Gyanús levelezési kezelési szabályok riasztásbesorolása
Érintett szolgáltatás:
- Microsoft Defender XDR
A veszélyforrás-elhárítók számos kártékony célra használhatják a feltört felhasználói fiókokat, például elolvashatják a felhasználó postaládájában lévő e-maileket, levelezési szabályokat hozhatnak létre az e-mailek külső fiókokba való továbbításához, nyomkövetések törléséhez és adathalász e-mailek küldéséhez. A kártékony levelezési szabályok gyakoriak az üzleti e-mail-támadások (BEC) és adathalász kampányok során, és fontos, hogy következetesen figyelje őket.
Ez a forgatókönyv segít kivizsgálni a támadók által konfigurált gyanús levelezési manipulációs szabályokkal kapcsolatos incidenseket, és a támadás elhárításához és a hálózat védelméhez ajánlott lépéseket tesz. Ez a forgatókönyv biztonsági csapatok számára készült, beleértve a biztonsági üzemeltetési központ (SOC) elemzőit és a riasztásokat felülvizsgáló, kivizsgáló és osztályzó informatikai rendszergazdákat. A riasztásokat gyorsan valódi pozitívként (TP) vagy hamis pozitívként (TP) osztályozhatja, és a TP-riasztásokhoz ajánlott műveleteket hajthat végre a támadás elhárításához.
A forgatókönyv használatának eredménye a következő:
A beérkezett üzenetek módosítására vonatkozó szabályokkal kapcsolatos riasztásokat rosszindulatú (TP) vagy jóindulatú (FP) tevékenységként azonosítja.
Ha kártékony, eltávolítja a beérkezett üzenetekre vonatkozó rosszindulatú módosítási szabályokat.
Ha rosszindulatú e-mail-címre továbbítja az e-maileket, meg kell tennie a szükséges műveletet.
Beérkezett üzenetek kezelésének szabályai
A levelezési szabályok úgy vannak beállítva, hogy az előre meghatározott feltételek alapján automatikusan kezeljék az e-maileket. Létrehozhat például egy levelezési szabályt, amellyel áthelyezheti az összes üzenetet a felettesétől egy másik mappába, vagy továbbíthatja a kapott üzeneteket egy másik e-mail-címre.
Rosszindulatú levelezési kezelési szabályok
A támadók beállíthatnak olyan e-mail-szabályokat, amelyek elrejtik a bejövő e-maileket a feltört felhasználói postaládában, hogy elrejtsék a rosszindulatú tevékenységeiket a felhasználó elől. Emellett szabályokat is beállíthatnak a feltört felhasználói postaládában az e-mailek törléséhez, az e-mailek másik kevésbé észrevehető mappába (például RSS) való áthelyezéséhez, illetve az e-mailek külső fiókba való továbbításához. Egyes szabályok áthelyezhetik az összes e-mailt egy másik mappába, és "olvasottként" jelölhetik meg őket, míg egyes szabályok csak azokat a leveleket helyezhetik át, amelyek az e-mail-üzenetben vagy a tárgyban megadott kulcsszavakat tartalmaznak.
A beérkezett üzenetek szabálya például beállítható úgy, hogy többek között keressen olyan kulcsszavakat, mint a "számla", az "adathalászat", a "ne válaszoljon", a "gyanús e-mail" vagy a "levélszemét", és helyezze át őket egy külső e-mail-fiókba. A támadók a feltört felhasználói postaládát is használhatják levélszemét, adathalász e-mailek vagy kártevők terjesztésére.
Munkafolyamat
Ez a munkafolyamat azonosítja a gyanús levelezési manipulációs szabályok tevékenységeit.
Vizsgálati lépések
Ez a szakasz részletes részletes útmutatást tartalmaz az incidensre való reagáláshoz és a szervezet további támadások elleni védelméhez ajánlott lépések megtételéhez.
1. Tekintse át a riasztásokat
Íme egy példa egy üzenetkezelési szabály riasztására a riasztási üzenetsorban.
Íme egy példa egy rosszindulatú üzenetkezelési szabály által aktivált riasztás részleteire.
2. A beérkezett üzenetek kezelésének szabályparamétereinek vizsgálata
Állapítsa meg, hogy a szabályok gyanúsnak tűnnek-e a következő szabályparaméterek vagy feltételek alapján:
Kulcsszavak:
Előfordulhat, hogy a támadó csak bizonyos szavakat tartalmazó e-mailekre alkalmazza a módosítási szabályt. Ezeket a kulcsszavakat bizonyos attribútumok alatt találja, például: "BodyContainsWords", "SubjectContainsWords" vagy "SubjectOrBodyContainsWords".
Ha vannak kulcsszavak szerinti szűrések, ellenőrizze, hogy a kulcsszavak gyanúsnak tűnnek-e (gyakori forgatókönyvek például a támadó tevékenységével kapcsolatos e-mailek szűrése, például az "adathalászat", a "levélszemét" és a "ne válaszoljon").
