Bagikan melalui

Investigasi pengelabuan

  • Artikel

Artikel ini menyediakan panduan tentang mengidentifikasi dan menyelidiki serangan phishing dalam organisasi Anda. Instruksi langkah demi langkah membantu Anda mengambil tindakan perbaikan yang diperlukan untuk melindungi informasi dan meminimalkan risiko lebih lanjut.

Artikel ini berisi bagian berikut:

  • Prasyarat: Mencakup persyaratan khusus yang perlu Anda selesaikan sebelum memulai penyelidikan. Misalnya, pengelogan yang harus diaktifkan, peran dan izin yang diperlukan, antara lain.
  • Alur kerja: Menampilkan alur logis yang harus Anda ikuti untuk melakukan penyelidikan ini.
  • Daftar periksa: Berisi daftar tugas untuk setiap langkah dalam bagan alur. Daftar periksa ini dapat membantu di lingkungan yang sangat diatur untuk memverifikasi apa yang telah Anda selesaikan atau sebagai gerbang kualitas untuk diri Anda sendiri.
  • Langkah-langkah investigasi: Menyertakan panduan langkah demi langkah terperinci untuk penyelidikan khusus ini.

Prasyarat

Berikut adalah pengaturan dan konfigurasi umum yang harus Anda selesaikan sebelum melanjutkan penyelidikan phishing.

Detail akun

Sebelum melanjutkan penyelidikan, disarankan agar Anda memiliki nama pengguna, nama prinsipal pengguna (UPN) atau alamat email akun yang Anda duga disusupi.

Persyaratan dasar Microsoft 365

Memverifikasi pengaturan audit

Verifikasi bahwa audit kotak surat aktif secara default diaktifkan dengan menjalankan perintah berikut di Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

Nilai False menunjukkan bahwa audit kotak surat diaktifkan untuk semua kotak surat di organisasi, terlepas dari nilai properti AuditEnabled pada kotak surat individual. Untuk informasi selengkapnya, lihat Memverifikasi audit kotak surat aktif secara default diaktifkan.

Jejak pesan

Log jejak pesan adalah komponen yang sangat berharga yang membantu menemukan sumber asli pesan dan penerima yang dimaksudkan. Anda bisa menggunakan fungsionalitas pelacakan pesan di Pusat admin Exchange (EAC) di https://admin.exchange.microsoft.com/#/messagetrace atau dengan cmdlet Get-MessageTrace di Exchange Online PowerShell.

Catatan

Jejak pesan juga tersedia di portal Pertahanan Microsoft di https://security.microsoft.com bawah Email & jejak pesan Exchange kolaborasi>, tetapi itu hanya tautan passthrough ke jejak pesan di EAC.

Beberapa komponen fungsi pelacakan pesan cukup jelas tetapi MESSAGE-ID adalah pengidentifikasi unik untuk pesan email dan memerlukan pemahaman menyeluruh. Untuk mendapatkan MESSAGE-ID untuk email yang menarik, Anda perlu memeriksa header email mentah.

Anda mencari log audit terpadu untuk melihat semua aktivitas pengguna dan admin di organisasi Microsoft 365 Anda.

Apakah log masuk dan/atau log audit diekspor ke sistem eksternal?

Karena sebagian besar data masuk dan audit ID Microsoft Entra akan ditimpa setelah 30 atau 90 hari, kami sarankan Anda menggunakan Sentinel, Azure Monitor, atau sistem manajemen peristiwa dan informasi keamanan eksternal (SIEM).

Peran dan izin diperlukan

Izin di ID Microsoft Entra

Kami merekomendasikan akun yang melakukan penyelidikan setidaknya menjadi Pembaca Keamanan.

Izin di Microsoft 365

Peran Pembaca Keamanan di portal Pertahanan Microsoft atau portal kepatuhan Microsoft Purview harus memberi Anda izin yang memadai untuk mencari log yang relevan.

Jika Anda tidak yakin tentang peran yang akan digunakan, lihat Menemukan izin yang diperlukan untuk menjalankan cmdlet Exchange apa pun.

