Clasificación de alertas para la actividad sospechosa de reenvío de correo electrónico

Se aplica a:

• Microsoft Defender XDR

Los actores de amenazas pueden usar cuentas de usuario en peligro para varios propósitos malintencionados, como leer correos electrónicos en la bandeja de entrada de un usuario, reenviar correos electrónicos a destinatarios externos y enviar correos de phishing, entre otros. Es posible que el usuario de destino no sea consciente de que se están reenviando sus correos electrónicos. Se trata de una táctica común que los atacantes usan cuando las cuentas de usuario están en peligro.

Los correos electrónicos se pueden reenviar manualmente o automáticamente mediante reglas de reenvío. El reenvío automático se puede implementar de varias maneras, como reglas de bandeja de entrada, regla de transporte de Exchange (ETR) y reenvío SMTP. Aunque el reenvío manual requiere la acción directa de los usuarios, es posible que no tengan en cuenta todos los correos electrónicos autoforwarded. En Microsoft 365, se genera una alerta cuando un usuario envía automáticamente un correo electrónico a una dirección de correo electrónico potencialmente malintencionada.

Este cuaderno de estrategias le ayuda a investigar alertas sospechosas de actividad de reenvío de Email y a calificarlas rápidamente como un verdadero positivo (TP) o un falso positivo (FP). A continuación, puede realizar las acciones recomendadas para que las alertas de TP corrijan el ataque.

Para obtener información general sobre las clasificaciones de alertas para Microsoft Defender para Office 365 y Microsoft Defender for Cloud Apps, consulte el artículo de introducción.

Los resultados del uso de este cuaderno de estrategias son:

• Las alertas asociadas a los correos electrónicos autoforwarded se identifican como actividades malintencionadas (TP) o benignas (FP).

  Si es malintencionado, ha detenido el reenvío automático de correo electrónico para los buzones afectados.

• Realice la acción necesaria si los correos electrónicos se reenvían a una dirección de correo electrónico malintencionada.

reglas de reenvío de Email

Email reglas de reenvío permiten a los usuarios crear una regla para reenviar mensajes de correo electrónico enviados al buzón de correo de un usuario al buzón de otro usuario dentro o fuera de la organización. Algunos usuarios de correo electrónico, especialmente los que tienen varios buzones, configuran reglas de reenvío para mover los correos electrónicos del empleador a sus cuentas de correo electrónico privadas. Email reenvío es una característica útil, pero también puede suponer un riesgo para la seguridad debido a la posible divulgación de información. Los atacantes pueden usar esta información para atacar a su organización o a sus asociados.

Actividad de reenvío de correo electrónico sospechoso

Los atacantes pueden configurar reglas de correo electrónico para ocultar los correos electrónicos entrantes en el buzón de usuario en peligro para ocultar sus actividades malintencionadas al usuario. También pueden establecer reglas en el buzón de usuario en peligro para eliminar correos electrónicos, mover los correos electrónicos a otra carpeta menos notable, como una carpeta RSS, o reenviar correos electrónicos a una cuenta externa.

Algunas reglas pueden mover todos los correos electrónicos a otra carpeta y marcarlos como "leídos", mientras que algunas reglas pueden mover solo los correos que contienen palabras clave específicas en el mensaje de correo electrónico o asunto. Por ejemplo, la regla de bandeja de entrada podría establecerse para buscar palabras clave como "factura", "phish", "no responder", "correo electrónico sospechoso" o "correo no deseado", entre otras, y moverlas a una cuenta de correo electrónico externa. Los atacantes también pueden usar el buzón de usuario en peligro para distribuir correo no deseado, correos electrónicos de suplantación de identidad (phishing) o malware.

Microsoft Defender para Office 365 puede detectar y alertar sobre reglas de reenvío de correo electrónico sospechosas, lo que le permite buscar y eliminar reglas ocultas en el origen.

