Utiliser MailItemsAccessed pour examiner les comptes compromis
Un compte d’utilisateur compromis (également appelé prise de contrôle de compte) est un type d’attaque permettant à une personne malveillante d’accéder à un compte utilisateur et d'agir à sa place. Ces types d’attaques peuvent parfois occasionner des dommages plus importants que ceux que la personne malveillante a initialement prévu. Lors de l'analyse de comptes de messagerie compromis, considérez que beaucoup plus de données de courrier sont compromises par rapport à ce qui peut être indiqué en suivant la présence réelle de l’attaquant. Selon le type de données figurant dans les messages électroniques, vous devez supposer que les informations sensibles ont été compromises, ou font face à des sanctions pour infraction à un règlement, sauf si vous pouvez prouver que les informations sensibles n’ont pas été exposées. Par exemple, les organisations réglementées par le HIPAA sont confrontées à des amendes importantes s’il s'avère que des informations sur la santé des patients ont été exposées. Dans ces cas, il est peu probable que les personnes malveillantes s'intéressent aux dossiers contenant des renseignements médicaux protégés (PHI), mais les organisations doivent tout de même signaler les violations de données, sauf si elles peuvent prouver le cas contraire.
Pour faciliter votre enquête sur des comptes de courrier compromis, nous auditons désormais les accès aux données de messages par protocoles de courrier et clients avec l’action d’audit de boîte aux lettres MailItemsAccessed. Cette nouvelle action auditée aide les enquêteurs à mieux comprendre les violations de données de messagerie et vous aide à identifier l’étendue des compromissions à des éléments de courrier spécifiques susceptibles d’être compromis. L’objectif de l’utilisation de cette nouvelle action d’audit est la défensibilité de l’investigation pour aider à affirmer qu’un élément spécifique de données de courrier n’a pas été compromis. Si un attaquant a obtenu l’accès à un message spécifique, Exchange Online audite l’événement même s’il n’y a aucune indication que l’élément de courrier a été lu.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’essais du portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Action d’audit de boîte aux lettres MailItemsAccessed
L’action MailItemsAccessed fait partie de la fonctionnalité Audit (Standard). Il fait partie de l’audit de boîte aux lettres Exchange et est activé par défaut pour les utilisateurs auxquels une licence Office 365 E3/E5 ou Microsoft 365 E3/E5 est affectée.
L’action d’audit de boîte aux lettres MailItemsAccessed englobe tous les protocoles de messagerie : POP, IMAP, MAPI, EWS, Exchange ActiveSync et REST. Il prend en charge également les deux types d’accès aux courriers : synchronisation et liaison.
Audit de l’accès à la synchronisation
Les opérations de synchronisation sont uniquement enregistrées lorsqu’une boîte aux lettres est consultée par une version de bureau du client Outlook pour Windows ou Mac. Pendant l’opération de synchronisation, ces clients téléchargent généralement un grand nombre de courriers du cloud vers un ordinateur local. Le volume d’audit pour les opérations de synchronisation est important. Par conséquent, au lieu de générer un enregistrement d’audit pour chaque élément de courrier synchronisé, nous générons un événement d’audit pour le dossier de messagerie contenant des éléments synchronisés et supposons que tous les éléments de courrier du dossier synchronisé ont été compromis. Le type d’accès est enregistré dans le champ OperationProperties de l’enregistrement d’audit.
Pour consulter un exemple d’affichage du type d’accès à la synchronisation dans un enregistrement d’audit, voir l’étape 2 de la section Utiliser les enregistrements d’audit MailItemsAccessed pour des investigations criminalistiques.
Audit de l’accès liaison
Une opération de liaison consiste en un accès individuel à un message électronique. Pour l’accès de liaison, l’InternetMessageId des messages individuels est enregistré dans l’enregistrement d’audit. L’action d’audit MailItemsAccessed enregistre les opérations de liaison, puis les rassemble dans un seul enregistrement d’audit. Toutes les opérations de liaison effectuées au cours d’un intervalle de deux minutes sont regroupées dans un seul enregistrement d’audit dans le champ Dossiers de la propriété AuditData. Les messages consultés sont identifiés par leur InternetMessageId. Le nombre d’opérations de liaison regroupées dans l’enregistrement s’affiche dans le champ OperationCount de la propriété AuditData.
