Classification des alertes pour les règles de transfert de boîte de réception suspectes
S’applique à :
- Microsoft Defender XDR
Les acteurs des menaces peuvent utiliser des comptes d’utilisateur compromis à plusieurs fins malveillantes, notamment la lecture des e-mails dans la boîte de réception d’un utilisateur, la création de règles de boîte de réception pour transférer des e-mails à des comptes externes, l’envoi de messages de hameçonnage, entre autres. Les règles de boîte de réception malveillantes sont largement courantes pendant les campagnes de compromission des e-mails professionnels (BEC) et d’hameçonnage, et il est important de les surveiller de manière cohérente.
Ce playbook vous aide à examiner les alertes pour les règles de transfert de boîte de réception suspectes et à les classer rapidement comme un vrai positif (TP) ou un faux positif (FP). Vous pouvez ensuite prendre les mesures recommandées pour les alertes TP afin de corriger l’attaque.
Pour obtenir une vue d’ensemble de la classification des alertes pour Microsoft Defender pour Office 365 et Microsoft Defender for Cloud Apps, consultez l’article d’introduction.
Les résultats de l’utilisation de ce playbook sont les suivants :
Vous avez identifié les alertes associées aux règles de transfert de boîte de réception en tant qu’activités malveillantes (TP) ou bénignes (FP).
Si elle est malveillante, vous avez supprimé les règles de transfert de boîte de réception malveillantes.
Vous avez pris les mesures nécessaires si les e-mails ont été transférés à une adresse e-mail malveillante.
Règles de transfert de boîte de réception
Vous configurez des règles de boîte de réception pour gérer automatiquement les e-mails en fonction de critères prédéfinis. Par exemple, vous pouvez créer une règle de boîte de réception pour déplacer tous les messages de votre responsable vers un autre dossier, ou transférer les messages que vous recevez vers une autre adresse e-mail.
Règle de transfert de boîte de réception suspect
Après avoir obtenu l’accès aux boîtes aux lettres des utilisateurs, les attaquants créent souvent une règle de boîte de réception qui leur permet d’exfiltrer des données sensibles vers une adresse e-mail externe et de l’utiliser à des fins malveillantes.
Les règles de boîte de réception malveillantes automatisent le processus d’exfiltration. Avec des règles spécifiques, chaque e-mail de la boîte de réception de l’utilisateur cible qui correspond aux critères de règle est transféré à la boîte aux lettres de l’attaquant. Par exemple, un attaquant peut vouloir collecter des données sensibles liées à la finance. Ils créent une règle de boîte de réception pour transférer tous les e-mails contenant des mots clés, tels que « finance » et « invoice » dans l’objet ou le corps du message, vers leur boîte aux lettres.
Les règles de transfert de boîte de réception suspectes peuvent être difficiles à détecter, car la maintenance des règles de boîte de réception est une tâche courante effectuée par les utilisateurs. Par conséquent, il est important de surveiller les alertes.
Flux de travail
Voici le flux de travail permettant d’identifier les règles de transfert d’e-mails suspects.
Étapes d’investigation
Cette section contient des instructions détaillées pour répondre à l’incident et prendre les mesures recommandées pour protéger votre organisation contre d’autres attaques.
Passer en revue les alertes générées
Voici un exemple d’alerte de règle de transfert de boîte de réception dans la file d’attente d’alerte.
Voici un exemple des détails de l’alerte déclenchée par une règle de transfert de boîte de réception malveillante.
Examiner les paramètres de règle
L’objectif de cette étape est de déterminer si les règles semblent suspectes selon certains critères :
Destinataires de la règle de transfert :
- Vérifiez que l’adresse e-mail de destination n’est pas une boîte aux lettres supplémentaire appartenant au même utilisateur (en évitant les cas où l’utilisateur transfère automatiquement des e-mails entre des boîtes aux lettres personnelles).
