Megosztás a következőn keresztül:


Gyanús levelezési kezelési szabályok riasztásbesorolása

Érintett szolgáltatás:

  • Microsoft Defender XDR

A veszélyforrás-elhárítók számos kártékony célra használhatják a feltört felhasználói fiókokat, például elolvashatják a felhasználó postaládájában lévő e-maileket, levelezési szabályokat hozhatnak létre az e-mailek külső fiókokba való továbbításához, nyomkövetések törléséhez és adathalász e-mailek küldéséhez. A kártékony levelezési szabályok gyakoriak az üzleti e-mail-támadások (BEC) és adathalász kampányok során, és fontos, hogy következetesen figyelje őket.

Ez a forgatókönyv segít kivizsgálni a támadók által konfigurált gyanús levelezési manipulációs szabályokkal kapcsolatos incidenseket, és a támadás elhárításához és a hálózat védelméhez ajánlott lépéseket tesz. Ez a forgatókönyv biztonsági csapatok számára készült, beleértve a biztonsági üzemeltetési központ (SOC) elemzőit és a riasztásokat felülvizsgáló, kivizsgáló és osztályzó informatikai rendszergazdákat. A riasztásokat gyorsan valódi pozitívként (TP) vagy hamis pozitívként (TP) osztályozhatja, és a TP-riasztásokhoz ajánlott műveleteket hajthat végre a támadás elhárításához.

A forgatókönyv használatának eredménye a következő:

  • A beérkezett üzenetek módosítására vonatkozó szabályokkal kapcsolatos riasztásokat rosszindulatú (TP) vagy jóindulatú (FP) tevékenységként azonosítja.

    Ha kártékony, eltávolítja a beérkezett üzenetekre vonatkozó rosszindulatú módosítási szabályokat.

  • Ha rosszindulatú e-mail-címre továbbítja az e-maileket, meg kell tennie a szükséges műveletet.

Beérkezett üzenetek kezelésének szabályai

A levelezési szabályok úgy vannak beállítva, hogy az előre meghatározott feltételek alapján automatikusan kezeljék az e-maileket. Létrehozhat például egy levelezési szabályt, amellyel áthelyezheti az összes üzenetet a felettesétől egy másik mappába, vagy továbbíthatja a kapott üzeneteket egy másik e-mail-címre.

Rosszindulatú levelezési kezelési szabályok

A támadók beállíthatnak olyan e-mail-szabályokat, amelyek elrejtik a bejövő e-maileket a feltört felhasználói postaládában, hogy elrejtsék a rosszindulatú tevékenységeiket a felhasználó elől. Emellett szabályokat is beállíthatnak a feltört felhasználói postaládában az e-mailek törléséhez, az e-mailek másik kevésbé észrevehető mappába (például RSS) való áthelyezéséhez, illetve az e-mailek külső fiókba való továbbításához. Egyes szabályok áthelyezhetik az összes e-mailt egy másik mappába, és "olvasottként" jelölhetik meg őket, míg egyes szabályok csak azokat a leveleket helyezhetik át, amelyek az e-mail-üzenetben vagy a tárgyban megadott kulcsszavakat tartalmaznak.

A beérkezett üzenetek szabálya például beállítható úgy, hogy többek között keressen olyan kulcsszavakat, mint a "számla", az "adathalászat", a "ne válaszoljon", a "gyanús e-mail" vagy a "levélszemét", és helyezze át őket egy külső e-mail-fiókba. A támadók a feltört felhasználói postaládát is használhatják levélszemét, adathalász e-mailek vagy kártevők terjesztésére.

Munkafolyamat

Ez a munkafolyamat azonosítja a gyanús levelezési manipulációs szabályok tevékenységeit.

Riasztásvizsgálati munkafolyamat beérkezett üzenetek módosítására vonatkozó szabályokhoz

Vizsgálati lépések

Ez a szakasz részletes részletes útmutatást tartalmaz az incidensre való reagáláshoz és a szervezet további támadások elleni védelméhez ajánlott lépések megtételéhez.

1. Tekintse át a riasztásokat

Íme egy példa egy üzenetkezelési szabály riasztására a riasztási üzenetsorban.

Példa a beérkezett üzenetek kezelésére vonatkozó szabályra

Íme egy példa egy rosszindulatú üzenetkezelési szabály által aktivált riasztás részleteire.

A kártékony levelezési kezelési szabály által aktivált riasztás részletei

2. A beérkezett üzenetek kezelésének szabályparamétereinek vizsgálata

Állapítsa meg, hogy a szabályok gyanúsnak tűnnek-e a következő szabályparaméterek vagy feltételek alapján:

  • Kulcsszavak:

    Előfordulhat, hogy a támadó csak bizonyos szavakat tartalmazó e-mailekre alkalmazza a módosítási szabályt. Ezeket a kulcsszavakat bizonyos attribútumok alatt találja, például: "BodyContainsWords", "SubjectContainsWords" vagy "SubjectOrBodyContainsWords".

