Jaa


Hälytyksen luokitus epäilyttävälle sähköpostin edelleenlähetystoiminnalle

Koskee seuraavia:

  • Microsoft Defender XDR

Uhkatoimijat voivat käyttää vaarantuneita käyttäjätilejä useisiin haitallisiin tarkoituksiin, kuten sähköpostiviestien lukemiseen käyttäjän Saapuneet-kansiossa, sähköpostiviestien edelleenlähtämiseen ulkoisille vastaanottajille ja tietojenkalasteluviestien lähettämiseen. Kohteena oleva käyttäjä ei ehkä tiedä, että hänen sähköpostinsa välitetään edelleen. Tämä on yleinen taktiikka, jota hyökkääjät käyttävät, kun käyttäjätilit vaarantuvat.

Sähköpostiviestejä voidaan lähettää edelleen joko manuaalisesti tai automaattisesti edelleenlähetyssääntöjen avulla. Automaattinen edelleenlähetys voidaan toteuttaa useilla eri tavoilla, kuten Saapuneet-kansion säännöt, Exchange-siirtosääntö (ETR) ja SMTP-edelleenlähetys. Manuaalinen edelleenlähetys edellyttää käyttäjiltä suoria toimia, mutta he eivät välttämättä ole tietoisia kaikista automaattisesti lähetetyistä sähköposteista. Microsoft 365:ssä ilmoitus annetaan, kun käyttäjä lähettää automaattisesti sähköpostiviestin mahdollisesti haitalliseen sähköpostiosoitteeseen.

Tämän pelikirjan avulla voit tutkia epäilyttävän sähköpostin edelleenlähetystoiminnan hälytyksiä ja luokitella ne nopeasti joko todellisiksi positiivisiksi (TP) tai epätosi-positiivisiksi (FP). Voit sitten tehdä TP-hälytyksille suositeltuja toimia hyökkäyksen korjaamiseksi.

Yleiskatsaus Microsoft Defender for Office 365 ja Microsoft Defender for Cloud Apps ilmoitusluokitteluista on johdantoartikkelissa.

Tämän pelikirjan käytön tulokset ovat seuraavat:

  • Automaattisesti rei'itettyihin sähköposteihin liittyvät hälytykset tunnistetaan haitallisiksi (TP) tai hyväntahtoisiksi (FP) toimiksi.

    Jos se on haitallista, olet keskeytänyt sähköpostin automaattisen korjauksen niiden postilaatikoiden osalta, joihin ongelma vaikuttaa.

  • Suoritat tarvittavan toiminnon, jos sähköpostiviestit on välitetty haitallisiin sähköpostiosoitteihin.

Sähköpostin edelleenlähetyssäännöt

Sähköpostin edelleenlähetyssääntöjen avulla käyttäjät voivat luoda säännön, joka välittää käyttäjän postilaatikkoon lähetetyt sähköpostiviestit toisen käyttäjän postilaatikkoon organisaation sisä- tai ulkopuolella. Jotkin sähköpostin käyttäjät, erityisesti ne, joilla on useita postilaatikoita, määrittävät edelleenlähetyssäännöt, jotka siirtävät työnantajan sähköpostiviestit yksityisille sähköpostitileilleen. Sähköpostin edelleenlähetys on hyödyllinen ominaisuus, mutta se voi myös aiheuttaa tietoturvariskin tietojen mahdollisen paljastumisen vuoksi. Hyökkääjät saattavat käyttää näitä tietoja hyökätäkseen organisaatiotasi tai sen kumppaneita vastaan.

Epäilyttävä sähköpostin edelleenlähetystoiminta

Hyökkääjät saattavat määrittää sähköpostisääntöjä piilottaakseen saapuvat sähköpostit vaarantuneessa käyttäjän postilaatikossa peittääkseen käyttäjän haitalliset toimet. He saattavat myös määrittää vaarantuneessa käyttäjän postilaatikossa sääntöjä sähköpostien poistamista varten, sähköpostiviestien siirtämiseksi toiseen vähemmän huomattavaan kansioon, kuten RSS-kansioon, tai sähköpostiviestien edelleenlähettämiseksi ulkoiselle tilille.

Jotkin säännöt saattavat siirtää kaikki sähköpostiviestit toiseen kansioon ja merkitä ne luetuiksi, kun taas jotkin säännöt saattavat siirtää vain tietyt avainsanat sähköpostiviestissä tai aiheessa. Saapuneet-kansion sääntö voidaan esimerkiksi määrittää etsimään avainsanoja, kuten "lasku", "tietojenkalastelu", "älä vastaa", "epäilyttävä sähköposti" tai "roskaposti", ja siirtämään ne ulkoiselle sähköpostitilille. Hyökkääjät saattavat myös käyttää vaarantunneita käyttäjien postilaatikoita roskapostin, tietojenkalastelusähköpostien tai haittaohjelmien jakeluun.

