Bagikan melalui

Investigasi pengelabuan

Artikel ini menyediakan panduan tentang mengidentifikasi dan menyelidiki serangan phishing dalam organisasi Anda. Instruksi langkah demi langkah membantu Anda mengambil tindakan perbaikan yang diperlukan untuk melindungi informasi dan meminimalkan risiko lebih lanjut.

Artikel ini berisi bagian berikut:

  • Prasyarat: Mencakup persyaratan khusus yang perlu Anda selesaikan sebelum memulai penyelidikan. Misalnya, pengelogan yang harus diaktifkan, peran dan izin yang diperlukan, antara lain.
  • Alur kerja: Menampilkan alur logis yang harus Anda ikuti untuk melakukan penyelidikan ini.
  • Daftar periksa: Berisi daftar tugas untuk setiap langkah dalam bagan alur. Daftar periksa ini dapat membantu di lingkungan yang sangat diatur untuk memverifikasi item yang telah selesai, atau sebagai gerbang berkualitas untuk Anda sendiri.
  • Langkah-langkah investigasi: Menyertakan panduan langkah demi langkah terperinci untuk penyelidikan khusus ini.

Prasyarat

Berikut adalah pengaturan dan konfigurasi umum yang harus Anda selesaikan sebelum melanjutkan penyelidikan phishing.

Detail akun

Sebelum melanjutkan penyelidikan, Anda harus memiliki nama pengguna, nama prinsipal pengguna (UPN), atau alamat email akun yang Anda duga disusupi.

Persyaratan dasar Microsoft 365

Memverifikasi pengaturan audit

Verifikasi bahwa audit kotak surat aktif secara default diaktifkan dengan menjalankan perintah berikut di Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

Nilai False menunjukkan bahwa audit kotak surat diaktifkan untuk semua kotak surat di organisasi, terlepas dari nilai properti AuditEnabled pada kotak surat individual. Untuk informasi selengkapnya, lihat Memastikan audit kotak surat diaktifkan secara default.

Penelusuran Pesan

Log jejak pesan adalah komponen yang sangat berharga yang membantu menemukan sumber asli pesan dan penerima yang dimaksudkan. Anda bisa menggunakan fungsionalitas pelacakan pesan di Pusat admin Exchange (EAC) di https://admin.exchange.microsoft.com/#/messagetrace atau dengan cmdlet Get-MessageTrace di Exchange Online PowerShell.

Catatan

Jejak pesan juga tersedia di portal Microsoft Defender di bawah Email & kolaborasiJejak pesan Exchange, tetapi itu hanya tautan rujukan langsung ke jejak pesan di EAC.

Beberapa komponen fungsi pelacakan pesan cukup jelas tetapi MESSAGE-ID adalah pengidentifikasi unik untuk pesan email dan memerlukan pemahaman menyeluruh. Untuk mendapatkan MESSAGE-ID untuk email yang menarik, Anda perlu memeriksa header email mentah.

Anda mencari log audit terpadu untuk melihat semua aktivitas pengguna dan admin di organisasi Microsoft 365 Anda.

Apakah log masuk dan/atau log audit diekspor ke sistem eksternal?

Karena sebagian besar data sign-in dan audit ID Microsoft Entra akan ditimpa setelah 30 atau 90 hari, kami sarankan Anda menggunakan Microsoft Sentinel, Azure Monitor, atau sistem manajemen informasi dan peristiwa keamanan eksternal (SIEM).

Peran dan izin diperlukan

Pengaturan Izin di Microsoft Entra ID

Kami merekomendasikan akun yang melakukan penyelidikan setidaknya adalah Pembaca Keamanan.

Izin-izin pada Microsoft 365

Peran Pembaca Keamanan di portal Pertahanan Microsoft atau portal kepatuhan Microsoft Purview harus memberi Anda izin yang memadai untuk mencari log yang relevan.

Jika Anda tidak yakin tentang peran yang akan digunakan, lihat Menemukan izin yang diperlukan untuk menjalankan cmdlet Exchange apa pun.

Microsoft Defender untuk Endpoint

Jika Anda memiliki Microsoft Defender untuk Titik Akhir (MDE), Anda harus menggunakannya untuk proses ini. Untuk informasi selengkapnya, lihat Mengatasi phishing dengan berbagi sinyal dan pembelajaran mesin.