Pour consulter un exemple d’affichage du type d’accès à la liaison dans un enregistrement d’audit, voir l’étape 4 de la section Utiliser les enregistrements d’audit MailItemsAccessed pour des investigations criminalistiques.
Limitation des enregistrements d’audit MailItemsAccessed
Si plus de 1 000 enregistrements d’audit MailItemsAccessed sont générés en moins de 24 heures, Exchange Online cesse de générer des enregistrements d’audit pour l’activité MailItemsAccessed. Lorsqu’une boîte aux lettres est limitée, l’activité MailItemsAccessed n’est pas journalisée pendant 24 heures après la limitation de la boîte aux lettres. Si la boîte aux lettres a été limitée, il est possible que cette boîte aux lettres ait été compromise pendant cette période. L’enregistrement de l’activité MailItemsAccessed reprend après un délai de 24 heures.
Voici quelques éléments à se rappeler sur la limitation :
- Moins de 1 % des boîtes aux lettres sont limitées dans Exchange Online
- Lorsqu’une boîte aux lettres est limitée, seuls les enregistrements d’audit pour l’activité MailItemsAccessed ne sont pas audités. Les autres actions d’audit de boîtes aux lettres ne sont pas concernées.
- Les boîtes aux lettres sont uniquement limitées pour les opérations de liaison. Les enregistrements d’audit pour les opérations de synchronisation ne sont pas limités.
- Si une boîte aux lettres est limitée, vous pouvez considérer qu’une activité MailItemsAccessed n’a pas été enregistrée dans les journaux d’audit.
Pour consulter un exemple d’affichage de la propriété IsThrottled dans un enregistrement d’audit, voir l’étape 1 de la section Utiliser les enregistrements d’audit MailItemsAccessed pour des investigations criminalistiques.
Utiliser les enregistrements d’audit MailItemsAccessed pour des enquêtes légales
L’audit de boîte aux lettres génère des enregistrements d’audit pour l’accès aux courriers afin d'être certain que les messages n’ont pas été compromis. En conséquence, si des circonstances ne permettent pas d'affirmer qu'un accès aux données a eu lieu, nous supposons qu'il s'est produit en enregistrant toute l'activité d'accès au courrier.
L'enregistrement à l'aide d’audit MailItemsAccessed à des fins d’enquête légale est généralement effectué après la résolution d’une violation de données et l'éviction de la personne malveillante. Pour commencer votre investigation, vous devez identifier l’ensemble des boîtes aux lettres qu’elles ont été compromises et déterminer la période pendant laquelle l’attaquant a eu accès aux boîtes aux lettres de votre organisation. Puis vous pouvez utiliser les applets de commande Search-UnifiedAuditLog ou Search-MailboxAuditLog dans Exchange Online PowerShell pour rechercher les enregistrements d’audit correspondant à la violation de données.
Vous pouvez exécuter l’une des commandes suivantes pour rechercher les enregistrements d’audit MailItemsAccessed :
Journal d'audit unifié :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000
Journal d'audit de boîte aux lettres :
Search-MailboxAuditLog -Identity <user> -StartDate 01/06/2020 -EndDate 01/20/2020 -Operations MailItemsAccessed -ResultSize 1000 -ShowDetails
Conseil
La principale différence entre ces deux applets de commande est que vous pouvez utiliser l’applet de commande Search-UnifiedAuditLog pour rechercher des enregistrements d’audit pour l’activité effectuée par un ou plusieurs utilisateurs. La raison est que UserIds est un paramètre à valeurs multiples. L’applet de commande Search-MailboxAuditLogfait une recherche dans le journal d’audit de boîtes aux lettres d'un utilisateur unique.