    Ha vannak kulcsszavak szerinti szűrések, ellenőrizze, hogy a kulcsszavak gyanúsnak tűnnek-e (gyakori forgatókönyvek például a támadó tevékenységével kapcsolatos e-mailek szűrése, például az "adathalászat", a "levélszemét" és a "ne válaszoljon").

    Ha egyáltalán nincs szűrő, az is gyanús lehet.

  • Célmappát

    A biztonsági észlelés elkerülése érdekében a támadó áthelyezheti az e-maileket egy kevésbé észrevehető mappába, és olvasottként megjelölheti az e-maileket (például "RSS" mappa). Ha a támadó a "MoveToFolder" és a "MarkAsRead" műveletet alkalmazza, ellenőrizze, hogy a célmappa valamilyen módon kapcsolódik-e a szabályban szereplő kulcsszavakhoz, és döntse el, hogy gyanúsnak tűnik-e.

  • Az összes törlése

    Egyes támadók csak törlik az összes bejövő e-mailt, hogy elrejtsék a tevékenységüket. Többnyire a kártékony tevékenységekre utal az a szabály, amely szerint a "minden bejövő e-mail törlése" kulcsszavakkal való szűrés nélkül történik.

Íme egy példa a megfelelő eseménynapló "az összes bejövő e-mail törlése" szabálykonfigurációjára (ahogy az a RawEventData.Parameters esetében látható).

Példa az összes bejövő e-mail törlésére vonatkozó szabálykonfigurációra

3. Az IP-cím vizsgálata

Tekintse át a szabálylétrehozás releváns eseményét végrehajtó IP-cím attribútumait:

  • Keresés a bérlő ugyanazon IP-címéről származó egyéb gyanús felhőtevékenységek esetén. A gyanús tevékenység lehet például több sikertelen bejelentkezési kísérlet.
  • Az isp közös és ésszerű ehhez a felhasználóhoz?
  • A hely közös és ésszerű a felhasználó számára?

4. A szabályok létrehozása előtt vizsgálja meg a felhasználó gyanús tevékenységeit

A szabályok létrehozása előtt áttekintheti az összes felhasználói tevékenységet, ellenőrizheti a biztonsági sérülésre utaló jeleket, és megvizsgálhatja a gyanúsnak tűnő felhasználói műveleteket.

Több sikertelen bejelentkezés esetén például vizsgálja meg a következőt:

  • Bejelentkezési tevékenység

    Ellenőrizze, hogy a szabály létrehozása előtti bejelentkezési tevékenység nem gyanús-e. (közös hely / ISP / felhasználói ügynök).

  • Riasztások

    Ellenőrizze, hogy a felhasználó kapott-e riasztásokat a szabályok létrehozása előtt. Ez azt jelezheti, hogy a felhasználói fiók biztonsága sérült. Például lehetetlen utazási riasztás, ritkán használt ország/régió, több sikertelen bejelentkezés, többek között.)

  • Esemény

    Ellenőrizze, hogy a riasztás más riasztásokhoz van-e társítva, amelyek incidenst jeleznek. Ha igen, ellenőrizze, hogy az incidens tartalmaz-e más valódi pozitív riasztásokat.

Speciális keresési lekérdezések

Az Advanced Hunting egy lekérdezésalapú veszélyforrás-keresési eszköz, amellyel megvizsgálhatja a hálózat eseményeit a fenyegetésjelzők megkereséséhez.

Ezzel a lekérdezésrel megkeresheti az összes új beérkezett üzenetekre vonatkozó szabályeseményt az adott időtartományban.

let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule", "UpdateInboxRules") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData

A RuleConfig oszlop biztosítja az új beérkezett üzenetek szabálykonfigurációját.

Ezzel a lekérdezéssel ellenőrizheti, hogy az isp gyakori-e a felhasználó számára a felhasználó előzményeinek áttekintésével.

let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by ISP

Ezzel a lekérdezéssel ellenőrizheti, hogy az ország/régió közös-e a felhasználó számára a felhasználó előzményeinek áttekintésével.

let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode

Ezzel a lekérdezéssel ellenőrizheti, hogy a felhasználói ügynök gyakori-e a felhasználó számára. Ehhez tekintse meg a felhasználó előzményeit.

let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
  1. Tiltsa le a kártékony levelezési szabályt.
  2. Állítsa alaphelyzetbe a felhasználói fiók hitelesítő adatait. Azt is ellenőrizheti, hogy a felhasználói fiókot feltörték-e Microsoft Defender for Cloud Apps, amely biztonsági jeleket kap Microsoft Entra ID-védelem.
  3. Keresés az érintett felhasználói fiók által végrehajtott egyéb rosszindulatú tevékenységekre.
  4. Ellenőrizze, hogy vannak-e más gyanús tevékenységek a bérlőben, amelyek ugyanabból az IP-címből vagy ugyanabból az ip-címből származnak (ha az isp nem gyakori), hogy más feltört felhasználói fiókokat találjon.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.