Hälytyksen luokitus epäilyttäville Saapuneet-kansion käsittelysäännöille
Koskee seuraavia:
- Microsoft Defender XDR
Uhkakäyttäjät voivat käyttää vaarantuneita käyttäjätilejä moniin haitallisiin tarkoituksiin, kuten sähköpostiviestien lukemiseen käyttäjän Saapuneet-kansiossa, Saapuneet-kansion sääntöjen luomiseen sähköpostiviestien edelleenlähtämiseksi ulkoisille tileille, jäljitysten poistamiseen ja tietojenkalasteluviestien lähettämiseen. Pahantahtoiset Saapuneet-kansion säännöt ovat yleisiä yrityssähköpostikampanjoiden (BEC) ja tietojenkalastelukampanjoiden aikana, ja niitä on tärkeää valvoa johdonmukaisesti.
Tämä pelikirja auttaa tutkimaan mahdollisia tapahtumia, jotka liittyvät hyökkääjien määrittämiin epäilyttäviin Saapuneet-kansion käsittelysääntöihin, ja ryhtymään suositeltuihin toimiin hyökkäyksen korjaamiseksi ja verkon suojaamiseksi. Tämä pelikirja on tarkoitettu suojaustiimeille, mukaan lukien tietoturvakeskuksen (SOC) analyytikoille ja IT-järjestelmänvalvojille, jotka tarkastelevat, tutkivat ja luokittelevat hälytyksiä. Voit luokitella hälytykset nopeasti joko todellisiksi positiivisiksi (TP) tai epätosi-positiivisiksi (TP) ja tehdä TP-hälytyksille suositeltuja toimia hyökkäyksen korjaamiseksi.
Tämän pelikirjan käytön tulokset ovat seuraavat:
Tunnistat Saapuneet-kansion käsittelysääntöihin liittyvät hälytykset haitallisiksi (TP) tai hyvänlaatuisiksi (FP) toimiksi.
Jos vahingollinen, poistat haitallisia Saapuneet-kansion käsittelysääntöjä.
Suoritat tarvittavan toiminnon, jos sähköpostiviestit on välitetty haitallisiin sähköpostiosoitteihin.
Saapuneet-kansion käsittelysäännöt
Saapuneet-kansion säännöt on määritetty hallitsemaan sähköpostiviestejä automaattisesti ennalta määritettyjen ehtojen perusteella. Voit esimerkiksi luoda Saapuneet-kansion säännön, joka siirtää kaikki esimiehesi viestit toiseen kansioon, tai lähettää vastaanottamiasi viestejä toiseen sähköpostiosoitteeseen.
Haitalliset Saapuneet-kansion käsittelysäännöt
Hyökkääjät saattavat määrittää sähköpostisääntöjä piilottaakseen saapuvat sähköpostit vaarantuneessa käyttäjän postilaatikossa peittääkseen käyttäjän haitalliset toimet. He saattavat myös määrittää vaarantuneessa käyttäjän postilaatikossa sääntöjä sähköpostien poistamista varten, sähköpostiviestien siirtämiseksi toiseen vähemmän huomattavaan kansioon (kuten RSS:ään) tai sähköpostien edelleenlähettämiseksi ulkoiselle tilille. Jotkin säännöt saattavat siirtää kaikki sähköpostiviestit toiseen kansioon ja merkitä ne luetuiksi, kun taas jotkin säännöt saattavat siirtää vain tietyt avainsanat sähköpostiviestissä tai aiheessa.
Saapuneet-kansion sääntö voidaan esimerkiksi määrittää etsimään avainsanoja, kuten "lasku", "tietojenkalastelu", "älä vastaa", "epäilyttävä sähköposti" tai "roskaposti", ja siirtämään ne ulkoiselle sähköpostitilille. Hyökkääjät saattavat myös käyttää vaarantunneita käyttäjien postilaatikoita roskapostin, tietojenkalastelusähköpostien tai haittaohjelmien jakeluun.
Työnkulun
Tässä on työnkulku, jonka avulla tunnistetaan epäilyttävät Saapuneet-kansion käsittelysääntöjen toimet.
Tutkimusvaiheet
Tässä osiossa on yksityiskohtaisia vaiheittaisia ohjeita tapahtumaan vastaamiseksi ja organisaatiosi suojaamiseksi uusilta hyökkäyksiltä.
1. Tarkista hälytykset
Tässä on esimerkki Saapuneet-kansion käsittelysäännön ilmoituksesta ilmoitusjonossa.
Tässä on esimerkki vahingollisen Saapuneet-kansion käsittelysäännön käynnistämän hälytyksen tiedoista.
2. Tutki Saapuneet-kansion käsittelysäännön parametrit
Selvitä, näyttävätkö säännöt epäilyttäviltä seuraavien sääntöparametrien tai ehtojen mukaisesti:
Avainsanat
Hyökkääjä saattaa käyttää käsittelysääntöä vain sähköposteihin, jotka sisältävät tiettyjä sanoja. Nämä avainsanat löytyvät tiettyjen määritteiden alta, kuten BodyContainsWords, SubjectContainsWords tai SubjectOrBodyContainsWords.
