Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menyediakan panduan tentang mengidentifikasi dan menyelidiki serangan phishing dalam organisasi Anda. Instruksi langkah demi langkah membantu Anda mengambil tindakan perbaikan yang diperlukan untuk melindungi informasi dan meminimalkan risiko lebih lanjut.
Artikel ini berisi bagian berikut:
- Prasyarat: Mencakup persyaratan khusus yang perlu Anda selesaikan sebelum memulai penyelidikan. Misalnya, pengelogan yang harus diaktifkan, peran dan izin yang diperlukan, antara lain.
- Alur kerja: Menampilkan alur logis yang harus Anda ikuti untuk melakukan penyelidikan ini.
- Daftar periksa: Berisi daftar tugas untuk setiap langkah dalam bagan alur. Daftar periksa ini dapat membantu di lingkungan yang sangat diatur untuk memverifikasi item yang telah selesai, atau sebagai gerbang berkualitas untuk Anda sendiri.
- Langkah-langkah investigasi: Menyertakan panduan langkah demi langkah terperinci untuk penyelidikan khusus ini.
Prasyarat
Berikut adalah pengaturan dan konfigurasi umum yang harus Anda selesaikan sebelum melanjutkan penyelidikan phishing.
Detail akun
Sebelum melanjutkan penyelidikan, Anda harus memiliki nama pengguna, nama prinsipal pengguna (UPN), atau alamat email akun yang Anda duga disusupi.
Persyaratan dasar Microsoft 365
Memverifikasi pengaturan audit
Verifikasi bahwa audit kotak surat aktif secara default diaktifkan dengan menjalankan perintah berikut di Exchange Online PowerShell:
Get-OrganizationConfig | Format-List AuditDisabled
Nilai False menunjukkan bahwa audit kotak surat diaktifkan untuk semua kotak surat di organisasi, terlepas dari nilai properti AuditEnabled pada kotak surat individual. Untuk informasi selengkapnya, lihat Memastikan audit kotak surat diaktifkan secara default.
Penelusuran Pesan
Log jejak pesan adalah komponen yang sangat berharga yang membantu menemukan sumber asli pesan dan penerima yang dimaksudkan. Anda bisa menggunakan fungsionalitas pelacakan pesan di Pusat admin Exchange (EAC) di https://admin.exchange.microsoft.com/#/messagetrace atau dengan cmdlet Get-MessageTrace di Exchange Online PowerShell.
Catatan
Jejak pesan juga tersedia di portal Microsoft Defender di
Beberapa komponen fungsi pelacakan pesan cukup jelas tetapi MESSAGE-ID adalah pengidentifikasi unik untuk pesan email dan memerlukan pemahaman menyeluruh. Untuk mendapatkan MESSAGE-ID untuk email yang menarik, Anda perlu memeriksa header email mentah.
Pencarian catatan audit
Anda mencari log audit terpadu untuk melihat semua aktivitas pengguna dan admin di organisasi Microsoft 365 Anda.
Apakah log masuk dan/atau log audit diekspor ke sistem eksternal?
Karena sebagian besar data sign-in dan audit ID Microsoft Entra akan ditimpa setelah 30 atau 90 hari, kami sarankan Anda menggunakan Microsoft Sentinel, Azure Monitor, atau sistem manajemen informasi dan peristiwa keamanan eksternal (SIEM).
Peran dan izin diperlukan
Pengaturan Izin di Microsoft Entra ID
Kami merekomendasikan akun yang melakukan penyelidikan setidaknya adalah Pembaca Keamanan.
Izin-izin pada Microsoft 365
Peran Pembaca Keamanan di portal Pertahanan Microsoft atau portal kepatuhan Microsoft Purview harus memberi Anda izin yang memadai untuk mencari log yang relevan.
Jika Anda tidak yakin tentang peran yang akan digunakan, lihat Menemukan izin yang diperlukan untuk menjalankan cmdlet Exchange apa pun.
Microsoft Defender untuk Endpoint
Jika Anda memiliki Microsoft Defender untuk Titik Akhir (MDE), Anda harus menggunakannya untuk proses ini. Untuk informasi selengkapnya, lihat Mengatasi phishing dengan berbagi sinyal dan pembelajaran mesin.
Persyaratan sistem
Persyaratan perangkat keras
Sistem harus dapat menjalankan PowerShell.