Microsoft Defender for Office 365 voi havaita ja hälyttää epäilyttävistä sähköpostinsiirtosäännöistä, jolloin voit etsiä ja poistaa piilotettuja sääntöjä lähteestä.

Lisätietoja on näissä blogikirjoituksissa:

Ilmoituksen tiedot

Jos haluat tarkastella Epäilyttävä sähköpostin edelleenlähetystoiminto -ilmoitusta, avaa Ilmoitukset-sivu , jossa näet Toimintaluettelo-osion . Tässä on esimerkki.

Luettelo ilmoitukseen liittyvistä toiminnoista

Valitse Toiminta , jos haluat tarkastella kyseisen toiminnon tietoja sivupalkissa. Tässä on esimerkki.

Aktiviteetin tiedot

Tutkimustyönkulku

Kun tutkit tätä ilmoitusta, sinun on määritettävä seuraavat:

  • Onko käyttäjätili ja sen postilaatikko vaarantunut?
  • Ovatko toimet haitallisia?

Onko käyttäjätili ja sen postilaatikko vaarantunut?

Tarkastelemalla lähettäjän aiempaa toimintaa ja viimeaikaisia toimintoja sinun pitäisi pystyä määrittämään, pitääkö käyttäjän tiliä pitää vaarantuvana vai ei. Näet käyttäjän sivulta nostettujen ilmoitusten tiedot Microsoft Defender portaalissa.

Voit myös analysoida näitä muita toimintoja postilaatikossa, johon ongelma vaikuttaa:

  • Threat Explorerin avulla voit ymmärtää sähköpostiin liittyviä uhkia

    • Huomaa, kuinka monta lähettäjän äskettäin lähettämää sähköpostiviestiä on havaittu tietojenkalasteluna, roskapostina tai haittaohjelmana.
    • Huomaa, kuinka moni lähetetyistä sähköposteista sisältää arkaluonteisia tietoja.
  • Arvioi riskialtis kirjautumistoiminta Microsoft Azure-portaali.

  • Tarkista mahdolliset haitalliset toimet käyttäjän laitteessa.

Ovatko toimet haitallisia?

Tutki sähköpostiviestien edelleenlähetystoimintoa. Tarkista esimerkiksi sähköpostin tyyppi, tämän sähköpostiviestin vastaanottaja tai tapa, jolla sähköposti lähetetään edelleen.

Lisätietoja on seuraavissa artikkeleissa:

Tässä on työnkulku, jonka avulla voit tunnistaa epäilyttävät sähköpostin edelleenlähetystoiminnot.

Ilmoitusten tutkintatyönkulku sähköpostiviestien edelleenlähetystä varten

Voit tutkia sähköpostin edelleenlähetyshälytyksen Threat Explorerin tai kehittyneiden metsästyskyselyiden avulla Microsoft Defender portaalin ominaisuuksien saatavuuden mukaan. Voit halutessasi seurata koko prosessia tai prosessin osaa tarpeen mukaan.

Uhkienhallinnan käyttäminen

Threat Explorer tarjoaa vuorovaikutteisen tutkimuskokemuksen sähköpostiin liittyville uhille sen määrittämiseksi, onko tämä toiminta epäilyttävää vai ei. Voit käyttää seuraavia ilmoitustietojen ilmaisimia:

  • SRL/RL: Käytä (epäilyttävää) vastaanottajaluetteloa (SRL) löytääksesi nämä tiedot:

    Esimerkki vastaanottajaluettelosta

    • Kuka muu on lähettänyt sähköpostiviestit edelleen näille vastaanottajille?
    • Kuinka monta sähköpostiviestiä näille vastaanottajille on välitetty?
    • Kuinka usein sähköpostiviestejä välitetään näille vastaanottajille?
  • MTI: Etsi nämä tiedot viestin jäljityksen tunnuksen tai verkkoviestitunnuksen avulla:

    Esimerkki verkon viestitunnuksesta

    • Mitä muita tietoja tästä sähköpostiviestistä on saatavilla? Esimerkki: aihe, palautuspolku ja aikaleima.
    • Mistä tämä sähköpostiviesti on peräisin? Onko samanlaisia sähköpostiviestejä?
    • Sisältääkö tämä sähköpostiviesti URL-osoitteita? Viittaako URL-osoite mihinkään luottamuksellisiin tietoihin?
    • Sisältääkö sähköpostiviesti liitteitä? Sisältävätkö liitteet luottamuksellisia tietoja?
    • Mihin sähköpostiviestissä ryhdyttiin? Poistettiinko se, merkittiinkö se luetuksi vai siirrettiinkö se toiseen kansioon?
    • Liittyykö tähän sähköpostiin uhkia? Kuuluuko tämä sähköposti mihinkään kampanjaan?

Näiden kysymysten vastausten perusteella sinun pitäisi pystyä selvittämään, onko sähköpostiviesti haitallinen vai hyväntahtoinen.

