Gyanús levelezési továbbítási szabályok riasztásbesorolása
Érintett szolgáltatás:
- Microsoft Defender XDR
A fenyegetést jelölő személyek számos rosszindulatú célra használhatják a feltört felhasználói fiókokat, például a felhasználók beérkezett üzenetek mappájában lévő e-mailek olvasására, levelezési szabályok létrehozására, hogy az e-maileket külső fiókokba továbbíthassák, adathalász e-maileket küldjenek, többek között. A kártékony levelezési szabályok széles körben elterjedtek az üzleti e-mail-támadások (BEC) és adathalász kampányok során, és fontos, hogy következetesen figyelje őket.
Ez a forgatókönyv segít kivizsgálni a gyanús levelezési továbbítási szabályokra vonatkozó riasztásokat, és gyorsan valódi pozitívként (TP) vagy hamis pozitívként (FP) osztályozni őket. Ezután a TP-riasztásokhoz ajánlott műveleteket hajthat végre a támadás elhárításához.
Az Office 365-höz készült Microsoft Defender és a Microsoft Defender for Cloud Apps riasztásbesorolásának áttekintéséért tekintse meg a bevezető cikket.
A forgatókönyv használatának eredménye a következő:
A levelezési továbbítási szabályokhoz társított riasztásokat rosszindulatú (TP) vagy jóindulatú (FP) tevékenységként azonosította.
Ha kártékony, eltávolította a kártékony levelezési továbbítási szabályokat.
Megtette a szükséges műveletet, ha az e-maileket rosszindulatú e-mail-címre továbbította.
Levelezési továbbítási szabályok
A levelezési szabályokat úgy konfigurálhatja, hogy az előre meghatározott feltételek alapján automatikusan kezelje az e-maileket. Létrehozhat például egy levelezési szabályt, amellyel áthelyezheti az összes üzenetet a felettesétől egy másik mappába, vagy továbbíthatja a kapott üzeneteket egy másik e-mail-címre.
Bejövő üzenetek továbbítása - gyanús szabályok
Miután hozzáfértek a felhasználók postaládáihoz, a támadók gyakran létrehoznak egy levelezési szabályt, amely lehetővé teszi, hogy bizalmas adatokat kiszűrjenek egy külső e-mail-címre, és rosszindulatú célokra használják őket.
A rosszindulatú levelezési szabályok automatizálják a kiszivárgási folyamatot. Adott szabályok esetén a célfelhasználó postaládájában a szabályfeltételnek megfelelő e-mailek a támadó postaládájába kerülnek. Előfordulhat például, hogy egy támadó érzékeny adatokat szeretne gyűjteni a pénzügyekkel kapcsolatban. Létrehoznak egy levelezési szabályt, amely a tárgyban vagy az üzenettörzsben kulcsszavakat tartalmazó összes e-mailt továbbítja a postaládájukba, például a "pénzügy" és a "számla".
A gyanús levelezési továbbítási szabályokat nehéz lehet észlelni, mert a levelezési szabályok karbantartása gyakori feladat a felhasználók számára. Ezért fontos a riasztások figyelése.
Munkafolyamat
Ez a munkafolyamat azonosítja a gyanús e-mail-továbbítási szabályokat.
Vizsgálati lépések
Ez a szakasz részletes részletes útmutatást tartalmaz az incidensre való reagáláshoz és a szervezet további támadások elleni védelméhez ajánlott lépések megtételéhez.
A létrehozott riasztások áttekintése
Íme egy példa egy üzenettovábbítási szabály riasztására a riasztási üzenetsorban.
Íme egy példa a kártékony levelezési továbbítási szabály által aktivált riasztás részleteire.
Szabályparaméterek vizsgálata
Ennek a szakasznak a célja annak meghatározása, hogy a szabályok bizonyos feltételek alapján gyanúsnak tűnnek-e:
A továbbítási szabály címzettjei:
- Ellenőrizze, hogy a cél e-mail-cím nem ugyanazon felhasználó további postaládája-e (elkerülve azokat az eseteket, amikor a felhasználó önként továbbítja az e-maileket a személyes postaládák között).
- Ellenőrizze, hogy a cél e-mail-cím nem a vállalat belső címe vagy altartománya-e.