Persyaratan perangkat lunak
Modul PowerShell berikut diperlukan untuk penyelidikan lingkungan cloud:
Modul Microsoft Graph PowerShell. Untuk instruksi penginstalan, lihat Menginstal Microsoft Graph PowerShell SDK.
Modul Exchange Online PowerShell: Untuk instruksi penginstalan, lihat Menginstal dan memelihara modul Exchange Online PowerShell.
Modul PowerShell Respons Insiden Microsoft Entra: Untuk instruksi penginstalan, lihat Modul PowerShell Respons Insiden Microsoft Entra.
Alur kerja
Anda juga dapat:
- Unduh alur kerja playbook respons insiden phishing dan lainnya sebagai PDF.
- Unduh alur kerja pada panduan respons insiden untuk serangan phishing dan insiden lainnya sebagai file Visio.
Daftar periksa
Daftar periksa ini membantu Anda mengevaluasi proses investigasi dan memverifikasi bahwa langkah-langkah selesai selama penyelidikan:
Meninjau email pengelabuan awal | |
Dapatkan daftar pengguna yang mendapatkan email ini | |
Mendapatkan tanggal terbaru saat pengguna memiliki akses ke kotak surat | |
Apakah akses yang didelegasikan dikonfigurasi pada kotak surat? | |
Apakah ada aturan penerusan yang dikonfigurasi pada kotak surat? | |
Meninjau aturan alur email Exchange Anda (aturan transportasi | |
Menemukan pesan email | |
Apakah pengguna membaca atau membuka email? | |
Siapa lagi yang mendapat email yang sama? | |
Apakah email berisi lampiran? | |
Apakah ada payload dalam lampiran? | |
Periksa header email untuk sumber pengirim yang benar | |
Memverifikasi alamat IP kepada penyerang/kampanye | |
Apakah pengguna memilih tautan dalam email? | |
Di titik akhir mana email dibuka? | |
Apakah muatan lampiran sudah dijalankan? | |
Apakah IP tujuan atau URL disentuh atau dibuka? | |
Apakah kode berbahaya dijalankan? | |
Proses masuk apa yang terjadi dengan akun untuk skenario federasi? | |
Apa saja aktivitas masuk yang terjadi dengan akun untuk skenario terkelola? | |
Menyelidiki alamat IP sumber | |
Menyelidiki ID perangkat yang ditemukan | |
Menyelidiki setiap ID Aplikasi |
Anda juga dapat mengunduh daftar periksa playbook phishing dan insiden lainnya sebagai file Excel.
Langkah investigasi
Untuk penyelidikan ini, Anda memiliki contoh email pengelabuan, atau bagian dari email. Misalnya, Anda mungkin memiliki alamat pengirim, subjek email, atau bagian pesan untuk memulai penyelidikan. Pastikan juga Bahwa Anda telah menyelesaikan dan mengaktifkan semua pengaturan seperti yang direkomendasikan di bagian Prasyarat .
Mendapatkan daftar pengguna / identitas yang mendapatkan email
Sebagai langkah pertama, Anda perlu mendapatkan daftar pengguna / identitas yang menerima email phishing. Tujuan dari langkah ini adalah untuk merekam daftar pengguna/identitas potensial yang nantinya akan Anda gunakan untuk melakukan iterasi untuk langkah-langkah penyelidikan lebih lanjut. Lihat bagian Alur Kerja untuk diagram alur tingkat tinggi dari langkah-langkah yang perlu Anda ikuti selama penyelidikan ini.
Kami tidak memberikan rekomendasi apa pun dalam playbook ini tentang bagaimana Anda ingin merekam daftar pengguna /identitas potensial ini. Bergantung pada ukuran investigasi, Anda dapat menggunakan buku Excel, file CSV, atau bahkan database untuk penyelidikan yang lebih besar. Ada beberapa cara untuk mendapatkan daftar identitas di penyewa tertentu, dan berikut adalah beberapa contohnya.
Membuat pencarian Konten di portal kepatuhan Microsoft Purview
Gunakan indikator untuk membuat dan menjalankan pencarian Konten. Untuk petunjuknya, lihat Membuat pencarian konten.
Untuk daftar lengkap properti email yang dapat dicari, lihat properti email yang dapat dicari.
Contoh berikut mengembalikan pesan yang diterima oleh pengguna antara 13 April 2022 dan 14 April 2022 dan yang berisi kata-kata "tindakan" dan "diperlukan" di baris subjek:
(Received:4/13/2022..4/14/2022) AND (Subject:'Action required')
Contoh kueri berikut mengembalikan pesan yang dikirim oleh chatsuwloginsset12345@outlook.com
dan berisi frasa yang tepat "Perbarui informasi akun Anda" di baris subjek.