Kehittyneet metsästyskyselyt

Jos haluat käyttää kehittyneen metsästyksen kyselyitä kerätäksesi hälytykseen liittyviä tietoja ja määrittääksesi, onko toiminto epäilyttävä, varmista, että sinulla on pääsy seuraaviin taulukoihin:

  • EmailEvents – Sisältää sähköpostityönkulkuun liittyviä tietoja.

  • EmailUrlInfo – Sisältää sähköpostiviestien URL-osoitteisiin liittyviä tietoja.

  • CloudAppEvents – Sisältää käyttäjän toiminnan valvontalokin.

  • IdentityLogonEvents – Sisältää kaikkien käyttäjien kirjautumistiedot.

Huomautus

Tietyt parametrit ovat yksilöllisiä organisaatiossasi tai verkossasi. Täytä nämä parametrit kunkin kyselyn ohjeiden mukaisesti.

Suorita tämä kysely, jos haluat selvittää, kuka muu on lähettänyt sähköpostiviestejä näille vastaanottajille (SRL/RL).

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| distinct SenderDisplayName, SenderFromAddress, SenderObjectId

Suorita tämä kysely, niin saat selville, kuinka monta sähköpostiviestiä näille vastaanottajille lähetettiin.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress

Suorita tämä kysely, niin saat selville, kuinka usein sähköpostiviestejä välitetään näille vastaanottajille.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress, bin(Timestamp, 1d)

Suorita tämä kysely selvittääksesi, sisältääkö sähköpostiviesti URL-osoitteita.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailUrlInfo
| where NetworkMessageId == mti

Suorita tämä kysely selvittääksesi, sisältääkö sähköpostiviesti liitteitä.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailAttachmentInfo
| where NetworkMessageId == mti

Suorita tämä kysely selvittääksesi, onko lähettäjä luonut uusia sääntöjä.

let sender = "{SENDER}"; //Replace {SENDER} with display name of Forwarder
let action_types = pack_array(
    "New-InboxRule",
    "UpdateInboxRules",
    "Set-InboxRule",
    "Set-Mailbox",
    "New-TransportRule",
    "Set-TransportRule");
CloudAppEvents
| where AccountDisplayName == sender
| where ActionType in (action_types)

Suorita tämä kysely selvittääksesi, oliko käyttäjältä poikkeavia kirjautumistapahtumia. Esimerkki: tuntemattomat IPS:t, uudet sovellukset, harvinaiset maat/alueet, useat kirjautumisen epäonnistuneet tapahtumat.

let sender = "{SENDER}"; //Replace {SENDER} with email of the Forwarder
IdentityLogonEvents
| where AccountUpn == sender

Tutkitaan edelleenlähetyssääntöjä

Voit myös löytää epäilyttäviä edelleenlähetyssääntöjä Exchange-hallintakeskuksen avulla sääntötyypin (hälytyksen FT-arvo) perusteella.

  • ETR

    Exchange-siirtosäännöt on lueteltu Säännöt-osassa . Varmista, että kaikki säännöt ovat odotettuja.

  • SMTP

    Voit nähdä postilaatikon edelleenlähetyssäännöt valitsemalla lähettäjän postilaatikon > Hallitse postinkulun asetuksia > Sähköpostin edelleenlähetys > Muokkaa.

  • Saapuneet-kansionrule

    Saapuneet-kansion säännöt määritetään sähköpostiasiakkaan kanssa. Voit käyttää Get-InboxRule PowerShellin cmdlet-komentoa käyttäjien luomien Saapuneet-kansion sääntöjen luettelemiseen.

Lisätutkimus

Tähän mennessä löydettyjen todisteiden lisäksi voit määrittää, luodaanko uusia edelleenlähetyssääntöjä. Tutki sääntöön liittyvää IP-osoitetta. Varmista, että se ei ole poikkeava IP-osoite ja että se on yhdenmukainen käyttäjän suorittamien tavanomaisten toimien kanssa.

Kun olet määrittänut, että tähän hälytykseen liittyvät toiminnot tekevät tästä ilmoituksesta True-positiivisen, luokittele ilmoitus ja suorita nämä toimet korjausta varten:

  1. Poista Saapuneet-kansion edelleenlähetyssääntö käytöstä ja poista se.

  2. Palauta Saapuneet-kansionRule-edelleenlähetystyyppiä varten käyttäjän tilin tunnistetiedot.

  3. SMTP- tai ETR-edelleenlähetystyypin osalta tutki hälytyksen luoneen käyttäjätilin toimintaa.

    • Tutki muita epäilyttäviä järjestelmänvalvojan toimia.

    • Palauta käyttäjätilin tunnistetiedot.

  4. Tarkista, onko muita toimintoja peräisin tililtä, jota asia koskee, IP-osoitteista ja epäilyttävistä lähettäjistä.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.