Persyaratan sistem

Persyaratan perangkat keras

Sistem harus dapat menjalankan PowerShell.

Persyaratan perangkat lunak

Modul PowerShell berikut diperlukan untuk penyelidikan lingkungan cloud:

Alur kerja

Bagan alur kerja investigasi phishing.

Anda juga dapat:

  • Unduh alur kerja playbook respons insiden phishing dan lainnya sebagai PDF.
  • Unduh alur kerja pada panduan respons insiden untuk serangan phishing dan insiden lainnya sebagai file Visio.

Daftar periksa

Daftar periksa ini membantu Anda mengevaluasi proses investigasi dan memverifikasi bahwa langkah-langkah selesai selama penyelidikan:

   
Meninjau email pengelabuan awal
Dapatkan daftar pengguna yang mendapatkan email ini
Mendapatkan tanggal terbaru saat pengguna memiliki akses ke kotak surat
Apakah akses yang didelegasikan dikonfigurasi pada kotak surat?
Apakah ada aturan penerusan yang dikonfigurasi pada kotak surat?
Meninjau aturan alur email Exchange Anda (aturan transportasi
Menemukan pesan email
Apakah pengguna membaca atau membuka email?
Siapa lagi yang mendapat email yang sama?
Apakah email berisi lampiran?
Apakah ada payload dalam lampiran?
Periksa header email untuk sumber pengirim yang benar
Memverifikasi alamat IP kepada penyerang/kampanye
Apakah pengguna memilih tautan dalam email?
Di titik akhir mana email dibuka?
Apakah muatan lampiran sudah dijalankan?
Apakah IP tujuan atau URL disentuh atau dibuka?
Apakah kode berbahaya dijalankan?
Proses masuk apa yang terjadi dengan akun untuk skenario federasi?
Apa saja aktivitas masuk yang terjadi dengan akun untuk skenario terkelola?
Menyelidiki alamat IP sumber
Menyelidiki ID perangkat yang ditemukan
Menyelidiki setiap ID Aplikasi

Anda juga dapat mengunduh daftar periksa playbook phishing dan insiden lainnya sebagai file Excel.

Langkah investigasi

Untuk penyelidikan ini, Anda memiliki contoh email pengelabuan, atau bagian dari email. Misalnya, Anda mungkin memiliki alamat pengirim, subjek email, atau bagian pesan untuk memulai penyelidikan. Pastikan juga Bahwa Anda telah menyelesaikan dan mengaktifkan semua pengaturan seperti yang direkomendasikan di bagian Prasyarat .

Mendapatkan daftar pengguna / identitas yang mendapatkan email

Sebagai langkah pertama, Anda perlu mendapatkan daftar pengguna / identitas yang menerima email phishing. Tujuan dari langkah ini adalah untuk merekam daftar pengguna/identitas potensial yang nantinya akan Anda gunakan untuk melakukan iterasi untuk langkah-langkah penyelidikan lebih lanjut. Lihat bagian Alur Kerja untuk diagram alur tingkat tinggi dari langkah-langkah yang perlu Anda ikuti selama penyelidikan ini.

Kami tidak memberikan rekomendasi apa pun dalam playbook ini tentang bagaimana Anda ingin merekam daftar pengguna /identitas potensial ini. Bergantung pada ukuran investigasi, Anda dapat menggunakan buku Excel, file CSV, atau bahkan database untuk penyelidikan yang lebih besar. Ada beberapa cara untuk mendapatkan daftar identitas di penyewa tertentu, dan berikut adalah beberapa contohnya.

Membuat pencarian Konten di portal kepatuhan Microsoft Purview

Gunakan indikator untuk membuat dan menjalankan pencarian Konten. Untuk petunjuknya, lihat Membuat pencarian konten.

Untuk daftar lengkap properti email yang dapat dicari, lihat properti email yang dapat dicari.

Contoh berikut mengembalikan pesan yang diterima oleh pengguna antara 13 April 2022 dan 14 April 2022 dan yang berisi kata-kata "tindakan" dan "diperlukan" di baris subjek:

(Received:4/13/2022..4/14/2022) AND (Subject:'Action required')

Contoh kueri berikut mengembalikan pesan yang dikirim oleh chatsuwloginsset12345@outlook.com dan berisi frasa yang tepat "Perbarui informasi akun Anda" di baris subjek.

(From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Untuk informasi selengkapnya, lihat cara mencari dan menghapus pesan di organisasi Anda.