(From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
Untuk informasi selengkapnya, lihat cara mencari dan menghapus pesan di organisasi Anda.
Gunakan cmdlet Search-Mailbox di Exchange Online PowerShell
Anda juga bisa menggunakan cmdlet Search-Mailbox di Exchange Online PowerShell untuk melakukan kueri tertentu terhadap kotak surat target yang diinginkan dan menyalin hasilnya ke kotak surat tujuan yang tidak terkait.
Contoh kueri berikut mencari kotak surat Jane Smith untuk email yang berisi frasa "Invoice" dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama "Investigation."
Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full
Dalam contoh perintah ini, kueri mencari semua kotak surat penyewa untuk email yang berisi frasa "InvoiceUrgent" dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama "Investigasi."
Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full
Untuk informasi sintaks dan parameter terperinci, lihat Search-Mailbox.
Apakah akses yang didelegasikan dikonfigurasi pada kotak surat?
Gunakan skrip berikut untuk memeriksa apakah akses yang didelegasikan dikonfigurasi pada kotak surat: https://github.com/OfficeDev/O365-InvestigationTooling/blob/master/DumpDelegatesandForwardingRules.ps1.
Untuk membuat laporan ini, jalankan skrip PowerShell kecil yang mendapatkan daftar semua pengguna Anda. Kemudian, gunakan cmdlet Get-MailboxPermission untuk membuat file CSV dari semua delegasi kotak surat dalam penyewaan Anda.
Cari nama atau pemberian izin yang tidak biasa. Jika Anda melihat sesuatu yang tidak biasa, hubungi pemilik kotak surat untuk memeriksa apakah itu sah.
Apakah ada aturan pemindahan yang dikonfigurasi untuk kotak surat?
Anda perlu memeriksa setiap kotak surat yang diidentifikasi untuk penerusan kotak surat (juga dikenal sebagai penerusan SMTP (Protokol Transfer Surat Sederhana)) atau aturan Kotak Masuk yang meneruskan pesan email ke penerima eksternal (biasanya, aturan Kotak Masuk yang baru dibuat).
Untuk memeriksa pengaturan penerusan semua kotak surat, jalankan perintah berikut di Exchange Online PowerShell:
Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited | Format-Table -Auto MicrosoftOnlineServicesID,ForwardingSmtpAddress,DeliverToMailboxAndForward | Export-csv C:\Temp\Forwarding.csv -NoTypeInformation
Untuk memeriksa aturan Kotak Masuk yang dibuat di kotak surat antara tanggal yang ditentukan, jalankan perintah berikut ini di Exchange Online PowerShell:
Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -ResultSize 5000 -RecordType exchangeadmin -Operations New-InboxRule | Export-csv NoTypeInformation -Path c:\temp\Inboxrulesoutput.csv
Anda juga bisa menggunakan laporan Pesan yang diteruskan secara otomatis di pusat admin Exchange (EAC). Untuk petunjuknya, lihat Laporan pesan yang diteruskan secara otomatis di Exchange Online.
Catatan:
- Cari lokasi target yang tidak biasa, atau alamat eksternal apa pun.
- Cari aturan penerusan dengan kata kunci yang tidak umum dalam kriteria seperti semua email dengan kata faktur di subjek. Hubungi pemilik kotak surat untuk memeriksa apakah itu sah.
Meninjau aturan Kotak Masuk
Periksa penghapusan aturan Kotak Masuk, dengan mempertimbangkan tanda waktu yang berdekatan dengan penyelidikan Anda. Sebagai contoh, gunakan perintah berikut di Exchange Online PowerShell:
Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -Operations Remove-InboxRule | Export-CSV NoTypeInformation -Path c:\temp\removedInboxRules.csv
Meninjau aturan alur email Exchange (aturan transportasi)
Ada dua cara untuk mendapatkan daftar aturan alur email Exchange (juga dikenal sebagai aturan transportasi) di organisasi Anda:
- Di pusat admin Exchange atau Exchange Online PowerShell. Untuk petunjuknya, lihat Menampilkan atau mengubah aturan alur email.
- Laporan aturan transportasi Exchange di pusat admin Exchange. Untuk petunjuknya, lihat Laporan aturan transportasi Exchange di Exchange Online.
