Hälytyksen luokitus epäilyttävälle sähköpostin edelleenlähetystoiminnalle
Koskee seuraavia:
- Microsoft Defender XDR
Uhkatoimijat voivat käyttää vaarantuneita käyttäjätilejä useisiin haitallisiin tarkoituksiin, kuten sähköpostiviestien lukemiseen käyttäjän Saapuneet-kansiossa, sähköpostiviestien edelleenlähtämiseen ulkoisille vastaanottajille ja tietojenkalasteluviestien lähettämiseen. Kohteena oleva käyttäjä ei ehkä tiedä, että hänen sähköpostinsa välitetään edelleen. Tämä on yleinen taktiikka, jota hyökkääjät käyttävät, kun käyttäjätilit vaarantuvat.
Sähköpostiviestejä voidaan lähettää edelleen joko manuaalisesti tai automaattisesti edelleenlähetyssääntöjen avulla. Automaattinen edelleenlähetys voidaan toteuttaa useilla eri tavoilla, kuten Saapuneet-kansion säännöt, Exchange-siirtosääntö (ETR) ja SMTP-edelleenlähetys. Manuaalinen edelleenlähetys edellyttää käyttäjiltä suoria toimia, mutta he eivät välttämättä ole tietoisia kaikista automaattisesti lähetetyistä sähköposteista. Microsoft 365:ssä ilmoitus annetaan, kun käyttäjä lähettää automaattisesti sähköpostiviestin mahdollisesti haitalliseen sähköpostiosoitteeseen.
Tämän pelikirjan avulla voit tutkia epäilyttävän sähköpostin edelleenlähetystoiminnan hälytyksiä ja luokitella ne nopeasti joko todellisiksi positiivisiksi (TP) tai epätosi-positiivisiksi (FP). Voit sitten tehdä TP-hälytyksille suositeltuja toimia hyökkäyksen korjaamiseksi.
Yleiskatsaus Microsoft Defender for Office 365 ja Microsoft Defender for Cloud Apps ilmoitusluokitteluista on johdantoartikkelissa.
Tämän pelikirjan käytön tulokset ovat seuraavat:
Automaattisesti rei'itettyihin sähköposteihin liittyvät hälytykset tunnistetaan haitallisiksi (TP) tai hyväntahtoisiksi (FP) toimiksi.
Jos se on haitallista, olet keskeytänyt sähköpostin automaattisen korjauksen niiden postilaatikoiden osalta, joihin ongelma vaikuttaa.
Suoritat tarvittavan toiminnon, jos sähköpostiviestit on välitetty haitallisiin sähköpostiosoitteihin.
Sähköpostin edelleenlähetyssäännöt
Sähköpostin edelleenlähetyssääntöjen avulla käyttäjät voivat luoda säännön, joka välittää käyttäjän postilaatikkoon lähetetyt sähköpostiviestit toisen käyttäjän postilaatikkoon organisaation sisä- tai ulkopuolella. Jotkin sähköpostin käyttäjät, erityisesti ne, joilla on useita postilaatikoita, määrittävät edelleenlähetyssäännöt, jotka siirtävät työnantajan sähköpostiviestit yksityisille sähköpostitileilleen. Sähköpostin edelleenlähetys on hyödyllinen ominaisuus, mutta se voi myös aiheuttaa tietoturvariskin tietojen mahdollisen paljastumisen vuoksi. Hyökkääjät saattavat käyttää näitä tietoja hyökätäkseen organisaatiotasi tai sen kumppaneita vastaan.
Epäilyttävä sähköpostin edelleenlähetystoiminta
Hyökkääjät saattavat määrittää sähköpostisääntöjä piilottaakseen saapuvat sähköpostit vaarantuneessa käyttäjän postilaatikossa peittääkseen käyttäjän haitalliset toimet. He saattavat myös määrittää vaarantuneessa käyttäjän postilaatikossa sääntöjä sähköpostien poistamista varten, sähköpostiviestien siirtämiseksi toiseen vähemmän huomattavaan kansioon, kuten RSS-kansioon, tai sähköpostiviestien edelleenlähettämiseksi ulkoiselle tilille.
Jotkin säännöt saattavat siirtää kaikki sähköpostiviestit toiseen kansioon ja merkitä ne luetuiksi, kun taas jotkin säännöt saattavat siirtää vain tietyt avainsanat sähköpostiviestissä tai aiheessa. Saapuneet-kansion sääntö voidaan esimerkiksi määrittää etsimään avainsanoja, kuten "lasku", "tietojenkalastelu", "älä vastaa", "epäilyttävä sähköposti" tai "roskaposti", ja siirtämään ne ulkoiselle sähköpostitilille. Hyökkääjät saattavat myös käyttää vaarantunneita käyttäjien postilaatikoita roskapostin, tietojenkalastelusähköpostien tai haittaohjelmien jakeluun.
Microsoft Defender for Office 365 voi havaita ja hälyttää epäilyttävistä sähköpostinsiirtosäännöistä, jolloin voit etsiä ja poistaa piilotettuja sääntöjä lähteestä.
