Gyanús e-mail-továbbítási tevékenység riasztásbesorolása

A fenyegetést jelölő szereplők számos kártékony célra használhatják a feltört felhasználói fiókokat, például elolvashatják a felhasználó postaládájában lévő e-maileket, továbbíthatják az e-maileket külső címzetteknek, és adathalász e-maileket küldhetnek, többek között. Előfordulhat, hogy a megcélzott felhasználó nem tud az e-mailek továbbításáról. Ez egy gyakori taktika, amelyet a támadók akkor használnak, ha a felhasználói fiókok biztonsága sérül.

Az e-mailek továbbíthatók manuálisan vagy automatikusan továbbítási szabályokkal. Az automatikus továbbítás többféleképpen is implementálható, például a beérkezett üzenetekre vonatkozó szabályok, az Exchange átviteli szabálya (ETR) és az SMTP-továbbítás. Bár a manuális továbbítás közvetlen beavatkozást igényel a felhasználóktól, előfordulhat, hogy nem ismerik az automatikusan odaítélt e-maileket. A Microsoft 365-ben riasztás keletkezik, amikor egy felhasználó automatikusan egy potenciálisan rosszindulatú e-mail-címre küld egy e-mailt.

Ez a forgatókönyv segít kivizsgálni a gyanús Email továbbítási tevékenységgel kapcsolatos riasztásokat, és gyorsan valódi pozitívként (TP) vagy hamis pozitívként (FP) osztályozni őket. Ezután a TP-riasztásokhoz ajánlott műveleteket hajthat végre a támadás elhárításához.

A Office 365-höz készült Microsoft Defender és Microsoft Defender for Cloud Apps riasztásbesorolásainak áttekintését a bevezető cikkben találja.

A forgatókönyv használatának eredménye a következő:

• Az automatikusan odaítélt e-mailekkel kapcsolatos riasztásokat rosszindulatú (TP) vagy jóindulatú (FP) tevékenységként azonosítja.

  Ha kártékony, leállítja az e-mailek automatikus megnyitását az érintett postaládákban.

• Ha rosszindulatú e-mail-címre továbbítja az e-maileket, meg kell tennie a szükséges műveletet.

továbbítási szabályok Email

Email továbbítási szabályok lehetővé teszik, hogy a felhasználók olyan szabályt hozzanak létre, amely a felhasználó postaládájába küldött e-maileket egy másik felhasználó szervezeten belüli vagy kívüli postaládájába továbbítja. Egyes e-mail-felhasználók, különösen a több postaládával rendelkező felhasználók továbbítási szabályokat konfigurálnak a munkáltatói e-mailek privát e-mail-fiókjukba való áthelyezéséhez. Email továbbítás hasznos funkció, de az információk lehetséges felfedése miatt biztonsági kockázatot is jelenthet. A támadók ezt az információt felhasználhatják a szervezet vagy partnerei támadására.

Gyanús e-mail-továbbítási tevékenység

A támadók beállíthatnak olyan e-mail-szabályokat, amelyek elrejtik a bejövő e-maileket a feltört felhasználói postaládában, hogy elrejtsék a rosszindulatú tevékenységeiket a felhasználó elől. Emellett szabályokat is beállíthatnak a feltört felhasználói postaládában az e-mailek törléséhez, az e-mailek egy kevésbé észrevehető mappába, például egy RSS-mappába való áthelyezéséhez, vagy az e-mailek külső fiókba való továbbításához.

Egyes szabályok áthelyezhetik az összes e-mailt egy másik mappába, és "olvasottként" jelölhetik meg őket, míg egyes szabályok csak azokat a leveleket helyezhetik át, amelyek az e-mail-üzenetben vagy a tárgyban megadott kulcsszavakat tartalmaznak. A beérkezett üzenetek szabálya például beállítható úgy, hogy többek között keressen olyan kulcsszavakat, mint a "számla", az "adathalászat", a "ne válaszoljon", a "gyanús e-mail" vagy a "levélszemét", és helyezze át őket egy külső e-mail-fiókba. A támadók a feltört felhasználói postaládát is használhatják levélszemét, adathalász e-mailek vagy kártevők terjesztésére.

Office 365-höz készült Microsoft Defender észlelheti és riasztást kaphat a gyanús e-mail-továbbítási szabályokról, így rejtett szabályokat kereshet és törölhet a forrásnál.

További információt az alábbi blogbejegyzések tartalmaznak:

• Üzleti Email kompromisszumos
• Az üzleti e-mailek sérülésének színtere: Tartományközi fenyegetési adatok használata egy nagy BEC-kampány megzavarásához

Riasztás részletei

A Gyanús Email továbbítási tevékenység riasztásának áttekintéséhez nyissa meg a Riasztások lapot a Tevékenységlista szakasz megtekintéséhez. Íme egy példa.