Cari aturan baru, atau aturan yang dimodifikasi untuk mengalihkan email ke domain eksternal. Jumlah aturan harus diketahui dan relatif kecil. Anda dapat melakukan pencarian log audit untuk menentukan siapa yang membuat aturan dan dari tempat mereka membuatnya. Jika Anda melihat sesuatu yang tidak biasa, hubungi pembuat untuk menentukan apakah itu sah.
Mendapatkan tanggal terbaru saat pengguna memiliki akses ke kotak surat
Di portal Microsoft Defender atau portal kepatuhan Microsoft Purview, navigasikan ke log audit gabungan. Di bawah Aktivitas di daftar drop-down, Anda bisa memfilter menurut Aktivitas Kotak Surat Exchange.
Kemampuan untuk mencantumkan pengguna yang disusupi tersedia di portal Pertahanan Microsoft.
Laporan ini memperlihatkan aktivitas yang dapat menunjukkan kotak surat diakses secara terlarang. Ini termasuk pesan yang dibuat atau diterima, pesan yang dipindahkan atau dihapus, pesan yang disalin atau dihapus permanen, kirim pesan menggunakan kirim atas nama atau kirim sebagai, dan semua masuk ke kotak surat. Data mencakup tanggal, alamat IP, pengguna, aktivitas yang dilakukan, item yang terkena dampak, dan detail yang lebih rinci.
Catatan
Agar data ini direkam, Anda harus mengaktifkan opsi audit kotak surat.
Volume data yang disertakan di sini bisa sangat besar, jadi fokuskan pencarian Anda pada pengguna yang akan berdampak tinggi jika dilanggar. Cari pola yang tidak biasa seperti waktu ganjil dalam sehari, atau alamat IP yang tidak biasa, dan cari pola seperti pemindahan, pembersihan, atau penghapusan dalam volume tinggi.
Apakah pengguna membaca/membuka email?
Ada dua kasus utama di sini:
- Kotak surat berada di Exchange Online.
- Kotak surat berada di Exchange lokal (hibrid Exchange).
Apakah pengguna Exchange Online membuka email
Gunakan cmdlet Search-Mailbox di Exchange Online PowerShell untuk melakukan kueri pencarian tertentu terhadap kotak surat target tertentu dan menyalin hasilnya ke kotak surat tujuan lain yang tidak terkait.
Contoh kueri berikut mencari kotak surat milik Janes Smith guna menemukan email yang berisi frasa Faktur dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama Investigasi.
Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full
Contoh kueri berikut mencari semua kotak surat penyewa untuk email yang berisi frasa InvoiceUrgent dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama Investigasi.
Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full
Apakah pengguna membuka email dalam hibrid Exchange
Gunakan cmdlet Get-MessageTrackingLog untuk mencari informasi pengiriman pesan yang disimpan di log pelacakan pesan. Berikut contohnya:
Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2022 09:00:00" -End "03/15/2022 17:00:00" -Sender "john@contoso.com"
Untuk informasi sintaks dan parameter terperinci, lihat Get-MessageTrackingLog.
Siapa lagi yang mendapat email yang sama?
Ada dua kasus utama di sini:
- Kotak surat berada di Exchange Online.
- Kotak surat berada di Exchange lokal (hibrid Exchange).
Alur kerja pada dasarnya sama seperti yang dijelaskan dalam bagian Dapatkan daftar pengguna/identitas yang mendapatkan email sebelumnya dalam artikel ini.
Menemukan email di Exchange Online
Gunakan cmdlet Search-Mailbox untuk melakukan kueri pencarian tertentu terhadap kotak surat target yang relevan dan menyalin hasilnya ke kotak surat destinasi yang tidak terkait.
Kueri sampel ini mencari semua kotak surat penyewa untuk email yang berisi subjek InvoiceUrgent dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama Investigasi.
Get-Mailbox | Search-Mailbox -SearchQuery "Subject:InvoiceUrgent" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full
Menemukan email di Exchange lokal
Gunakan cmdlet Get-MessageTrackingLog untuk mencari informasi pengiriman pesan yang disimpan di log pelacakan pesan. Berikut contohnya:
Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -MessageSubject "InvoiceUrgent"
Untuk informasi sintaks dan parameter terperinci, lihat Get-MessageTrackingLog.
Apakah email berisi lampiran?
Ada dua kasus utama di sini:
- Kotak surat berada di Exchange Online.
- Kotak surat berada di Exchange lokal (hibrid Exchange).