Jos suodatusta käytetään avainsanojen mukaan, tarkista, vaikuttavatko avainsanat sinusta epäilyttäviltä (yleisiä tilanteita ovat hyökkääjän toimintaan liittyvien sähköpostien suodattaminen, kuten "tietojenkalastelu", "roskaposti" ja "älä vastaa").
Jos suodatinta ei ole lainkaan, se voi olla myös epäilyttävää.
Kohdekansio
Tietoturvan tunnistamisen välttämiseksi hyökkääjä saattaa siirtää sähköpostiviestit vähemmän huomattavaan kansioon ja merkitä sähköpostit luetuksi (esimerkiksi RSS-kansio). Jos hyökkääjä suorittaa MoveToFolder- ja MarkAsRead-toimintoja, tarkista, liittyykö kohdekansio jotenkin säännön avainsanoihin, ja päätä, vaikuttaako se epäilyttävältä vai ei.
Poista kaikki
Osa hyökkääjistä poistaa vain kaikki saapuvat sähköpostit piilottaakseen toimintansa. Useimmiten sääntö "poista kaikki saapuvat sähköpostiviestit" suodattamatta niitä avainsanoilla on osoitus haitallisesta toiminnasta.
Tässä on esimerkki kaikkien saapuvien sähköpostien poistosäännön määrityksestä (kuten näkyy kyseisen tapahtumalokin RawEventData.Parameters-kohdassa).
3. Tutki IP-osoite
Tarkista SEN IP-osoitteen määritteet, jotka suorittivat sääntöjen luomisen asianmukaisen tapahtuman:
- Haku muita epäilyttäviä pilvitoimintoja varten, jotka ovat peräisin samasta IP-osoitteesta vuokraajassa. Epäilyttävä toiminta voi esimerkiksi olla useita epäonnistuneita kirjautumisyrityksiä.
- Onko IsP yleinen ja kohtuullinen tälle käyttäjälle?
- Onko sijainti yleinen ja kohtuullinen tälle käyttäjälle?
4. Tutki käyttäjän epäilyttävää toimintaa ennen sääntöjen luomista
Voit tarkastella kaikkia käyttäjien toimia ennen sääntöjen luomista, tarkistaa kompromissi-indikaattorit ja tutkia epäilyttävältä tuntuvat käyttäjän toimet.
Jos kirjaudut esimerkiksi useita epäonnistuneita kirjautumisia, tarkista:
Kirjautumistoiminta
Varmista, että sisäänkirjautumistoiminto ennen säännön luomista ei ole epäilyttävää. (yleinen sijainti / PALVELUNTARJOAJA / käyttäjäagentti).
Ilmoitukset
Tarkista, onko käyttäjä vastaanottanut ilmoituksia ennen sääntöjen luomista. Tämä voi tarkoittaa, että käyttäjätili saattaa olla vaarantunut. Esimerkiksi mahdoton matkahälytys, harvoin maa/alue, useat epäonnistuneet kirjautumiset.)
Tapaus
Tarkista, liittyykö ilmoitus muihin hälytyksiin, jotka ilmaisevat tapahtumaa. Jos näin on, tarkista, sisältääkö tapahtuma muita tosia positiivisia hälytyksiä.
Kehittyneet metsästyskyselyt
Kehittynyt metsästys on kyselypohjainen uhkien metsästystyökalu, jonka avulla voit tarkastaa verkkosi tapahtumat uhkien indikaattorien löytämiseksi.
Tämän kyselyn avulla voit etsiä kaikki uudet Saapuneet-kansion sääntötapahtumat tietyn aikaikkunan aikana.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule", "UpdateInboxRules") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
RuleConfig-sarake antaa uuden Saapuneet-kansion säännön määrityksen.
Tämän kyselyn avulla voit tarkistaa, onko isp yleinen käyttäjälle, tarkastelemalla käyttäjän historiaa.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
Tämän kyselyn avulla voit tarkistaa, onko maa tai alue yleinen käyttäjälle, katsomalla käyttäjän historiaa.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
Tämän kyselyn avulla voit tarkistaa, onko käyttäjäagentti yleinen käyttäjälle, katsomalla käyttäjän historiaa.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
Suositellut toiminnot
- Poista haitallinen Saapuneet-kansion sääntö käytöstä.
- Palauta käyttäjätilin tunnistetiedot. Voit myös tarkistaa, onko käyttäjätiliin tehty kompromisseja Microsoft Defender for Cloud Apps kanssa, mikä saa suojaussignaaleja Microsoft Entra ID -tunnuksien suojaus.
- Haku muille haitallisille toiminnoille, joita vaikutus koskee käyttäjätilillä.
- Tarkista, onko vuokraajassa muuta epäilyttävää toimintaa, joka on peräisin samasta IP-osoitteesta tai samalta IsP:ltä (jos IsP on harvinainen), löytääksesi muita vaarantuneita käyttäjätilejä.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Hälytysluokituksen yleiskatsaus
- Epäilyttävä sähköpostin edelleenlähetystoiminta
- Epäilyttävät Saapuneet-kansion edelleenlähetyssäännöt
- Tutki ilmoituksia
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.