Voici les étapes à suivre pour utiliser les enregistrements d’audit MailItemsAccessed afin d'enquêter sur l'attaque d'un utilisateur compromis. Chacune de ces étapes présente la syntaxe de commande pour les applets de commande Search-UnifiedAuditLog ou MailboxAuditLog.
Vérifiez si la boîte aux lettres a été limitée. Si c’est le cas, cela signifie que certains enregistrements d’audit de boîte aux lettres n’auraient pas été enregistrés. Dans le cas où « IsThrottled » est « True » dans tous les enregistrements d’audit, vous devez supposer que pendant une période de 24 heures après la génération de cet enregistrement, tout accès à la boîte aux lettres n’a pas été audité et que toutes les données de courrier ont été compromises.
Pour effectuer la recherche des enregistrements MailItemsAccessed dans lesquels la boîte aux lettres a été limitée, exécutez la commande suivante :
Journal d'audit unifié :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL
Journal d'audit de boîte aux lettres :
Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*IsThrottled:True*"} | FL
Vérifier les activités de synchronisation. Si une personne malveillante utilise un client de courrier pour télécharger les messages d'une boîte aux lettres, il peut déconnecter l’ordinateur d’internet et accéder aux messages en local sans interagir avec le serveur. Dans ce cas, l’audit de boîte aux lettres ne serait pas en mesure d’auditer ces activités.
Pour effectuer la recherche des enregistrements MailItemsAccessed dans lesquels les courriers ont été consultés par une opération de synchronisation, exécutez la commande suivante :
Journal d'audit unifié :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FL
Journal d'audit de boîte aux lettres :
Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*MailAccessType:Sync*"} | FL
Vérifiez les activités de synchronisation pour déterminer si l’une d'entre elles s’est produite dans le même contexte que celle utilisée par l’attaquant qui a accédé à la boîte aux lettres. Le contexte est identifié et peut être distingué par l’adresse IP de l’ordinateur client utilisé pour accéder à la boîte aux lettres et au protocole de courrier. Pour plus d’informations, voir la section Identification des contextes d’accès à d’autres enregistrements d’audit.
Utilisez les propriétés répertoriées ci-dessous pour effectuer votre enquête. Ces propriétés sont situées dans la propriété AuditData ou OperationProperties. Si l’une des synchronisations se produit dans le même contexte que l’activité de la personne malveillante, vous devez supposer que l’attaquant a synchronisé tous les éléments de courrier vers leur client, ce qui signifie que la boîte aux lettres entière a probablement été compromise.
Propriété | Description |
---|---|
ClientInfoString | Décrit le protocole, le client (inclut la version). |
ClientIPAddress | Adresse IP de l’ordinateur client. |
SessionId | L’ID de session permet de différencier les actions de l’attaquant et les activités quotidiennes des utilisateurs sur le même compte (utile pour les comptes compromis) |
UserId | Nom d’utilisateur principal (UPN) de l’utilisateur lisant le message. |
Vérifier les activités de liaison. Après avoir suivi les étapes 2 et 3, vous êtes certain que tous les autres accès aux courriers électroniques par l’attaquant sont enregistrés dans les enregistrements d’audit MailItemsAccessed ayant une propriété MailAccessType avec la valeur « Liaison ».
Pour effectuer la recherche des enregistrements MailItemsAccessed dans lesquels les courriers ont été consultés par une opération de liaison, exécutez la commande suivante.
Journal d'audit unifié :
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FL
Journal d'audit de boîte aux lettres :
Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*MailAccessType:Bind*"} | FL
Les messages électroniques qui ont été consultés sont identifiés par leur ID de message Internet. Vous pouvez également vérifier si les enregistrements d’audit ont le même contexte que celui d’une autre activité de l’attaquant. Pour plus d’informations, voir la section Identification des contextes d’accès à d’autres enregistrements d’audit.
Vous pouvez utiliser les données d’audit pour les opérations de liaison de deux façon différentes :
- Accéder ou recueillir tous les courriers électroniques auxquels la personne malveillante a eu accès en utilisant l’InternetMessageId pour les retrouver, puis vérifiez si l’un de ces messages contient des informations sensibles.