Cari tahu apakah pesan berisi lampiran di Exchange Online
Jika kotak surat berada di Exchange Online, Anda memiliki dua opsi:
- Gunakan cmdlet Search-Mailbox klasik
- Menggunakan cmdlet New-ComplianceSearch
Gunakan cmdlet Search-Mailbox untuk melakukan kueri pencarian tertentu terhadap kotak surat target yang relevan dan menyalin hasilnya ke kotak surat destinasi yang tidak terkait. Berikut contohnya:
Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full
Untuk informasi sintaks dan parameter terperinci, lihat Search-Mailbox.
Opsi lainnya adalah menggunakan cmdlet New-ComplianceSearch . Berikut contohnya:
New-ComplianceSearch -Name "Investigation" -ExchangeLocation "Research Department" -ContentMatchQuery "from:pilar@contoso.com AND hasattachment:true"
Untuk informasi sintaks dan parameter terperinci, lihat New-ComplianceSearch.
Cari tahu apakah pesan berisi lampiran di Exchange lokal
Catatan
Pada Server Exchange 2013, prosedur ini memerlukan Pembaruan Kumulatif 12 (CU12) atau yang lebih baru. Untuk informasi selengkapnya, lihat artikel ini.
Gunakan cmdlet Pencarian-Kotak Surat untuk mencari informasi pengiriman pesan yang disimpan dalam log pelacakan pesan. Berikut contohnya:
Search-Mailbox -Identity "Jane Smith"-SearchQuery AttachmentNames:attachment_name -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full
Untuk informasi sintaks dan parameter terperinci, lihat Search-Mailbox.
Apakah ada payload dalam lampiran?
Cari potensi konten berbahaya dalam lampiran. Misalnya, file PDF, PowerShell yang dikaburkan, atau kode skrip lainnya.
> dalam laporan Status perlindungan Ancaman menunjukkan jumlah pesan masuk dan keluar yang terdeteksi mengandung malware untuk organisasi Anda. Untuk informasi selengkapnya, lihat Laporan status perlindungan ancaman: Menampilkan data berdasarkan Email Malware>.
Periksa header email untuk sumber pengirim yang benar
Banyak komponen fungsionalitas pelacakan pesan yang sudah cukup jelas, tetapi Anda perlu memahami Message-ID secara menyeluruh. MESSAGE-ID adalah pengidentifikasi unik untuk pesan email.
Untuk mendapatkan MESSAGE-ID untuk email yang menarik, Anda perlu memeriksa header email mentah. Untuk instruksi tentang cara melakukannya di Microsoft Outlook atau Outlook di Web (sebelumnya dikenal sebagai Outlook Web App atau OWA) lihat Menampilkan header pesan internet di Outlook
Saat menampilkan header email, salin dan tempel informasi header ke penganalisis header email yang disediakan oleh MXToolbox atau Azure untuk keterbacaan.
Informasi Perutean Header: Informasi perutean menyediakan rute email saat sedang ditransfer antar komputer.
Kerangka Kerja Kebijakan Pengirim (SPF): Validasi email untuk membantu mencegah/mendeteksi spoofing. Dalam catatan SPF, Anda dapat menentukan alamat IP dan domain mana yang dapat mengirim email atas nama domain.
SPF = Pass: Catatan SPF TXT menentukan pengirim diizinkan untuk mengirim atas nama domain.
- SPF = Netral
- SPF = Gagal: Konfigurasi kebijakan menentukan hasil pesan IP Pengirim
- Email SMTP: Memvalidasi apakah ini adalah domain yang sah
Untuk informasi selengkapnya tentang SPF, lihat Cara Microsoft 365 menggunakan SPF untuk mencegah spoofing
Nilai Umum: Berikut adalah perincian header yang paling umum digunakan dan dilihat, dan nilainya. Ini adalah informasi berharga dan Anda dapat menggunakannya di bidang Pencarian di Threat Explorer.
- Dari alamat
- Subjek
- Identifikasi Pesan
- Untuk mengatasi
- Alamat jalur pengembalian
Hasil Autentikasi: Anda dapat menemukan apa yang diautentikasi klien email Anda saat email dikirim. Ini memberi Anda autentikasi SPF dan DKIM.
IP Asal: IP asli dapat digunakan untuk menentukan apakah IP diblokir dan untuk mendapatkan lokasi geografis.
Tingkat Keyakinan Spam (SCL): Ini menentukan probabilitas jika email masuk adalah spam.