Lisätietoja on näissä blogikirjoituksissa:
- Työsähköpostiratkaisu
- Yrityssähköpostin kulissien takana: toimialueidenvälisten uhkatietojen käyttäminen suuren BEC-kampanjan häiritsemiseen
Ilmoituksen tiedot
Jos haluat tarkastella Epäilyttävä sähköpostin edelleenlähetystoiminto -ilmoitusta, avaa Ilmoitukset-sivu , jossa näet Toimintaluettelo-osion . Tässä on esimerkki.
Valitse Toiminta , jos haluat tarkastella kyseisen toiminnon tietoja sivupalkissa. Tässä on esimerkki.
Tutkimustyönkulku
Kun tutkit tätä ilmoitusta, sinun on määritettävä seuraavat:
- Onko käyttäjätili ja sen postilaatikko vaarantunut?
- Ovatko toimet haitallisia?
Onko käyttäjätili ja sen postilaatikko vaarantunut?
Tarkastelemalla lähettäjän aiempaa toimintaa ja viimeaikaisia toimintoja sinun pitäisi pystyä määrittämään, pitääkö käyttäjän tiliä pitää vaarantuvana vai ei. Näet käyttäjän sivulta nostettujen ilmoitusten tiedot Microsoft Defender portaalissa.
Voit myös analysoida näitä muita toimintoja postilaatikossa, johon ongelma vaikuttaa:
Threat Explorerin avulla voit ymmärtää sähköpostiin liittyviä uhkia
- Huomaa, kuinka monta lähettäjän äskettäin lähettämää sähköpostiviestiä on havaittu tietojenkalasteluna, roskapostina tai haittaohjelmana.
- Huomaa, kuinka moni lähetetyistä sähköposteista sisältää arkaluonteisia tietoja.
Arvioi riskialtis kirjautumistoiminta Microsoft Azure-portaali.
Tarkista mahdolliset haitalliset toimet käyttäjän laitteessa.
Ovatko toimet haitallisia?
Tutki sähköpostiviestien edelleenlähetystoimintoa. Tarkista esimerkiksi sähköpostin tyyppi, tämän sähköpostiviestin vastaanottaja tai tapa, jolla sähköposti lähetetään edelleen.
Lisätietoja on seuraavissa artikkeleissa:
- Automaattisesti rei'itettyjen viestien raportti EAC:ssä
- Uusia käyttäjiä lähettämässä merkityksellisiä sähköpostiviestejä EAC:ssä
- Vaarantuneelle sähköpostitilille vastaaminen
- Ilmoita väärät positiiviset ja väärät negatiiviset tulokset Outlookissa
Tässä on työnkulku, jonka avulla voit tunnistaa epäilyttävät sähköpostin edelleenlähetystoiminnot.
Voit tutkia sähköpostin edelleenlähetyshälytyksen Threat Explorerin tai kehittyneiden metsästyskyselyiden avulla Microsoft Defender portaalin ominaisuuksien saatavuuden mukaan. Voit halutessasi seurata koko prosessia tai prosessin osaa tarpeen mukaan.
Uhkienhallinnan käyttäminen
Threat Explorer tarjoaa vuorovaikutteisen tutkimuskokemuksen sähköpostiin liittyville uhille sen määrittämiseksi, onko tämä toiminta epäilyttävää vai ei. Voit käyttää seuraavia ilmoitustietojen ilmaisimia:
SRL/RL: Käytä (epäilyttävää) vastaanottajaluetteloa (SRL) löytääksesi nämä tiedot:
- Kuka muu on lähettänyt sähköpostiviestit edelleen näille vastaanottajille?
- Kuinka monta sähköpostiviestiä näille vastaanottajille on välitetty?
- Kuinka usein sähköpostiviestejä välitetään näille vastaanottajille?
MTI: Etsi nämä tiedot viestin jäljityksen tunnuksen tai verkkoviestitunnuksen avulla:
- Mitä muita tietoja tästä sähköpostiviestistä on saatavilla? Esimerkki: aihe, palautuspolku ja aikaleima.
- Mistä tämä sähköpostiviesti on peräisin? Onko samanlaisia sähköpostiviestejä?
- Sisältääkö tämä sähköpostiviesti URL-osoitteita? Viittaako URL-osoite mihinkään luottamuksellisiin tietoihin?
- Sisältääkö sähköpostiviesti liitteitä? Sisältävätkö liitteet luottamuksellisia tietoja?
- Mihin sähköpostiviestissä ryhdyttiin? Poistettiinko se, merkittiinkö se luetuksi vai siirrettiinkö se toiseen kansioon?
- Liittyykö tähän sähköpostiin uhkia? Kuuluuko tämä sähköposti mihinkään kampanjaan?
Näiden kysymysten vastausten perusteella sinun pitäisi pystyä selvittämään, onko sähköpostiviesti haitallinen vai hyväntahtoinen.