Gunakan cmdlet Search-Mailbox di Exchange Online PowerShell

Anda juga bisa menggunakan cmdlet Search-Mailbox di Exchange Online PowerShell untuk melakukan kueri tertentu terhadap kotak surat target yang diinginkan dan menyalin hasilnya ke kotak surat tujuan yang tidak terkait.

Contoh kueri berikut mencari kotak surat Jane Smith untuk email yang berisi frasa "Invoice" dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama "Investigation."

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Dalam contoh perintah ini, kueri mencari semua kotak surat penyewa untuk email yang berisi frasa "InvoiceUrgent" dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama "Investigasi."

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Untuk informasi sintaks dan parameter terperinci, lihat Search-Mailbox.

Apakah akses yang didelegasikan dikonfigurasi pada kotak surat?

Gunakan skrip berikut untuk memeriksa apakah akses yang didelegasikan dikonfigurasi pada kotak surat: https://github.com/OfficeDev/O365-InvestigationTooling/blob/master/DumpDelegatesandForwardingRules.ps1.

Untuk membuat laporan ini, jalankan skrip PowerShell kecil yang mendapatkan daftar semua pengguna Anda. Kemudian, gunakan cmdlet Get-MailboxPermission untuk membuat file CSV dari semua delegasi kotak surat dalam penyewaan Anda.

Cari nama atau pemberian izin yang tidak biasa. Jika Anda melihat sesuatu yang tidak biasa, hubungi pemilik kotak surat untuk memeriksa apakah itu sah.

Apakah ada aturan pemindahan yang dikonfigurasi untuk kotak surat?

Anda perlu memeriksa setiap kotak surat yang diidentifikasi untuk penerusan kotak surat (juga dikenal sebagai penerusan SMTP (Protokol Transfer Surat Sederhana)) atau aturan Kotak Masuk yang meneruskan pesan email ke penerima eksternal (biasanya, aturan Kotak Masuk yang baru dibuat).

  • Untuk memeriksa pengaturan penerusan semua kotak surat, jalankan perintah berikut di Exchange Online PowerShell:

    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited | Format-Table -Auto MicrosoftOnlineServicesID,ForwardingSmtpAddress,DeliverToMailboxAndForward | Export-csv C:\Temp\Forwarding.csv -NoTypeInformation

  • Untuk memeriksa aturan Kotak Masuk yang dibuat di kotak surat antara tanggal yang ditentukan, jalankan perintah berikut ini di Exchange Online PowerShell:

    Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -ResultSize 5000 -RecordType exchangeadmin -Operations New-InboxRule | Export-csv NoTypeInformation -Path c:\temp\Inboxrulesoutput.csv

  • Anda juga bisa menggunakan laporan Pesan yang diteruskan secara otomatis di pusat admin Exchange (EAC). Untuk petunjuknya, lihat Laporan pesan yang diteruskan secara otomatis di Exchange Online.

    Catatan:

    • Cari lokasi target yang tidak biasa, atau alamat eksternal apa pun.
    • Cari aturan penerusan dengan kata kunci yang tidak umum dalam kriteria seperti semua email dengan kata faktur di subjek. Hubungi pemilik kotak surat untuk memeriksa apakah itu sah.

Meninjau aturan Kotak Masuk

Periksa penghapusan aturan Kotak Masuk, dengan mempertimbangkan tanda waktu yang berdekatan dengan penyelidikan Anda. Sebagai contoh, gunakan perintah berikut di Exchange Online PowerShell:

Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -Operations Remove-InboxRule | Export-CSV NoTypeInformation -Path c:\temp\removedInboxRules.csv

Meninjau aturan alur email Exchange (aturan transportasi)

Ada dua cara untuk mendapatkan daftar aturan alur email Exchange (juga dikenal sebagai aturan transportasi) di organisasi Anda:

Cari aturan baru, atau aturan yang dimodifikasi untuk mengalihkan email ke domain eksternal. Jumlah aturan harus diketahui dan relatif kecil. Anda dapat melakukan pencarian log audit untuk menentukan siapa yang membuat aturan dan dari tempat mereka membuatnya. Jika Anda melihat sesuatu yang tidak biasa, hubungi pembuat untuk menentukan apakah itu sah.