- Vérifiez que l’adresse e-mail de destination n’est pas une adresse interne ou un sous-domaine qui appartient à l’entreprise.
Filtres:
- Si la règle de boîte de réception contient des filtres, qui recherchent des mots clés spécifiques dans l’objet ou le corps de l’e-mail, vérifiez si les mots clés fournis, tels que finance, informations d’identification et réseau, entre autres, semblent liés à une activité malveillante. Ces filtres se trouvent sous les attributs suivants (qui s’affichent dans la colonne RawEventData de l’événement) : « BodyContainsWords », « SubjectContainsWords » ou « SubjectOrBodyContainsWords »
- Si l’attaquant choisit de ne définir aucun filtre sur les messages et que la règle de boîte de réception transfère tous les éléments de boîte aux lettres à la boîte aux lettres de l’attaquant), ce comportement est également suspect.
Examiner l’adresse IP
Passez en revue les attributs liés à l’adresse IP qui a effectué l’événement pertinent de création de règle :
- Recherchez d’autres activités cloud suspectes qui proviennent de la même adresse IP dans le locataire. Par exemple, les activités suspectes peuvent être plusieurs tentatives de connexion ayant échoué.
- Le fai est-il courant et raisonnable pour cet utilisateur ?
- L’emplacement est-il courant et raisonnable pour cet utilisateur ?
Examiner toute activité suspecte avec la boîte de réception de l’utilisateur avant de créer des règles
Vous pouvez passer en revue toutes les activités de l’utilisateur avant de créer des règles, rechercher des indicateurs de compromission et examiner les actions de l’utilisateur qui semblent suspectes. Par exemple, plusieurs échecs de connexion.
Connexions :
Vérifiez que l’activité de connexion avant l’événement de création de règle n’est pas suspecte (par exemple, l’emplacement commun, le fai ou l’agent utilisateur).
Autres alertes ou incidents
- D’autres alertes se sont déclenchées pour l’utilisateur avant la création de la règle. Si c’est le cas, cela peut indiquer que l’utilisateur a été compromis.
- Si l’alerte est corrélée à d’autres alertes pour indiquer un incident, l’incident contient-il d’autres alertes vraies positives ?
Requêtes de chasse avancées
La chasse avancée est un outil de repérage des menaces basé sur des requêtes qui vous permet d’inspecter les événements de votre réseau et de localiser les indicateurs de menace.
Exécutez cette requête pour rechercher tous les nouveaux événements de règle de boîte de réception pendant une fenêtre de temps spécifique.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
RuleConfig contient la configuration de la règle.
Exécutez cette requête pour vérifier si le fai est courant pour l’utilisateur en examinant l’historique de l’utilisateur.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
Exécutez cette requête pour vérifier si le pays/la région est commun pour l’utilisateur en examinant l’historique de l’utilisateur.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
Exécutez cette requête pour vérifier si l’agent utilisateur est courant pour l’utilisateur en examinant l’historique de l’utilisateur.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
Exécutez cette requête pour vérifier si d’autres utilisateurs ont créé une règle de transfert vers la même destination (peut indiquer que d’autres utilisateurs sont également compromis).
let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
Actions recommandées
- Désactivez la règle de boîte de réception malveillante.
- Réinitialisez les informations d’identification du compte de l’utilisateur. Vous pouvez également vérifier si le compte d’utilisateur a été compromis avec Microsoft Defender for Cloud Apps, qui reçoit des signaux de sécurité de Microsoft Entra ID Protection.
- Recherchez d’autres activités malveillantes effectuées par l’utilisateur concerné.
- Recherchez d’autres activités suspectes dans le locataire provenant de la même adresse IP ou du même isp (si le fai est rare) pour trouver d’autres utilisateurs compromis.
Voir aussi
- Vue d’ensemble de la classification des alertes
- Activité suspecte de transfert d’e-mail
- Règles de manipulation de la boîte de réception suspectes
- Examiner des alertes
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.