- -1: Melewati sebagian besar pemfilteran spam dari pengirim yang aman, penerima aman, atau alamat IP yang terdaftar dengan aman (mitra tepercaya)
- 0, 1: Bukan spam karena pesan dipindai dan dinyatakan bersih
- 5, 6: Spam
- 7, 8, 9: Spam dengan keyakinan tinggi
Catatan SPF disimpan dalam database DNS dan dibundel dengan informasi pencarian DNS. Anda dapat memeriksa catatan Kerangka Kerja Kebijakan Pengirim (SPF) secara manual untuk domain dengan menggunakan perintah nslookup :
Buka prompt perintah (Mulai > Jalankan > cmd).
Ketik perintah sebagai:
nslookup -type=txt"
spasi, lalu nama domain/host. Contoh:nslookup -type=txt domainname.com
Catatan
-all (tolak atau jangan kirim email jika ada yang tidak cocok), hal ini direkomendasikan.
Periksa apakah DKIM diaktifkan di domain kustom Anda di Microsoft 365
Anda perlu menerbitkan dua catatan CNAME untuk setiap domain yang ingin mereka tambahkan kunci domain yang diidentifikasi email (DKIM). Lihat cara menggunakan DKIM untuk memvalidasi email keluar yang dikirim dari domain kustom Anda.
Periksa autentikasi, pelaporan, dan kesamaan pesan berbasis domain (DMARC)
Anda dapat menggunakan fitur ini untuk memvalidasi email keluar di Microsoft 365.
Memverifikasi alamat IP kepada penyerang/kampanye
Untuk memverifikasi atau menyelidiki alamat IP yang diidentifikasi dari langkah-langkah investigasi sebelumnya, Anda dapat menggunakan salah satu opsi berikut:
- VirusTotal
- Microsoft Defender untuk Endpoint
- Sumber Publik:
- Ipinfo.io - Memiliki opsi gratis untuk mendapatkan lokasi geografis
- Censys.io - Memiliki opsi gratis untuk mendapatkan informasi tentang apa yang diketahui pemindaian pasif mereka dari internet
- AbuseIPDB.com - Memiliki opsi gratis yang menyediakan beberapa geolokasi
- Tanyakan Bing dan Google - Cari di alamat IP
Reputasi URL
Anda dapat menggunakan perangkat Windows 10 dan browser Microsoft Edge apa pun yang menggunakan teknologi SmartScreen .
Berikut adalah beberapa contoh reputasi URL pihak ketiga:
Saat Anda menyelidiki alamat IP dan URL, cari dan korelasikan alamat IP dengan indikator kompromi (IOC) atau indikator lainnya, tergantung pada output atau hasil dan tambahkan ke daftar sumber dari lawan.
Apakah pengguna memilih tautan dalam email?
Jika pengguna mengklik tautan di email (sengaja atau tidak), maka tindakan ini biasanya mengarah ke pembuatan proses baru pada perangkat itu sendiri. Tergantung pada perangkat yang digunakan, Anda perlu melakukan penyelidikan yang spesifik terhadap perangkat tersebut. Misalnya, Windows vs Android vs iOS. Dalam artikel ini, kami telah menjelaskan pendekatan umum bersama dengan beberapa detail untuk perangkat berbasis Windows. Jika Anda menggunakan Microsoft Defender untuk Titik Akhir (MDE), Anda juga dapat menggunakannya untuk iOS dan segera untuk Android.
Anda dapat menyelidiki kejadian ini menggunakan Microsoft Defender untuk Endpoint.
Log VPN/proksi Tergantung pada vendor solusi proksi dan VPN, Anda perlu memeriksa log yang relevan. Idealnya Anda meneruskan peristiwa ke SIEM Anda atau ke Microsoft Sentinel.
Menggunakan Microsoft Defender untuk Titik Akhir Ini adalah skenario terbaik, karena Anda dapat menggunakan inteligensi ancaman dan analisis otomatis kami untuk membantu penyelidikan Anda. Untuk informasi selengkapnya, lihat cara menyelidiki peringatan di Microsoft Defender untuk Endpoint.
Pohon proses Alert membawa triase dan penyelidikan peringatan ke tingkat berikutnya, menampilkan peringatan yang telah diagregasi dan bukti terkait yang terjadi dalam konteks eksekusi dan periode waktu yang sama.
