סיווג התראה עבור כללי העברה חשודים של תיבת דואר נכנס
חל על:
- Microsoft Defender XDR
שחקני איומים יכולים להשתמש בחשבונות משתמשים שנחשף לסכנה לכמה מטרות זדוניות, כולל קריאת הודעות דואר אלקטרוני בתיבת הדואר הנכנס של המשתמש, יצירת כללי תיבת דואר נכנס להעברת הודעות דואר אלקטרוני אל חשבונות חיצוניים, שליחת הודעות דיוג, בין היתר. כללי תיבת דואר נכנס זדוניים נפוצים מאוד במהלך פשרות דואר אלקטרוני עסקיות (BEC) וקמפיינים של דיוג, וחשוב לנטר אותם באופן עקבי.
ספר הפעלות זה עוזר לך לחקור התראות עבור כללי העברה חשודים של תיבת דואר נכנס ולהן ציון מהיר כחיוביות אמיתית (TP) או כתוצאה חיובית מוטעית (FP). לאחר מכן תוכל לבצע פעולות מומלצות כדי שהתראות ה- TP יתקנו את ההתקפה.
לקבלת מבט כולל על סיווג ההתראה עבור Microsoft Defender עבור Office 365 ו- Microsoft Defender for Cloud Apps, עיין במאמר המבוא.
תוצאות השימוש בספר משחקים זה הן:
זיהית את ההתראות המשויכות לכללי העברת תיבת דואר נכנס כפעילויות זדוניות (TP) או ישנות (FP).
אם אתה זדוני, הסרת כללי העברה זדוניים של תיבת דואר נכנס.
נקטת בפעולה הנחוצה אם הודעות דואר אלקטרוני הועברו אל כתובת דואר אלקטרוני זדונית.
כללי העברה של תיבת דואר נכנס
עליך לקבוע את התצורה של כללי תיבת דואר נכנס לניהול אוטומטי של הודעות דואר אלקטרוני בהתבסס על קריטריונים מוגדרים מראש. לדוגמה, באפשרותך ליצור כלל תיבת דואר נכנס כדי להעביר את כל ההודעות מהמנהל שלך לתיקיה אחרת, או להעביר הודעות שאתה מקבל אל כתובת דואר אלקטרוני אחרת.
כללי העברה חשודים של תיבת דואר נכנס
לאחר קבלת גישה לתיבות הדואר של המשתמשים, תוקפים יוצרים לעתים קרובות כלל תיבת דואר נכנס המאפשר להם לחדור נתונים רגישים אל כתובת דואר אלקטרוני חיצונית ולהשתמש בהם למטרות זדוניות.
כללי תיבת דואר נכנס זדוניים להפוך את תהליך הכניסה לאוטומטי. עם כללים ספציפיים, כל הודעת דואר אלקטרוני בתיבת הדואר הנכנס של משתמש היעד התואמת לקריטריוני הכלל תועבר לתיבת הדואר של התוקף. לדוגמה, תוקף עשוי ללקט נתונים רגישים הקשורים לכספים. הם יוצרים כלל תיבת דואר נכנס להעברת כל הודעות הדואר האלקטרוני המכילות מילות מפתח, כגון 'כספים' ו'חשבונית' בנושא או בגוף ההודעה, לתיבת הדואר שלהם.
ייתכן שיהיה קשה לזהות כללי העברה חשודים של תיבת דואר נכנס מאחר שתחזוקה של כללי תיבת דואר נכנס היא משימה נפוצה שבוצעה על-ידי משתמשים. לכן, חשוב לנטר את ההתראות.
זרימת עבודה
להלן זרימת העבודה לזיהוי כללי העברת דואר אלקטרוני חשודים.
שלבי חקירה
סעיף זה מכיל הדרכה מפורטת שלב אחר שלב לתגובה לתקרית ולבצע את השלבים המומלצים כדי להגן על הארגון שלך מפני תקיפות נוספות.
סקור התראות שנוצרו
להלן דוגמה של התראת כלל העברה של תיבת דואר נכנס בתור ההתראות.
להלן דוגמה לפרטי ההתראה שהופעלו על-ידי כלל העברת תיבת דואר נכנס זדוני.
בדוק פרמטרים של כללים
מטרת שלב זה היא לקבוע אם הכללים נראים חשודים לפי קריטריונים מסוימים:
נמעני כלל ההעברה:
- אימות כתובת הדואר האלקטרוני המהווה יעד אינה תיבת דואר נוספת בבעלותו של אותו משתמש (הימנעות ממקרים שבהם המשתמש מעביר הודעות דואר אלקטרוני בהעברה עצמית בין תיבות דואר אישיות).