Mendapatkan tanggal terbaru saat pengguna memiliki akses ke kotak surat

Di portal Microsoft Defender atau portal kepatuhan Microsoft Purview, navigasikan ke log audit gabungan. Di bawah Aktivitas di daftar drop-down, Anda bisa memfilter menurut Aktivitas Kotak Surat Exchange.

Kemampuan untuk mencantumkan pengguna yang disusupi tersedia di portal Pertahanan Microsoft.

Laporan ini memperlihatkan aktivitas yang dapat menunjukkan kotak surat diakses secara terlarang. Ini termasuk pesan yang dibuat atau diterima, pesan yang dipindahkan atau dihapus, pesan yang disalin atau dihapus permanen, kirim pesan menggunakan kirim atas nama atau kirim sebagai, dan semua masuk ke kotak surat. Data mencakup tanggal, alamat IP, pengguna, aktivitas yang dilakukan, item yang terkena dampak, dan detail yang lebih rinci.

Catatan

Agar data ini direkam, Anda harus mengaktifkan opsi audit kotak surat.

Volume data yang disertakan di sini bisa sangat besar, jadi fokuskan pencarian Anda pada pengguna yang akan berdampak tinggi jika dilanggar. Cari pola yang tidak biasa seperti waktu ganjil dalam sehari, atau alamat IP yang tidak biasa, dan cari pola seperti pemindahan, pembersihan, atau penghapusan dalam volume tinggi.

Apakah pengguna membaca/membuka email?

Ada dua kasus utama di sini:

  • Kotak surat berada di Exchange Online.
  • Kotak surat berada di Exchange lokal (hibrid Exchange).

Apakah pengguna Exchange Online membuka email

Gunakan cmdlet Search-Mailbox di Exchange Online PowerShell untuk melakukan kueri pencarian tertentu terhadap kotak surat target tertentu dan menyalin hasilnya ke kotak surat tujuan lain yang tidak terkait.

Contoh kueri berikut mencari kotak surat milik Janes Smith guna menemukan email yang berisi frasa Faktur dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama Investigasi.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Contoh kueri berikut mencari semua kotak surat penyewa untuk email yang berisi frasa InvoiceUrgent dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama Investigasi.

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Apakah pengguna membuka email dalam hibrid Exchange

Gunakan cmdlet Get-MessageTrackingLog untuk mencari informasi pengiriman pesan yang disimpan di log pelacakan pesan. Berikut contohnya:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2022 09:00:00" -End "03/15/2022 17:00:00" -Sender "john@contoso.com"

Untuk informasi sintaks dan parameter terperinci, lihat Get-MessageTrackingLog.

Siapa lagi yang mendapat email yang sama?

Ada dua kasus utama di sini:

  • Kotak surat berada di Exchange Online.
  • Kotak surat berada di Exchange lokal (hibrid Exchange).

Alur kerja pada dasarnya sama seperti yang dijelaskan dalam bagian Dapatkan daftar pengguna/identitas yang mendapatkan email sebelumnya dalam artikel ini.

Menemukan email di Exchange Online

Gunakan cmdlet Search-Mailbox untuk melakukan kueri pencarian tertentu terhadap kotak surat target yang relevan dan menyalin hasilnya ke kotak surat destinasi yang tidak terkait.

Kueri sampel ini mencari semua kotak surat penyewa untuk email yang berisi subjek InvoiceUrgent dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama Investigasi.

Get-Mailbox | Search-Mailbox -SearchQuery "Subject:InvoiceUrgent" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Menemukan email di Exchange lokal

Gunakan cmdlet Get-MessageTrackingLog untuk mencari informasi pengiriman pesan yang disimpan di log pelacakan pesan. Berikut contohnya:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -MessageSubject "InvoiceUrgent"

Untuk informasi sintaks dan parameter terperinci, lihat Get-MessageTrackingLog.

Apakah email berisi lampiran?

Ada dua kasus utama di sini:

  • Kotak surat berada di Exchange Online.
  • Kotak surat berada di Exchange lokal (hibrid Exchange).

Cari tahu apakah pesan berisi lampiran di Exchange Online

Jika kotak surat berada di Exchange Online, Anda memiliki dua opsi:

  • Gunakan cmdlet Search-Mailbox klasik
  • Menggunakan cmdlet New-ComplianceSearch

Gunakan cmdlet Search-Mailbox untuk melakukan kueri pencarian tertentu terhadap kotak surat target yang relevan dan menyalin hasilnya ke kotak surat destinasi yang tidak terkait. Berikut contohnya:

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Untuk informasi sintaks dan parameter terperinci, lihat Search-Mailbox.