Válassza a Tevékenység lehetőséget a tevékenység részleteinek megtekintéséhez az oldalsávon. Íme egy példa.

Vizsgálati munkafolyamat

A riasztás vizsgálata során meg kell határoznia a következőt:

• Feltörték a felhasználói fiókot és annak postaládáját?
• Rosszindulatúak a tevékenységek?

Feltörték a felhasználói fiókot és annak postaládáját?

A feladó múltbeli viselkedését és legutóbbi tevékenységeit megvizsgálva meg kell tudnia állapítani, hogy a felhasználó fiókját feltörtnek kell-e tekinteni. A riasztások részleteit a Microsoft Defender portál felhasználói oldalán tekintheti meg.

Az érintett postaláda további tevékenységeit is elemezheti:

• A Threat Explorer használata az e-mailekkel kapcsolatos fenyegetések megértéséhez

  • Figyelje meg, hogy a küldő által küldött legutóbbi e-mailek közül hányat észlelt adathalászként, levélszemétként vagy kártevőként.
  • Figyelje meg, hogy az elküldött e-mailek közül hány tartalmaz bizalmas információkat.

• Kockázatos bejelentkezési viselkedés felmérése a Microsoft Azure Portal.

• Ellenőrizze, hogy vannak-e rosszindulatú tevékenységek a felhasználó eszközén.

Rosszindulatúak a tevékenységek?

Vizsgálja meg az e-mail-továbbítási tevékenységet. Ellenőrizze például az e-mail típusát, az e-mail címzettjének vagy az e-mail továbbításának módját.

További információért olvassa el az alábbi témaköröket:

• Automatikusan odaítélt üzenetek jelentése az EAC-ban
• E-mail-elemzést továbbító új felhasználók az EAC-ban
• Válasz feltört Email fiókra
• Álpozitív és hamis negatív értékek jelentése az Outlookban

Az alábbi munkafolyamat azonosítja a gyanús e-mail-továbbítási tevékenységeket.

Az e-mail-továbbítási riasztásokat a Veszélyforrás-kezelővel vagy speciális veszélyforrás-keresési lekérdezésekkel vizsgálhatja meg a Microsoft Defender portálon elérhető funkciók alapján. Dönthet úgy, hogy a teljes folyamatot vagy a folyamat egy részét szükség szerint követi.

A Threat Explorer használata

A Threat Explorer interaktív vizsgálati felületet biztosít az e-mailekkel kapcsolatos fenyegetésekhez annak megállapításához, hogy ez a tevékenység gyanús-e vagy sem. A riasztási információkból a következő mutatókat használhatja:

• SRL/RL: Használja a (gyanús) címzettek listáját (SRL) a következő részletek megkereséséhez:

  

  • Ki továbbított még e-maileket ezeknek a címzetteknek?
  • Hány e-mailt továbbítottak ezekhez a címzettekhez?
  • Milyen gyakran továbbítják az e-maileket ezekre a címzettekre?

• MTI: Az üzenet nyomkövetési azonosítójával/hálózati üzenetazonosítójával keresse meg ezeket a részleteket:

  

  • Milyen egyéb részletek érhetők el ehhez az e-mailhez? Például: tárgy, visszatérési útvonal és időbélyeg.
  • Mi az e-mail forrása? Vannak hasonló e-mailek?
  • Tartalmaz ez az e-mail URL-címeket? Az URL-cím bizalmas adatokra mutat?
  • Az e-mail tartalmaz mellékleteket? A mellékletek bizalmas információkat tartalmaznak?
  • Milyen műveletet hajtottak végre az e-mailben? Törölték, olvasottként jelölték meg, vagy áthelyezték egy másik mappába?
  • Vannak ezzel az e-maillel kapcsolatos fenyegetések? Ez az e-mail egy kampány része?

A kérdésekre adott válaszok alapján meg kell tudnia állapítani, hogy egy e-mail rosszindulatú vagy jóindulatú-e.

Speciális keresési lekérdezések

Ha speciális veszélyforrás-keresési lekérdezéseket szeretne használni egy riasztással kapcsolatos információk gyűjtéséhez, valamint annak megállapításához, hogy a tevékenység gyanús-e, győződjön meg arról, hogy rendelkezik hozzáféréssel a következő táblákhoz:

• EmailEvents – Az e-mail-folyamattal kapcsolatos információkat tartalmazza.

• EmailUrlInfo – Az e-mailekBEN található URL-címekkel kapcsolatos információkat tartalmazza.