Kehittyneet metsästyskyselyt
Jos haluat käyttää kehittyneen metsästyksen kyselyitä kerätäksesi hälytykseen liittyviä tietoja ja määrittääksesi, onko toiminto epäilyttävä, varmista, että sinulla on pääsy seuraaviin taulukoihin:
EmailEvents – Sisältää sähköpostityönkulkuun liittyviä tietoja.
EmailUrlInfo – Sisältää sähköpostiviestien URL-osoitteisiin liittyviä tietoja.
CloudAppEvents – Sisältää käyttäjän toiminnan valvontalokin.
IdentityLogonEvents – Sisältää kaikkien käyttäjien kirjautumistiedot.
Huomautus
Tietyt parametrit ovat yksilöllisiä organisaatiossasi tai verkossasi. Täytä nämä parametrit kunkin kyselyn ohjeiden mukaisesti.
Suorita tämä kysely, jos haluat selvittää, kuka muu on lähettänyt sähköpostiviestejä näille vastaanottajille (SRL/RL).
let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| distinct SenderDisplayName, SenderFromAddress, SenderObjectId
Suorita tämä kysely, niin saat selville, kuinka monta sähköpostiviestiä näille vastaanottajille lähetettiin.
let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress
Suorita tämä kysely, niin saat selville, kuinka usein sähköpostiviestejä välitetään näille vastaanottajille.
let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress, bin(Timestamp, 1d)
Suorita tämä kysely selvittääksesi, sisältääkö sähköpostiviesti URL-osoitteita.
let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailUrlInfo
| where NetworkMessageId == mti
Suorita tämä kysely selvittääksesi, sisältääkö sähköpostiviesti liitteitä.
let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailAttachmentInfo
| where NetworkMessageId == mti
Suorita tämä kysely selvittääksesi, onko lähettäjä luonut uusia sääntöjä.
let sender = "{SENDER}"; //Replace {SENDER} with display name of Forwarder
let action_types = pack_array(
"New-InboxRule",
"UpdateInboxRules",
"Set-InboxRule",
"Set-Mailbox",
"New-TransportRule",
"Set-TransportRule");
CloudAppEvents
| where AccountDisplayName == sender
| where ActionType in (action_types)
Suorita tämä kysely selvittääksesi, oliko käyttäjältä poikkeavia kirjautumistapahtumia. Esimerkki: tuntemattomat IPS:t, uudet sovellukset, harvinaiset maat/alueet, useat kirjautumisen epäonnistuneet tapahtumat.
let sender = "{SENDER}"; //Replace {SENDER} with email of the Forwarder
IdentityLogonEvents
| where AccountUpn == sender
Tutkitaan edelleenlähetyssääntöjä
Voit myös löytää epäilyttäviä edelleenlähetyssääntöjä Exchange-hallintakeskuksen avulla sääntötyypin (hälytyksen FT-arvo) perusteella.
ETR
Exchange-siirtosäännöt on lueteltu Säännöt-osassa . Varmista, että kaikki säännöt ovat odotettuja.
SMTP
Voit nähdä postilaatikon edelleenlähetyssäännöt valitsemalla lähettäjän postilaatikon > Hallitse postinkulun asetuksia > Sähköpostin edelleenlähetys > Muokkaa.
Saapuneet-kansionrule
Saapuneet-kansion säännöt määritetään sähköpostiasiakkaan kanssa. Voit käyttää Get-InboxRule PowerShellin cmdlet-komentoa käyttäjien luomien Saapuneet-kansion sääntöjen luettelemiseen.
Lisätutkimus
Tähän mennessä löydettyjen todisteiden lisäksi voit määrittää, luodaanko uusia edelleenlähetyssääntöjä. Tutki sääntöön liittyvää IP-osoitetta. Varmista, että se ei ole poikkeava IP-osoite ja että se on yhdenmukainen käyttäjän suorittamien tavanomaisten toimien kanssa.
Suositellut toiminnot
Kun olet määrittänut, että tähän hälytykseen liittyvät toiminnot tekevät tästä ilmoituksesta True-positiivisen, luokittele ilmoitus ja suorita nämä toimet korjausta varten:
Poista Saapuneet-kansion edelleenlähetyssääntö käytöstä ja poista se.
Palauta Saapuneet-kansionRule-edelleenlähetystyyppiä varten käyttäjän tilin tunnistetiedot.
SMTP- tai ETR-edelleenlähetystyypin osalta tutki hälytyksen luoneen käyttäjätilin toimintaa.
Tutki muita epäilyttäviä järjestelmänvalvojan toimia.
Palauta käyttäjätilin tunnistetiedot.
Tarkista, onko muita toimintoja peräisin tililtä, jota asia koskee, IP-osoitteista ja epäilyttävistä lähettäjistä.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Hälytysluokituksen yleiskatsaus
- Epäilyttävät Saapuneet-kansion edelleenlähetyssäännöt
- Epäilyttävät Saapuneet-kansion käsittelysäännöt
- Tutki ilmoituksia
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.