Opsi lainnya adalah menggunakan cmdlet New-ComplianceSearch . Berikut contohnya:

New-ComplianceSearch -Name "Investigation" -ExchangeLocation "Research Department" -ContentMatchQuery "from:pilar@contoso.com AND hasattachment:true"

Untuk informasi sintaks dan parameter terperinci, lihat New-ComplianceSearch.

Cari tahu apakah pesan berisi lampiran di Exchange lokal

Catatan

Pada Server Exchange 2013, prosedur ini memerlukan Pembaruan Kumulatif 12 (CU12) atau yang lebih baru. Untuk informasi selengkapnya, lihat artikel ini.

Gunakan cmdlet Pencarian-Kotak Surat untuk mencari informasi pengiriman pesan yang disimpan dalam log pelacakan pesan. Berikut contohnya:

Search-Mailbox -Identity "Jane Smith"-SearchQuery AttachmentNames:attachment_name -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Untuk informasi sintaks dan parameter terperinci, lihat Search-Mailbox.

Apakah ada payload dalam lampiran?

Cari potensi konten berbahaya dalam lampiran. Misalnya, file PDF, PowerShell yang dikaburkan, atau kode skrip lainnya.

> dalam laporan Status perlindungan Ancaman menunjukkan jumlah pesan masuk dan keluar yang terdeteksi mengandung malware untuk organisasi Anda. Untuk informasi selengkapnya, lihat Laporan status perlindungan ancaman: Menampilkan data berdasarkan Email Malware>.

Periksa header email untuk sumber pengirim yang benar

Banyak komponen fungsionalitas pelacakan pesan yang sudah cukup jelas, tetapi Anda perlu memahami Message-ID secara menyeluruh. MESSAGE-ID adalah pengidentifikasi unik untuk pesan email.

Untuk mendapatkan MESSAGE-ID untuk email yang menarik, Anda perlu memeriksa header email mentah. Untuk instruksi tentang cara melakukannya di Microsoft Outlook atau Outlook di Web (sebelumnya dikenal sebagai Outlook Web App atau OWA) lihat Menampilkan header pesan internet di Outlook

Saat menampilkan header email, salin dan tempel informasi header ke penganalisis header email yang disediakan oleh MXToolbox atau Azure untuk keterbacaan.

  • Informasi Perutean Header: Informasi perutean menyediakan rute email saat sedang ditransfer antar komputer.

  • Kerangka Kerja Kebijakan Pengirim (SPF): Validasi email untuk membantu mencegah/mendeteksi spoofing. Dalam catatan SPF, Anda dapat menentukan alamat IP dan domain mana yang dapat mengirim email atas nama domain.

  • SPF = Pass: Catatan SPF TXT menentukan pengirim diizinkan untuk mengirim atas nama domain.

    • SPF = Netral
    • SPF = Gagal: Konfigurasi kebijakan menentukan hasil pesan IP Pengirim
    • Email SMTP: Memvalidasi apakah ini adalah domain yang sah

    Untuk informasi selengkapnya tentang SPF, lihat Cara Microsoft 365 menggunakan SPF untuk mencegah spoofing

  • Nilai Umum: Berikut adalah perincian header yang paling umum digunakan dan dilihat, dan nilainya. Ini adalah informasi berharga dan Anda dapat menggunakannya di bidang Pencarian di Threat Explorer.

    • Dari alamat
    • Subjek
    • Identifikasi Pesan
    • Untuk mengatasi
    • Alamat jalur pengembalian

  • Hasil Autentikasi: Anda dapat menemukan apa yang diautentikasi klien email Anda saat email dikirim. Ini memberi Anda autentikasi SPF dan DKIM.

  • IP Asal: IP asli dapat digunakan untuk menentukan apakah IP diblokir dan untuk mendapatkan lokasi geografis.

  • Tingkat Keyakinan Spam (SCL): Ini menentukan probabilitas jika email masuk adalah spam.