- ודא כי כתובת הדואר האלקטרוני המהווה יעד אינה כתובת פנימית או תחום משנה השייכים לחברה.
מסננים:
- אם כלל תיבת הדואר הנכנס מכיל מסננים, אשר חפשו מילות מפתח ספציפיות בנושא או בגוף של הודעת הדואר האלקטרוני, בדוק אם מילות המפתח שסופקו, כגון כספים, אישורים ורשתות, בין היתר, נראות קשורות לפעילות זדונית. באפשרותך למצוא מסננים אלה תחת התכונות הבאות (אשר מופיעות בעמודה RawEventData האירוע): "BodyContainsWords", "SubjectContainsWords" או "SubjectOrBodyContainsWords"
- אם התוקף בוחר שלא להגדיר מסנן כלשהו להודעות הדואר האלקטרוני, במקום זאת כלל תיבת הדואר הנכנס מעביר את כל פריטי תיבת הדואר לתיבת הדואר של התוקף), אופן פעולה זה גם הוא חשוד.
בדוק כתובת IP
סקור את התכונות הקשורות לכתובת ה- IP שביצעו את האירוע הרלוונטי של יצירת הכללים:
- חפש פעילויות ענן חשודות אחרות שמקורן באותו IP בדייר. לדוגמה, פעילות חשודה עשויה להיות מספר נסיונות כניסה כושלים.
- האם ספק שירותי האינטרנט נפוץ וסביר עבור משתמש זה?
- האם המיקום נפוץ וסביר עבור משתמש זה?
בדוק פעילות חשודה באמצעות תיבת הדואר הנכנס של המשתמש לפני יצירת כללים
באפשרותך לסקור את כל פעילויות המשתמש לפני יצירת כללים, לבדוק אם יש מחווני סכנה ולחקור פעולות משתמש שנונות לחשודות. לדוגמה, מספר פעולות כניסה שנכשלו.
פרטי כניסה:
ודא שפעילות הכניסה לפני האירוע ליצירת כללים אינה חשודה (כגון המיקום המשותף, ספק שירותי האינטרנט או סוכן המשתמש).
התראות או אירועים אחרים
- האם התראות אחרות מופעלות עבור המשתמש לפני יצירת הכלל. אם כן, הדבר עשוי להצביע על כך שהמשתמש נחשף לסכנה.
- אם ההתראה מתאם עם התראות אחרות כדי לציין מקרה, האם האירוע מכיל התראות חיוביות אחרות?
שאילתות ציד מתקדמות
'ציד מתקדם ' הוא כלי מבוסס שאילתות לציד איומים המאפשר לך לבדוק אירועים ברשת שלך ולאתר מחווני איומים.
הפעל שאילתה זו כדי למצוא את כל אירועי הכלל החדשים של תיבת הדואר הנכנס במהלך חלון זמן ספציפי.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
RuleConfig יכיל את תצורת הכלל.
הפעל שאילתה זו כדי לבדוק אם ה- ISP משותף למשתמש על-ידי התסתכלות בהיסטוריה של המשתמש.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
הפעל שאילתה זו כדי לבדוק אם המדינה/האזור משותפים למשתמש על-ידי התסתכלות בהיסטוריה של המשתמש.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
הפעל שאילתה זו כדי לבדוק אם סוכן המשתמש נפוץ עבור המשתמש על-ידי התסתכלות בהיסטוריה של המשתמש.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
הפעל שאילתה זו כדי לבדוק אם משתמשים אחרים יצרו כלל העברה לאותו יעד (עשוי להצביע גם על כך שמשתמשים אחרים נחשפו לסכנה).
let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
פעולות מומלצות
- הפוך את כלל תיבת הדואר הנכנס הזדון ללא זמין.
- אפס את אישורי החשבון של המשתמש. באפשרותך גם לבדוק אם חשבון המשתמש נחשף לסכנה עם Microsoft Defender for Cloud Apps, שמקבל אותות אבטחה מהגנת המזהה של Microsoft.
- חפש פעילויות זדוניות אחרות שבוצעו על-ידי המשתמש המושפע.
- בדוק אם יש פעילות חשודה אחרת בדייר שמקורה באותו IP או מאותו ISP (אם ה- ISP אינו נדיר) כדי למצוא משתמשים אחרים שנחשף לסכנה.
למידע נוסף
- מבט כולל על סיווג התראה
- פעילות חשודה של העברת דואר אלקטרוני
- כללי טיפול חשודים בתיבת הדואר הנכנס
- חקירת התראות
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.