Para obtener más información, vea estas entradas de blog:

• Compromiso de Email empresarial
• En segundo plano del riesgo de correo electrónico empresarial: uso de datos de amenazas entre dominios para interrumpir una campaña de BEC grande

Detalles de la alerta

Para revisar la alerta Actividad de reenvío de Email sospechosa, abra la página Alertas para ver la sección Lista de actividad. Por ejemplo:

Seleccione Actividad para ver los detalles de esa actividad en la barra lateral. Por ejemplo:

Flujo de trabajo de investigación

Al investigar esta alerta, debe determinar lo siguiente:

• ¿Está en peligro la cuenta de usuario y su buzón de correo?
• ¿Las actividades son malintencionadas?

¿Está en peligro la cuenta de usuario y su buzón de correo?

Al examinar el comportamiento pasado del remitente y las actividades recientes, debe ser capaz de determinar si la cuenta del usuario debe considerarse en peligro o no. Puede ver los detalles de las alertas que se generan desde la página del usuario en el portal de Microsoft Defender.

También puede analizar estas otras actividades para el buzón afectado:

• Uso del Explorador de amenazas para comprender las amenazas relacionadas con el correo electrónico

  • Observe cuántos de los correos electrónicos recientes enviados por el remitente se detectan como phish, spam o malware.
  • Observe cuántos de los correos electrónicos enviados contienen información confidencial.

• Evalúe el comportamiento de inicio de sesión de riesgo en microsoft Azure Portal.

• Compruebe si hay actividades malintencionadas en el dispositivo del usuario.

¿Las actividades son malintencionadas?

Investigue la actividad de reenvío de correo electrónico. Por ejemplo, compruebe el tipo de correo electrónico, el destinatario de este correo electrónico o la manera en que se reenvía el correo electrónico.

Para más información, consulte los siguientes artículos:

• Informe de mensajes autoforwarded en el EAC
• Nuevos usuarios que reenvía información de correo electrónico en el EAC
• Responder a una cuenta de correo electrónico en peligro
• Informar de falsos positivos y falsos negativos en Outlook

Este es el flujo de trabajo para identificar actividades sospechosas de reenvío de correo electrónico.

Puede investigar una alerta de reenvío de correo electrónico mediante el Explorador de amenazas o con consultas de búsqueda avanzadas, en función de la disponibilidad de las características en el portal de Microsoft Defender. Puede elegir seguir todo el proceso o una parte del proceso según sea necesario.

Uso del Explorador de amenazas

El Explorador de amenazas proporciona una experiencia de investigación interactiva para las amenazas relacionadas con el correo electrónico para determinar si esta actividad es sospechosa o no. Puede usar los siguientes indicadores de la información de alerta:

• SRL/RL: use la lista de destinatarios (SRL) (sospechosos) para encontrar estos detalles:

  

  • ¿Quién más ha reenviado correos electrónicos a estos destinatarios?
  • ¿Cuántos correos electrónicos se han reenviado a estos destinatarios?
  • ¿Con qué frecuencia se reenvía un correo electrónico a estos destinatarios?

• MTI: use el identificador de seguimiento de mensajes o el identificador de mensaje de red para encontrar estos detalles:

  

  • ¿Qué otros detalles están disponibles para este correo electrónico? Por ejemplo: asunto, ruta de acceso de retorno y marca de tiempo.
  • ¿Cuál es el origen de este correo electrónico? ¿Hay correos electrónicos similares?
  • ¿Contiene este correo electrónico alguna dirección URL? ¿La dirección URL apunta a datos confidenciales?
  • ¿El correo electrónico contiene datos adjuntos? ¿Los datos adjuntos contienen información confidencial?
  • ¿Cuál fue la acción realizada en el correo electrónico? ¿Se eliminó, se marcó como leído o se movió a otra carpeta?
  • ¿Hay alguna amenaza asociada a este correo electrónico? ¿Este correo electrónico forma parte de alguna campaña?

En función de las respuestas a estas preguntas, debe ser capaz de determinar si un correo electrónico es malintencionado o benigno.

Consultas de búsqueda avanzadas

Para usar consultas de búsqueda avanzadas para recopilar información relacionada con una alerta y determinar si la actividad es sospechosa o no, asegúrese de que tiene acceso a las tablas siguientes:

• EmailEvents: contiene información relacionada con el flujo de correo electrónico.