    • -1: Melewati sebagian besar pemfilteran spam dari pengirim yang aman, penerima aman, atau alamat IP yang terdaftar dengan aman (mitra tepercaya)
    • 0, 1: Bukan spam karena pesan dipindai dan dinyatakan bersih
    • 5, 6: Spam
    • 7, 8, 9: Spam dengan keyakinan tinggi

Catatan SPF disimpan dalam database DNS dan dibundel dengan informasi pencarian DNS. Anda dapat memeriksa catatan Kerangka Kerja Kebijakan Pengirim (SPF) secara manual untuk domain dengan menggunakan perintah nslookup :

  1. Buka prompt perintah (Mulai > Jalankan > cmd).

  2. Ketik perintah sebagai: nslookup -type=txt" spasi, lalu nama domain/host. Contoh:

     nslookup -type=txt domainname.com

Catatan

-all (tolak atau jangan kirim email jika ada yang tidak cocok), hal ini direkomendasikan.

Periksa apakah DKIM diaktifkan di domain kustom Anda di Microsoft 365

Anda perlu menerbitkan dua catatan CNAME untuk setiap domain yang ingin mereka tambahkan kunci domain yang diidentifikasi email (DKIM). Lihat cara menggunakan DKIM untuk memvalidasi email keluar yang dikirim dari domain kustom Anda.

Periksa autentikasi, pelaporan, dan kesamaan pesan berbasis domain (DMARC)

Anda dapat menggunakan fitur ini untuk memvalidasi email keluar di Microsoft 365.

Memverifikasi alamat IP kepada penyerang/kampanye

Untuk memverifikasi atau menyelidiki alamat IP yang diidentifikasi dari langkah-langkah investigasi sebelumnya, Anda dapat menggunakan salah satu opsi berikut:

  • VirusTotal
  • Microsoft Defender untuk Endpoint
  • Sumber Publik:
    • Ipinfo.io - Memiliki opsi gratis untuk mendapatkan lokasi geografis
    • Censys.io - Memiliki opsi gratis untuk mendapatkan informasi tentang apa yang diketahui pemindaian pasif mereka dari internet
    • AbuseIPDB.com - Memiliki opsi gratis yang menyediakan beberapa geolokasi
    • Tanyakan Bing dan Google - Cari di alamat IP

Reputasi URL

Anda dapat menggunakan perangkat Windows 10 dan browser Microsoft Edge apa pun yang menggunakan teknologi SmartScreen .

Berikut adalah beberapa contoh reputasi URL pihak ketiga:

Saat Anda menyelidiki alamat IP dan URL, cari dan korelasikan alamat IP dengan indikator kompromi (IOC) atau indikator lainnya, tergantung pada output atau hasil dan tambahkan ke daftar sumber dari lawan.

Jika pengguna mengklik tautan di email (sengaja atau tidak), maka tindakan ini biasanya mengarah ke pembuatan proses baru pada perangkat itu sendiri. Tergantung pada perangkat yang digunakan, Anda perlu melakukan penyelidikan yang spesifik terhadap perangkat tersebut. Misalnya, Windows vs Android vs iOS. Dalam artikel ini, kami telah menjelaskan pendekatan umum bersama dengan beberapa detail untuk perangkat berbasis Windows. Jika Anda menggunakan Microsoft Defender untuk Titik Akhir (MDE), Anda juga dapat menggunakannya untuk iOS dan segera untuk Android.

Anda dapat menyelidiki kejadian ini menggunakan Microsoft Defender untuk Endpoint.

  • Log VPN/proksi Tergantung pada vendor solusi proksi dan VPN, Anda perlu memeriksa log yang relevan. Idealnya Anda meneruskan peristiwa ke SIEM Anda atau ke Microsoft Sentinel.

  • Menggunakan Microsoft Defender untuk Titik Akhir Ini adalah skenario terbaik, karena Anda dapat menggunakan inteligensi ancaman dan analisis otomatis kami untuk membantu penyelidikan Anda. Untuk informasi selengkapnya, lihat cara menyelidiki peringatan di Microsoft Defender untuk Endpoint.

    Pohon proses Alert membawa triase dan penyelidikan peringatan ke tingkat berikutnya, menampilkan peringatan yang telah diagregasi dan bukti terkait yang terjadi dalam konteks eksekusi dan periode waktu yang sama. Cuplikan layar pohon proses pemberitahuan.

  • Perangkat klien yang berbasis Windows Pastikan Anda telah mengaktifkan opsi Peristiwa Pembuatan Proses. Idealnya, Anda juga harus mengaktifkan Tracing Events pada command-line.