Ha egyáltalán nincs szűrő, az is gyanús lehet.
Célmappát
A biztonsági észlelés elkerülése érdekében a támadó áthelyezheti az e-maileket egy kevésbé észrevehető mappába, és olvasottként megjelölheti az e-maileket (például "RSS" mappa). Ha a támadó a "MoveToFolder" és a "MarkAsRead" műveletet alkalmazza, ellenőrizze, hogy a célmappa valamilyen módon kapcsolódik-e a szabályban szereplő kulcsszavakhoz, és döntse el, hogy gyanúsnak tűnik-e.
Az összes törlése
Egyes támadók csak törlik az összes bejövő e-mailt, hogy elrejtsék a tevékenységüket. Többnyire a kártékony tevékenységekre utal az a szabály, amely szerint a "minden bejövő e-mail törlése" kulcsszavakkal való szűrés nélkül történik.
Íme egy példa a megfelelő eseménynapló "az összes bejövő e-mail törlése" szabálykonfigurációjára (ahogy az a RawEventData.Parameters esetében látható).
3. Az IP-cím vizsgálata
Tekintse át a szabálylétrehozás releváns eseményét végrehajtó IP-cím attribútumait:
- Keresés a bérlő ugyanazon IP-címéről származó egyéb gyanús felhőtevékenységek esetén. A gyanús tevékenység lehet például több sikertelen bejelentkezési kísérlet.
- Az isp közös és ésszerű ehhez a felhasználóhoz?
- A hely közös és ésszerű a felhasználó számára?
4. A szabályok létrehozása előtt vizsgálja meg a felhasználó gyanús tevékenységeit
A szabályok létrehozása előtt áttekintheti az összes felhasználói tevékenységet, ellenőrizheti a biztonsági sérülésre utaló jeleket, és megvizsgálhatja a gyanúsnak tűnő felhasználói műveleteket.
Több sikertelen bejelentkezés esetén például vizsgálja meg a következőt:
Bejelentkezési tevékenység
Ellenőrizze, hogy a szabály létrehozása előtti bejelentkezési tevékenység nem gyanús-e. (közös hely / ISP / felhasználói ügynök).
Riasztások
Ellenőrizze, hogy a felhasználó kapott-e riasztásokat a szabályok létrehozása előtt. Ez azt jelezheti, hogy a felhasználói fiók biztonsága sérült. Például lehetetlen utazási riasztás, ritkán használt ország/régió, több sikertelen bejelentkezés, többek között.)
Esemény
Ellenőrizze, hogy a riasztás más riasztásokhoz van-e társítva, amelyek incidenst jeleznek. Ha igen, ellenőrizze, hogy az incidens tartalmaz-e más valódi pozitív riasztásokat.
Speciális keresési lekérdezések
Az Advanced Hunting egy lekérdezésalapú veszélyforrás-keresési eszköz, amellyel megvizsgálhatja a hálózat eseményeit a fenyegetésjelzők megkereséséhez.
Ezzel a lekérdezésrel megkeresheti az összes új beérkezett üzenetekre vonatkozó szabályeseményt az adott időtartományban.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule", "UpdateInboxRules") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
A RuleConfig oszlop biztosítja az új beérkezett üzenetek szabálykonfigurációját.
Ezzel a lekérdezéssel ellenőrizheti, hogy az isp gyakori-e a felhasználó számára a felhasználó előzményeinek áttekintésével.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
Ezzel a lekérdezéssel ellenőrizheti, hogy az ország/régió közös-e a felhasználó számára a felhasználó előzményeinek áttekintésével.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
Ezzel a lekérdezéssel ellenőrizheti, hogy a felhasználói ügynök gyakori-e a felhasználó számára. Ehhez tekintse meg a felhasználó előzményeit.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
Javasolt műveletek
- Tiltsa le a kártékony levelezési szabályt.
- Állítsa alaphelyzetbe a felhasználói fiók hitelesítő adatait. Azt is ellenőrizheti, hogy a felhasználói fiókot feltörték-e Microsoft Defender for Cloud Apps, amely biztonsági jeleket kap Microsoft Entra ID-védelem.
- Keresés az érintett felhasználói fiók által végrehajtott egyéb rosszindulatú tevékenységekre.
- Ellenőrizze, hogy vannak-e más gyanús tevékenységek a bérlőben, amelyek ugyanabból az IP-címből vagy ugyanabból az ip-címből származnak (ha az isp nem gyakori), hogy más feltört felhasználói fiókokat találjon.
Lásd még
- A riasztások besorolásának áttekintése
- Gyanús e-mail-továbbítási tevékenység
- Bejövő üzenetek továbbítása - gyanús szabályok
- Értesítések vizsgálata
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.