Perangkat klien yang berbasis Windows Pastikan Anda telah mengaktifkan opsi Peristiwa Pembuatan Proses. Idealnya, Anda juga harus mengaktifkan Tracing Events pada command-line.
Pada klien Windows, yang mengaktifkan Peristiwa Audit yang disebutkan di atas sebelum penyelidikan, Anda dapat memeriksa Peristiwa Audit 4688 dan menentukan waktu ketika email dikirimkan kepada pengguna:
Di titik akhir mana email dibuka?
Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna memilih tautan dalam email?
Apakah payload tersebut telah dijalankan?
Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna memilih tautan dalam email?
Apakah IP/URL tujuan disentuh atau dibuka?
Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna memilih tautan dalam email?
Apakah kode berbahaya dijalankan?
Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna memilih tautan dalam email?
Proses masuk apa yang terjadi dengan akun tersebut?
Periksa berbagai aktivitas masuk yang terjadi dengan akun.
Skenario Terpadu
Pengaturan log audit dan peristiwa berbeda berdasarkan tingkat sistem operasi (OS) dan versi Server Layanan Federasi Direktori Aktif (ADFS).
Lihat bagian berikut untuk versi server yang berbeda.
Server 2016 dan yang lebih baru
Secara default, ADFS di Windows Server 2016 mengaktifkan audit dasar. Dengan audit dasar, administrator dapat melihat lima peristiwa atau kurang untuk satu permintaan. Tetapi Anda dapat menaikkan atau menurunkan tingkat audit dengan menggunakan perintah ini:
Set-AdfsProperties -AuditLevel Verbose
Untuk informasi selengkapnya, lihat peningkatan audit ADFS di Windows Server.
Jika Microsoft Entra Connect Health terinstal, Anda juga harus melihat laporan IP Berisiko. Alamat IP klien aktivitas masuk yang gagal dikumpulkan melalui server proksi Aplikasi Web. Setiap item dalam laporan IP Berisiko menunjukkan informasi agregat tentang aktivitas masuk yang gagal pada Layanan Federasi Direktori Aktif yang telah melebihi ambang batas yang ditetapkan.
Untuk informasi selengkapnya, lihat Laporan IP berisiko.
Windows Server 2016 dan yang lebih baru
Untuk peristiwa audit aktual, Anda perlu melihat log peristiwa keamanan dan mencari peristiwa dengan Event ID 1202 untuk autentikasi yang berhasil dan 1203 untuk kegagalan.
Contoh untuk ID Peristiwa 1202:
ID Peristiwa 1202 FreshCredentialSuccessAudit Layanan Federasi memvalidasi kredensial baru. Lihat XML untuk detailnya.
Contoh untuk ID Peristiwa 1203:
ID Peristiwa 1203 FreshCredentialFailureAudit Layanan Federasi gagal memvalidasi kredensial baru. Lihat XML untuk detail kegagalan.
Skenario yang dikelola
Periksa log masuk Microsoft Entra untuk satu atau beberapa pengguna yang sedang Anda selidiki.
- Navigasikan ke layar pusat admin Microsoft Entra Masuk
- Memeriksa aktivitas masuk
- Periksa fungsi PowerShell di GitHub
Di pusat admin Microsoft Entra, navigasikan ke layar Masuk dan tambahkan/ubah filter tampilan untuk jangka waktu yang Anda temukan di langkah-langkah investigasi sebelumnya dan tambahkan nama pengguna sebagai filter, seperti yang ditunjukkan pada gambar ini.
Anda juga dapat mencari menggunakan Graph API. Misalnya, filter pada properti Pengguna dan dapatkan lastSignInDate bersama dengannya. Cari pengguna tertentu untuk mendapatkan tanggal masuk terakhir bagi pengguna ini.
Misalnya: https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'Dhanyah')&$select=displayName,signInActivity
Anda juga dapat menggunakan cmdlet Microsoft Graph PowerShell Get-MgUser untuk melakukan penyelidikan. Contoh:
Get-MgAuditLogSignIn -Filter "userPrincipalName eq ‘johcast@contoso.com’" | Export-Csv -Path ".\UserSignInActivity.csv" -NoTypeInformation
Atau, Anda dapat menggunakan perintah ini:
Get-MgAuditLogSignIn -Filter "userPrincipalName eq ‘johcast@contoso.com’" | Export-Csv -Path ".\UserSignInActivity.csv" -NoTypeInformation
Menyelidiki alamat IP sumber
Berdasarkan alamat IP sumber yang Anda temukan di log masuk Microsoft Entra atau file log ADFS/Federation Server, selidiki lebih lanjut untuk mengetahui dari mana lalu lintas berasal.