• CloudAppEvents – A felhasználói tevékenységek auditnaplóját tartalmazza.

• IdentityLogonEvents – Az összes felhasználó bejelentkezési adatait tartalmazza.

Megjegyzés:

Bizonyos paraméterek egyediek a szervezet vagy a hálózat számára. Töltse ki ezeket a paramétereket az egyes lekérdezésekben leírtak szerint.

Futtassa ezt a lekérdezést annak kiderítéséhez, hogy ki továbbított még e-maileket ezeknek a címzetteknek (SRL/RL).

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| distinct SenderDisplayName, SenderFromAddress, SenderObjectId

Futtassa ezt a lekérdezést annak kiderítéséhez, hogy hány e-mailt továbbítottak ezekhez a címzettekhez.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress

Futtassa ezt a lekérdezést annak kiderítéséhez, hogy milyen gyakran továbbítják az e-maileket ezekre a címzettekre.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress, bin(Timestamp, 1d)

Futtassa ezt a lekérdezést annak kiderítéséhez, hogy az e-mail tartalmaz-e URL-címeket.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailUrlInfo
| where NetworkMessageId == mti

Futtassa ezt a lekérdezést annak kiderítéséhez, hogy az e-mail tartalmaz-e mellékleteket.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailAttachmentInfo
| where NetworkMessageId == mti

Futtassa ezt a lekérdezést annak kiderítéséhez, hogy a továbbító (feladó) létrehozott-e új szabályokat.

let sender = "{SENDER}"; //Replace {SENDER} with display name of Forwarder
let action_types = pack_array(
    "New-InboxRule",
    "UpdateInboxRules",
    "Set-InboxRule",
    "Set-Mailbox",
    "New-TransportRule",
    "Set-TransportRule");
CloudAppEvents
| where AccountDisplayName == sender
| where ActionType in (action_types)

Futtassa ezt a lekérdezést annak kiderítéséhez, hogy történt-e rendellenes bejelentkezési esemény a felhasználótól. Például: ismeretlen IP-címek, új alkalmazások, nem gyakori országok/régiók, több LogonFailed esemény.

let sender = "{SENDER}"; //Replace {SENDER} with email of the Forwarder
IdentityLogonEvents
| where AccountUpn == sender

Továbbítási szabályok vizsgálata

A gyanús továbbítási szabályokat az Exchange Felügyeleti központban is megtalálhatja a szabály típusa (a riasztás ft-értéke) alapján.

• ETR

  Az Exchange átviteli szabályai a Szabályok szakaszban találhatók. Ellenőrizze, hogy az összes szabály a várt módon működik-e.

• SMTP

  A postaláda-továbbítási szabályokat a feladó postaládájának > Az e-mail-forgalom beállításainak > kezelése Email a Szerkesztés továbbítása >gombra kattintva tekintheti meg.

• Beérkezett üzenetek szabálya

  A levelezési szabályok az e-mail ügyfélprogrammal vannak konfigurálva. A Get-InboxRule PowerShell-parancsmaggal listázhatja a felhasználók által létrehozott levelezési szabályokat.

További vizsgálat

Az eddig felfedezett bizonyítékok mellett azt is megállapíthatja, hogy vannak-e új továbbítási szabályok. Vizsgálja meg a szabályhoz társított IP-címet. Győződjön meg arról, hogy ez nem rendellenes IP-cím, és összhangban van a felhasználó által végrehajtott szokásos tevékenységekkel.

Javasolt műveletek

Miután megállapította, hogy a kapcsolódó tevékenységek valódi pozitívvá teszik ezt a riasztást, osztályozza a riasztást, és végezze el az alábbi műveleteket a szervizeléshez:

1. Tiltsa le és törölje a levelezési továbbítási szabályt.

2. Az InboxRule továbbítási típusnál állítsa alaphelyzetbe a felhasználó fiók hitelesítő adatait.

3. Smtp- vagy ETR-továbbítási típus esetén vizsgálja meg a riasztást létrehozó felhasználói fiók tevékenységeit.

   • Vizsgálja meg a többi gyanús rendszergazdai tevékenységet.

   • Állítsa alaphelyzetbe a felhasználói fiók hitelesítő adatait.

4. Ellenőrizze, hogy vannak-e más tevékenységek, amelyek érintett fiókokból, IP-címekből és gyanús feladókból származnak.

Lásd még

• A riasztások besorolásának áttekintése
• Bejövő üzenetek továbbítása - gyanús szabályok
• Gyanús bejövő üzenetkezelési szabályok
• Értesítések vizsgálata

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.