    Pada klien Windows, yang mengaktifkan Peristiwa Audit yang disebutkan di atas sebelum penyelidikan, Anda dapat memeriksa Peristiwa Audit 4688 dan menentukan waktu ketika email dikirimkan kepada pengguna:

    Contoh cuplikan layar Peristiwa Audit 4688.

    Contoh cuplikan layar lain dari Peristiwa Audit 4688.

Di titik akhir mana email dibuka?

Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna memilih tautan dalam email?

Apakah payload tersebut telah dijalankan?

Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna memilih tautan dalam email?

Apakah IP/URL tujuan disentuh atau dibuka?

Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna memilih tautan dalam email?

Apakah kode berbahaya dijalankan?

Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna memilih tautan dalam email?

Proses masuk apa yang terjadi dengan akun tersebut?

Periksa berbagai aktivitas masuk yang terjadi dengan akun.

Skenario Terpadu

Pengaturan log audit dan peristiwa berbeda berdasarkan tingkat sistem operasi (OS) dan versi Server Layanan Federasi Direktori Aktif (ADFS).

Lihat bagian berikut untuk versi server yang berbeda.

Server 2016 dan yang lebih baru

Secara default, ADFS di Windows Server 2016 mengaktifkan audit dasar. Dengan audit dasar, administrator dapat melihat lima peristiwa atau kurang untuk satu permintaan. Tetapi Anda dapat menaikkan atau menurunkan tingkat audit dengan menggunakan perintah ini:

Set-AdfsProperties -AuditLevel Verbose

Untuk informasi selengkapnya, lihat peningkatan audit ADFS di Windows Server.

Jika Microsoft Entra Connect Health terinstal, Anda juga harus melihat laporan IP Berisiko. Alamat IP klien aktivitas masuk yang gagal dikumpulkan melalui server proksi Aplikasi Web. Setiap item dalam laporan IP Berisiko menunjukkan informasi agregat tentang aktivitas masuk yang gagal pada Layanan Federasi Direktori Aktif yang telah melebihi ambang batas yang ditetapkan.

Contoh cuplikan layar laporan IP berisiko.

Untuk informasi selengkapnya, lihat Laporan IP berisiko.

Windows Server 2016 dan yang lebih baru

Untuk peristiwa audit aktual, Anda perlu melihat log peristiwa keamanan dan mencari peristiwa dengan Event ID 1202 untuk autentikasi yang berhasil dan 1203 untuk kegagalan.

Contoh untuk ID Peristiwa 1202:

ID Peristiwa 1202 FreshCredentialSuccessAudit Layanan Federasi memvalidasi kredensial baru. Lihat XML untuk detailnya.

Contoh untuk ID Peristiwa 1203:

ID Peristiwa 1203 FreshCredentialFailureAudit Layanan Federasi gagal memvalidasi kredensial baru. Lihat XML untuk detail kegagalan.

Contoh peristiwa 1203

Contoh peristiwa 4624

Skenario yang dikelola

Periksa log masuk Microsoft Entra untuk satu atau beberapa pengguna yang sedang Anda selidiki.

Di pusat admin Microsoft Entra, navigasikan ke layar Masuk dan tambahkan/ubah filter tampilan untuk jangka waktu yang Anda temukan di langkah-langkah investigasi sebelumnya dan tambahkan nama pengguna sebagai filter, seperti yang ditunjukkan pada gambar ini.

Cuplikan layar contoh filter tampilan dengan jangka waktu.

Anda juga dapat mencari menggunakan Graph API. Misalnya, filter pada properti Pengguna dan dapatkan lastSignInDate bersama dengannya. Cari pengguna tertentu untuk mendapatkan tanggal masuk terakhir bagi pengguna ini. Misalnya: https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'Dhanyah')&$select=displayName,signInActivity

Anda juga dapat menggunakan cmdlet Microsoft Graph PowerShell Get-MgUser untuk melakukan penyelidikan. Contoh:

Get-MgAuditLogSignIn -Filter "userPrincipalName eq ‘johcast@contoso.com’" | Export-Csv -Path ".\UserSignInActivity.csv" -NoTypeInformation

Atau, Anda dapat menggunakan perintah ini:

Get-MgAuditLogSignIn -Filter "userPrincipalName eq ‘johcast@contoso.com’" | Export-Csv -Path ".\UserSignInActivity.csv" -NoTypeInformation

Menyelidiki alamat IP sumber

Berdasarkan alamat IP sumber yang Anda temukan di log masuk Microsoft Entra atau file log ADFS/Federation Server, selidiki lebih lanjut untuk mengetahui dari mana lalu lintas berasal.

