-Datensätzen zu suchen, auf die von einem Bindungsvorgang auf die E-Mail-Elemente zugegriffen wurde.
Einheitliches Überwachungsprotokoll:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FL
Postfachüberwachungsprotokoll:
Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*MailAccessType:Bind*"} | FL
E-Mail-Nachrichten, auf die zugegriffen wurde, werden durch ihre Internetnachrichten-ID identifiziert. Sie können auch überprüfen, ob Überwachungsdatensätze den gleichen Kontext aufweisen wie diejenigen anderer Angreiferaktivitäten. Weitere Informationen hierzu finden Sie im Abschnitt Ermitteln des Zugriffskontexts verschiedener Überwachungsdatensätze.
Sie können die Überwachungsdaten für Bindungsvorgänge auf zwei verschiedene Arten verwenden:
- Zugreifen oder Sammeln aller E-Mail-Nachrichten, auf die der Angreifer zugegriffen hat, anhand der Internetnachrichten-ID (internet-message-id), um die Nachrichten zu finden und zu überprüfen, ob eine dieser Nachrichten vertrauliche Informationen enthält.
- Verwenden Sie die Internetnachrichten-ID zum Durchsuchen von Überwachungsdatensätzen, die sich auf einen Satz potenziell vertraulicher E-Mails beziehen. Dies ist nützlich, wenn Sie nur hinsichtlich einer kleinen Anzahl von Nachrichten besorgt sind.
Filtern von doppelten Überwachungsdatensätzen
Duplikate von Überwachungsdatensätzen für innerhalb einer Stunde auftretende gleiche Bindungsvorgänge werden herausgefiltert, um Stördatenverkehr bei der Überwachung zu entfernen. Synchronisierungsvorgänge werden ebenfalls in 1-Stunden-Intervallen herausgefiltert. Die Ausnahme von diesem Deduplizierungsprozess tritt auf, wenn sich für dieselbe InternetMessageId eine der in der folgenden Tabelle beschriebenen Eigenschaften unterscheidet. Wenn sich eine dieser Eigenschaften in einem doppelten Vorgang unterscheidet, wird ein neuer Überwachungsdatensatz generiert. Dieser Vorgang wird im nächsten Abschnitt ausführlicher beschrieben.
Eigenschaft | Beschreibung |
---|---|
ClientIPAddress | IP-Adresse des Clientcomputers. |
ClientInfoString | Clientprotokoll, für den Zugriff auf das Postfach verwendeter Client. |
ParentFolder | Vollständiger Ordnerpfad des E-Mail-Elements, auf das zugegriffen wurde. |
Logon_type | Anmeldetyp des Benutzers, der die Aktion ausgeführt hat. Die Anmeldetypen (und deren zugehörige Enum-Werte) sind Besitzer (0), Administrator (1) oder Stellvertreter (2). |
MailAccessType | Gibt an, ob es sich bei dem Zugriff um einen Bindungs oder Synchronisierungsvorgang handelt. |
MailboxUPN | UPN des Postfachs, in dem sich die gelesene Nachricht befindet. |
User | UPN des Benutzers, der die Nachricht liest. |
SessionId | Die Sitzungs-ID hilft bei der Unterscheidung von Angreiferaktionen und alltäglichen Benutzeraktivitäten im selben Postfach (im Falle einer Kontokompromittierung). Weitere Informationen über Sitzungen finden Sie unter Contextualizing attacker activity within sessions in Exchange Online Kontextualisierung von Angreiferaktivitäten innerhalb von Sitzungen in Exchange Online. |
Ermitteln des Zugriffskontexts verschiedener Überwachungsdatensätze
Es kommt häufig vor, dass ein Angreifer und der Besitzer eines Postfachs gleichzeitig auf das Postfach zugreifen. Um zwischen dem Zugriff durch den Angreifer und dem Zugriff durch den Postfachbesitzer zu unterscheiden, gibt es Überwachungsprotokolleigenschaften, die den Kontext des Zugriffs definieren. Wie bereits erläutert, werden bei unterschiedlichen Werten für diese Eigenschaften separate Überwachungsdatensätze generiert, selbst wenn die Aktivität innerhalb eines Aggregationsintervalls stattfindet. Im folgenden Beispiel gibt es drei verschiedene Überwachungsdatensätze. Sie unterscheiden sich in den Eigenschaften "Session Id" und "ClientIPAddress". Die Nachrichten, auf die zugegriffen wurde, werden ebenfalls identifiziert.
Überwachungsdatensatz 1 | Überwachungsdatensatz 2 | Überwachungsdatensatz 3 |
---|---|---|
ClientIPAddress1 SessionId2 |
ClientIPAddress2 SessionId2 |
ClientIPAddress1 SessionId3 |
InternetMessageIdA InternetMessageIdD InternetMessageIdE InternetMessageIdF |
InternetMessageIdA InternetMessageIdC |
InternetMessageIdB |
Wenn eine der in der Tabelle im vorherigen Abschnitt aufgeführten Eigenschaften unterschiedlich ist, wird ein separater Überwachungsdatensatz generiert, um den neuen Kontext zu verfolgen. Die Zugriffe werden je nach dem Kontext, in dem die Aktivität stattgefunden hat, in separate Überwachungsdatensätze sortiert.
In Überwachungsdatensätzen, die im folgenden Screenshot gezeigt werden, wird beispielsweise die Zugriffsaktivität in verschiedenen Überwachungsdatensätzen sortiert, obwohl wir gleichzeitig von EWSEditor und OWA auf E-Mails zugreifen, je nach Kontext, in dem der Zugriff stattgefunden hat. In diesem Fall wird der Kontext durch verschiedene Werte für die ClientInfoString-Eigenschaft definiert.
Dies ist die Syntax für den Befehl im vorherigen Screenshot:
Search-MailboxAuditLog -Identity admin -ShowDetails -Operations MailItemsAccessed -ResultSize 2000 | Select LastAccessed,Operation,AuditOperationsCountInAggregatedRecord,ClientInfoString