Pengguna terkelola
Untuk skenario terkelola, Anda harus mulai melihat log masuk dan memfilter berdasarkan alamat IP sumber:
```powershell
Connect-MgGraph -Scopes "AuditLog.Read.All", "Directory.Read.All"
$ipAddress = "1.2.3.4"
$fromDate = (Get-Date).AddDays(-29).ToString("yyyy-MM-ddTHH:mm:ssZ")
$toDate = (Get-Date).AddDays(-3).ToString("yyyy-MM-ddTHH:mm:ssZ")
Get-MgAuditLogSignIn -Filter "ipAddress eq '$ipAddress' and createdDateTime ge $fromDate and createdDateTime le $toDate" -All |
Select-Object UserPrincipalName, AppDisplayName, IPAddress, ResourceDisplayName, Status, CreatedDateTime |
Out-GridView -Title "Sign-ins from IP $ipAddress"
Anda juga dapat menggunakan cmdlet Microsoft Graph PowerShell Get-MgUser untuk melakukan penyelidikan. Pelajari lebih lanjut:Get-MgUser.
Saat Anda melihat ke dalam daftar hasil, navigasikan ke tab Info perangkat. Bergantung pada perangkat yang digunakan, Anda mendapatkan berbagai output. Berikut beberapa contohnya:
Contoh 1 - Perangkat tidak terkelola (BYOD):
Contoh 2 - Perangkat terkelola (gabungan Microsoft Entra atau gabungan hibrid Microsoft Entra):
Periksa DeviceID jika ada. Anda juga harus mencari OS dan browser atau string User-Agent.
Rekam CorrelationID, ID Permintaan dan timestamp. Anda harus menggunakan CorrelationID dan tanda waktu untuk menghubungkan temuan Anda dengan peristiwa lain.
Pengguna/aplikasi federasi
Ikuti prosedur yang sama yang disediakan untuk skenario masuk Federasi.
Cari dan catat DeviceID, Tingkat OS, CorrelationID, RequestID.
Menyelidiki DeviceID yang diidentifikasi
Langkah ini hanya relevan untuk perangkat yang dikenali oleh Microsoft Entra ID. Misalnya, dari langkah-langkah sebelumnya, jika Anda menemukan satu atau beberapa ID perangkat potensial, maka Anda dapat menyelidiki lebih lanjut pada perangkat ini. Cari dan rekam DeviceID dan Pemilik Perangkat.
Menyelidiki setiap AppID
Mulailah dengan log masuk dan konfigurasi aplikasi penyewa atau konfigurasi server federasi.
Skenario yang dikelola
Dari detail log masuk yang ditemukan sebelumnya, periksa ID Aplikasi di bawah tab Info dasar:
Perhatikan perbedaan antara Aplikasi (dan ID) dengan Sumber Daya (dan ID). Aplikasi ini adalah komponen klien yang terlibat, sedangkan Sumber Daya adalah layanan / aplikasi di ID Microsoft Entra.
Dengan AppID ini, Anda sekarang dapat melakukan penelitian di penyewa. Berikut contohnya:
Get-MgApplication -Filter "AppId eq '00001111-aaaa-2222-bbbb-3333cccc4444'"
Id AppId DisplayName
3af6dc4e-b0e5-45ec-8272-56f3f3f875ad 00001111-aaaa-2222-bbbb-3333cccc4444 Claims X-Ray
Dengan informasi ini, Anda dapat mencari di portal Aplikasi Perusahaan. Navigasi ke Semua Aplikasi dan cari AppID tertentu.
Playbook tambahan respons insiden
Periksa panduan untuk mengidentifikasi dan menyelidiki jenis serangan lainnya ini:
Sumber daya respons insiden
- Gambaran umum produk dan sumber daya keamanan Microsoft untuk analis yang baru mengenal peran dan untuk analis berpengalaman
- Perencanaan untuk Security Operations Center (SOC) Anda
- Respons insiden Microsoft Defender XDR
- Microsoft Defender untuk Cloud (Azure)
- Respons insiden Microsoft Sentinel
- Panduan tim Respons Insiden Microsoft berbagi praktik terbaik untuk tim dan pemimpin keamanan
- Panduan Respons Insiden Microsoft membantu tim keamanan menganalisis aktivitas yang mencurigakan