• EmailUrlInfo: contiene información relacionada con las direcciones URL de los correos electrónicos.

• CloudAppEvents: contiene el registro de auditoría de las actividades del usuario.

• IdentityLogonEvents: contiene información de inicio de sesión para todos los usuarios.

Nota:

Algunos parámetros son únicos para su organización o red. Rellene estos parámetros específicos como se indica en cada consulta.

Ejecute esta consulta para averiguar quién más ha reenviado correos electrónicos a estos destinatarios (SRL/RL).

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| distinct SenderDisplayName, SenderFromAddress, SenderObjectId

Ejecute esta consulta para averiguar cuántos correos electrónicos se han reenviado a estos destinatarios.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress

Ejecute esta consulta para averiguar con qué frecuencia se reenvía correos electrónicos a estos destinatarios.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress, bin(Timestamp, 1d)

Ejecute esta consulta para averiguar si el correo electrónico contiene direcciones URL.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailUrlInfo
| where NetworkMessageId == mti

Ejecute esta consulta para averiguar si el correo electrónico contiene datos adjuntos.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailAttachmentInfo
| where NetworkMessageId == mti

Ejecute esta consulta para averiguar si el reenviador (remitente) ha creado nuevas reglas.

let sender = "{SENDER}"; //Replace {SENDER} with display name of Forwarder
let action_types = pack_array(
    "New-InboxRule",
    "UpdateInboxRules",
    "Set-InboxRule",
    "Set-Mailbox",
    "New-TransportRule",
    "Set-TransportRule");
CloudAppEvents
| where AccountDisplayName == sender
| where ActionType in (action_types)

Ejecute esta consulta para averiguar si había eventos de inicio de sesión anómalos de este usuario. Por ejemplo: direcciones IP desconocidas, nuevas aplicaciones, países o regiones poco comunes, varios eventos LogonFailed.

let sender = "{SENDER}"; //Replace {SENDER} with email of the Forwarder
IdentityLogonEvents
| where AccountUpn == sender

Investigación de reglas de reenvío

También puede encontrar reglas de reenvío sospechosas mediante el Centro de administración de Exchange, en función del tipo de regla (el valor FT de la alerta).

• ETR

  Las reglas de transporte de Exchange se enumeran en la sección Reglas . Compruebe que todas las reglas son las esperadas.

• SMTP

  Para ver las reglas de reenvío de buzones, seleccione el buzón > del remitente Administrar la configuración > del flujo de correo Email editar el > reenvío.

• InboxRule

  Las reglas de bandeja de entrada se configuran con el cliente de correo electrónico. Puede usar el cmdlet Get-InboxRule de PowerShell para enumerar las reglas de bandeja de entrada creadas por los usuarios.

Investigación adicional

Junto con la evidencia detectada hasta ahora, puede determinar si se están creando nuevas reglas de reenvío. Investigue la dirección IP asociada a la regla. Asegúrese de que no es una dirección IP anómala y que es coherente con las actividades habituales realizadas por el usuario.

Acciones recomendadas

Una vez que determine que las actividades asociadas convierten esta alerta en True Positive, clasifique la alerta y realice estas acciones para la corrección:

1. Deshabilite y elimine la regla de reenvío de bandeja de entrada.

2. Para el tipo de reenvío InboxRule, restablezca las credenciales de la cuenta del usuario.

3. Para el tipo de reenvío SMTP o ETR, investigue las actividades de la cuenta de usuario que creó la alerta.

   • Investigue cualquier otra actividad de administración sospechosa.

   • Restablezca las credenciales de la cuenta de usuario.

4. Compruebe si hay otras actividades originadas en cuentas afectadas, direcciones IP y remitentes sospechosos.

Consulte también

• Introducción a la clasificación de alertas
• Reglas del reenvío sospechoso desde la bandeja de entrada
• Reglas sospechosas de manipulación de la bandeja de entrada
• Investigar alertas

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.