Pengguna terkelola

Untuk skenario terkelola, Anda harus mulai melihat log masuk dan memfilter berdasarkan alamat IP sumber:

Contoh cuplikan layar alamat IP pengguna terkelola. 

```powershell
Connect-MgGraph -Scopes "AuditLog.Read.All", "Directory.Read.All"
$ipAddress = "1.2.3.4"
$fromDate = (Get-Date).AddDays(-29).ToString("yyyy-MM-ddTHH:mm:ssZ")
$toDate = (Get-Date).AddDays(-3).ToString("yyyy-MM-ddTHH:mm:ssZ")
Get-MgAuditLogSignIn -Filter "ipAddress eq '$ipAddress' and createdDateTime ge $fromDate and createdDateTime le $toDate" -All |
Select-Object UserPrincipalName, AppDisplayName, IPAddress, ResourceDisplayName, Status, CreatedDateTime |
Out-GridView -Title "Sign-ins from IP $ipAddress"

Anda juga dapat menggunakan cmdlet Microsoft Graph PowerShell Get-MgUser untuk melakukan penyelidikan. Pelajari lebih lanjut:Get-MgUser.

Saat Anda melihat ke dalam daftar hasil, navigasikan ke tab Info perangkat. Bergantung pada perangkat yang digunakan, Anda mendapatkan berbagai output. Berikut beberapa contohnya:

  • Contoh 1 - Perangkat tidak terkelola (BYOD):

    Contoh cuplikan layar perangkat yang tidak dikelola.

  • Contoh 2 - Perangkat terkelola (gabungan Microsoft Entra atau gabungan hibrid Microsoft Entra):

    Contoh cuplikan layar info perangkat terkelola.

Periksa DeviceID jika ada. Anda juga harus mencari OS dan browser atau string User-Agent.

Contoh cuplikan layar ID perangkat.

Rekam CorrelationID, ID Permintaan dan timestamp. Anda harus menggunakan CorrelationID dan tanda waktu untuk menghubungkan temuan Anda dengan peristiwa lain.

Pengguna/aplikasi federasi

Ikuti prosedur yang sama yang disediakan untuk skenario masuk Federasi.

Cari dan catat DeviceID, Tingkat OS, CorrelationID, RequestID.

Menyelidiki DeviceID yang diidentifikasi

Langkah ini hanya relevan untuk perangkat yang dikenali oleh Microsoft Entra ID. Misalnya, dari langkah-langkah sebelumnya, jika Anda menemukan satu atau beberapa ID perangkat potensial, maka Anda dapat menyelidiki lebih lanjut pada perangkat ini. Cari dan rekam DeviceID dan Pemilik Perangkat.

Menyelidiki setiap AppID

Mulailah dengan log masuk dan konfigurasi aplikasi penyewa atau konfigurasi server federasi.

Skenario yang dikelola

Dari detail log masuk yang ditemukan sebelumnya, periksa ID Aplikasi di bawah tab Info dasar:

Cuplikan layar cara memeriksa ID Aplikasi di tab Info Dasar.

Perhatikan perbedaan antara Aplikasi (dan ID) dengan Sumber Daya (dan ID). Aplikasi ini adalah komponen klien yang terlibat, sedangkan Sumber Daya adalah layanan / aplikasi di ID Microsoft Entra.

Dengan AppID ini, Anda sekarang dapat melakukan penelitian di penyewa. Berikut contohnya:

Get-MgApplication -Filter "AppId eq '00001111-aaaa-2222-bbbb-3333cccc4444'"

Id                                       AppId                                    DisplayName

3af6dc4e-b0e5-45ec-8272-56f3f3f875ad     00001111-aaaa-2222-bbbb-3333cccc4444     Claims X-Ray

Dengan informasi ini, Anda dapat mencari di portal Aplikasi Perusahaan. Navigasi ke Semua Aplikasi dan cari AppID tertentu.

Contoh cuplikan layar ID aplikasi.

Playbook tambahan respons insiden

Periksa panduan untuk mengidentifikasi dan menyelidiki jenis serangan lainnya ini:

Sumber daya respons insiden