- Utilisez l’InternetMessageId pour rechercher des enregistrements d’audit relatifs à un groupe de courriers électroniques potentiellement sensibles. Cela est utile si vous ne vous souciez que de quelques messages.
Filtrage des enregistrements d’audit dupliqués
Les enregistrements d’audit dupliqués pour les mêmes opérations de liaison qui se produisent au cours de la même heure sont filtrés pour supprimer les bruits d’audit. Les opérations de synchronisation sont également filtrées à intervalles d’une heure. L’exception à ce processus de déduplication se produit si, pour le même InternetMessageId, l’une des propriétés décrites dans le tableau suivant est différente. Si l’une de ces propriétés est différente dans une opération de duplication, un nouvel enregistrement d’audit est généré. Ce processus est décrit en détail dans la section suivante.
Propriété | Description |
---|---|
ClientIPAddress | Adresse IP de l’ordinateur client. |
ClientInfoString | Protocole client, client utilisé pour accéder à la boîte aux lettres. |
ParentFolder | Le chemin d’accès complet du dossier de l’élément de courrier qui a été consulté. |
Logon_type | Type de connexion de l'utilisateur qui a réalisé l'opération. Les types de connexion (et leur valeur enum correspondante) sont propriétaire (0), administrateur (1) ou délégué (2). |
MailAccessType | Si l’accès est une liaison ou une opération de synchronisation. |
MailboxUPN | Nom d’utilisateur principal (UPN) de la boîte aux lettres dans laquelle se trouve le message lu. |
Utilisateur | Nom d’utilisateur principal (UPN) de l’utilisateur lisant le message. |
SessionId | L’ID de session permet de différencier les actions de l’attaquant et les activités quotidiennes des utilisateurs dans la même boîte aux lettres (en cas de compromission de compte) Pour plus d’informations sur les sessions, consultez Contextualisation de l’activité de l’attaquant dans les sessions dans Exchange Online. |
Identification des contextes d'accès des différents enregistrements d'audit
Il est fréquent qu’un attaquant puisse accéder à une boîte aux lettres en même temps que le propriétaire de la boîte aux lettres y accède. Pour différencier l’accès par la personne malveillante et le propriétaire de la boîte aux lettres, il existe des propriétés d’enregistrement d’audit qui définissent le contexte de l’accès. Comme expliqué précédemment, lorsque les valeurs de ces propriétés différentes, même lorsque l’activité se produit dans l’intervalle de cumul, des enregistrements d’audit distincts sont générés. L’exemple suivant présente trois enregistrements d’audit différents. Chacun d’eux est différencié par les propriétés ID de session et ClientIPAddress. Les messages consultés sont également identifiés.
Enregistrement d’audit 1 | Enregistrement d’audit 2 | Enregistrement d’audit 3 |
---|---|---|
ClientIPAddress1 SessionId2 |
ClientIPAddress2 SessionId2 |
ClientIPAddress1 SessionId3 |
InternetMessageIdA InternetMessageIdD InternetMessageIdE InternetMessageIdF |
InternetMessageIdA InternetMessageIdC |
InternetMessageIdB |
Si l’une des propriétés répertoriées dans le tableau de la section précédente est différente, un enregistrement d’audit séparé est créé pour suivre le nouveau contexte. Les accès sont triés dans des enregistrements d’audit distincts en fonction du contexte dans lequel l’activité a eu lieu.
Par exemple, dans les enregistrements d’audit présentés dans la capture d’écran suivante, bien que nous accédions simultanément aux messages à partir d’EWSEditor et d’OWA, l’activité d’accès est compilée dans différents enregistrements d’audit en fonction du contexte dans lequel l’accès a eu lieu. Dans ce cas, le contexte est défini par différentes valeurs de la propriété ClientInfoString.
Voici la syntaxe de la commande illustrée dans la capture d’écran précédente :
Search-MailboxAuditLog -Identity admin -ShowDetails -Operations MailItemsAccessed -ResultSize 2000 | Select LastAccessed,Operation,AuditOperationsCountInAggregatedRecord,ClientInfoString