Szűrők:
- Ha a beérkezett üzenetek szabálya szűrőket tartalmaz, amelyek adott kulcsszavakat keresnek az e-mail tárgyában vagy törzsében, ellenőrizze, hogy a megadott kulcsszavak , például a pénzügy, a hitelesítő adatok és a hálózatkezelés, többek között rosszindulatú tevékenységhez kapcsolódnak-e. Ezeket a szűrőket a következő attribútumok alatt találja (amely a RawEventData eseményoszlopban jelenik meg): "BodyContainsWords", "SubjectContainsWords" vagy "SubjectOrBodyContainsWords"
- Ha a támadó úgy dönt, hogy nem állít be szűrőt az e-mailekre, és ehelyett a postaládaszabály továbbítja az összes postaládaelemet a támadó postaládájába), akkor ez a viselkedés is gyanús.
IP-cím vizsgálata
Tekintse át a szabálylétrehozás releváns eseményét végrehajtó IP-címhez kapcsolódó attribútumokat:
- Keressen más gyanús felhőtevékenységeket, amelyek ugyanabból az IP-címből származnak a bérlőben. A gyanús tevékenység lehet például több sikertelen bejelentkezési kísérlet.
- Az isp közös és ésszerű ehhez a felhasználóhoz?
- A hely közös és ésszerű a felhasználó számára?
Gyanús tevékenységek vizsgálata a felhasználói beérkezett üzenetek mappával a szabályok létrehozása előtt
A szabályok létrehozása előtt áttekintheti az összes felhasználói tevékenységet, ellenőrizheti a biztonsági sérülésre utaló jeleket, és megvizsgálhatja a gyanúsnak tűnő felhasználói műveleteket. Például több sikertelen bejelentkezés.
Bejelentkezések:
Ellenőrizze, hogy a szabálylétrehozási esemény előtti bejelentkezési tevékenység nem gyanús-e (például a közös hely, az isp vagy a felhasználói ügynök).
Egyéb riasztások vagy incidensek
- A szabály létrehozása előtt más riasztások is aktiválva voltak a felhasználónál. Ha igen, akkor ez azt jelezheti, hogy a felhasználó biztonsága sérült.
- Ha a riasztás más riasztásokkal korrelál egy incidens jelzéséhez, akkor az incidens más valódi pozitív riasztásokat is tartalmaz?
Speciális keresési lekérdezések
Az Advanced Hunting egy lekérdezésalapú veszélyforrás-keresési eszköz, amellyel megvizsgálhatja a hálózat eseményeit, és megkeresheti a fenyegetésjelzőket.
Futtassa ezt a lekérdezést az összes új beérkezett üzenetekre vonatkozó szabályesemény megkereséséhez egy adott időablakban.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
A RuleConfig tartalmazni fogja a szabálykonfigurációt.
Futtassa ezt a lekérdezést annak ellenőrzéséhez, hogy az isp közös-e a felhasználó számára. Ehhez tekintse meg a felhasználó előzményeit.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
Futtassa ezt a lekérdezést annak ellenőrzéséhez, hogy az ország/régió közös-e a felhasználónál. Ehhez tekintse meg a felhasználó előzményeit.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
Futtassa ezt a lekérdezést annak ellenőrzéséhez, hogy a felhasználó ügynöke közös-e a felhasználó számára. Ehhez tekintse meg a felhasználó előzményeit.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
Futtassa ezt a lekérdezést annak ellenőrzéséhez, hogy más felhasználók hoztak-e létre továbbítási szabályt ugyanahhoz a célhoz (jelezheti, hogy más felhasználók is sérültek).
let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
Javasolt műveletek
- Tiltsa le a kártékony levelezési szabályt.
- Állítsa alaphelyzetbe a felhasználói fiók hitelesítő adatait. Azt is ellenőrizheti, hogy a felhasználói fiókot feltörték-e a Microsoft Defender for Cloud Appsszel, amely biztonsági jeleket kap a Microsoft Entra ID Protectiontől.
- Keressen rá az érintett felhasználó által végrehajtott egyéb rosszindulatú tevékenységekre.
- Ellenőrizze, hogy van-e más gyanús tevékenység a bérlőben, amely ugyanabból az IP-címről vagy ugyanabból az ip-címről származik (ha az isp nem gyakori), hogy más feltört felhasználókat találjon.
Lásd még
- A riasztások besorolásának áttekintése
- Gyanús e-mail-továbbítási tevékenység
- Gyanús bejövő üzenetkezelési szabályok
- Értesítések vizsgálata
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.