Pertahanan Microsoft untuk Titik Akhir

Jika Anda memiliki Microsoft Defender untuk Titik Akhir (MDE), Anda harus menggunakannya untuk alur ini. Untuk informasi selengkapnya, lihat Mengatasi phishing dengan berbagi sinyal dan pembelajaran mesin.

Persyaratan sistem

Persyaratan perangkat keras

Sistem harus dapat menjalankan PowerShell.

Persyaratan perangkat lunak

Modul PowerShell berikut diperlukan untuk penyelidikan lingkungan cloud:

Alur kerja

! [Alur kerja investigasi pengelabuan]

Anda juga dapat:

  • Unduh phishing dan alur kerja playbook respons insiden lainnya sebagai PDF.
  • Unduh phishing dan alur kerja playbook respons insiden lainnya sebagai file Visio.

Daftar periksa

Daftar periksa ini membantu Anda mengevaluasi proses investigasi dan memverifikasi apakah Anda telah menyelesaikan semua langkah selama penyelidikan:

   
Meninjau email pengelabuan awal
Dapatkan daftar pengguna yang mendapatkan email ini
Mendapatkan tanggal terbaru saat pengguna memiliki akses ke kotak surat
Apakah akses yang didelegasikan dikonfigurasi pada kotak surat?
Apakah ada aturan penerusan yang dikonfigurasi pada kotak surat?
Meninjau aturan alur email Exchange Anda (aturan transportasi
Menemukan pesan email
Apakah pengguna membaca atau membuka email?
Siapa lain mendapat email yang sama?
Apakah email berisi lampiran?
Apakah ada payload dalam lampiran?
Periksa header email untuk sumber pengirim yang benar
Memverifikasi alamat IP kepada penyerang/kampanye
Apakah pengguna memilih tautan dalam email?
Pada titik akhir apa email dibuka?
Apakah payload lampiran dijalankan?
Apakah IP tujuan atau URL disentuh atau dibuka?
Apakah kode berbahaya dijalankan?
Proses masuk apa yang terjadi dengan akun untuk skenario federasi?
Rincian masuk apa yang terjadi dengan akun untuk skenario terkelola?
Menyelidiki alamat IP sumber
Menyelidiki ID perangkat yang ditemukan
Menyelidiki setiap ID Aplikasi

Anda juga dapat mengunduh phishing dan daftar periksa playbook insiden lainnya sebagai file Excel.

Langkah investigasi

Untuk penyelidikan ini, diasumsikan bahwa Anda memiliki contoh email pengelabuan, atau bagian-bagiannya seperti alamat pengirim, subjek email, atau bagian pesan untuk memulai penyelidikan. Pastikan juga bahwa Anda telah menyelesaikan / mengaktifkan semua pengaturan seperti yang direkomendasikan di bagian Prasyarat .

Playbook ini dibuat dengan niat bahwa tidak semua pelanggan Microsoft dan tim investigasi mereka memiliki rangkaian lisensi Microsoft 365 E5 atau Microsoft Entra ID P2 lengkap yang tersedia atau dikonfigurasi di penyewa yang sedang diselidiki. Namun, kami akan menyoroti kemampuan otomatisasi lainnya jika sesuai.

Mendapatkan daftar pengguna / identitas yang mendapatkan email

Sebagai langkah pertama, Anda perlu mendapatkan daftar pengguna / identitas yang menerima email phishing. Tujuan dari langkah ini adalah untuk merekam daftar pengguna/identitas potensial yang nantinya akan Anda gunakan untuk melakukan iterasi untuk langkah-langkah penyelidikan lebih lanjut. Lihat bagian Alur Kerja untuk diagram alur tingkat tinggi dari langkah-langkah yang perlu Anda ikuti selama penyelidikan ini.

Kami tidak memberikan rekomendasi apa pun dalam playbook ini tentang bagaimana Anda ingin merekam daftar pengguna /identitas potensial ini. Bergantung pada ukuran investigasi, Anda dapat menggunakan buku Excel, file CSV, atau bahkan database untuk penyelidikan yang lebih besar. Ada beberapa cara untuk mendapatkan daftar identitas di penyewa tertentu, dan berikut adalah beberapa contohnya.

Membuat pencarian Konten di portal kepatuhan Microsoft Purview

Gunakan indikator yang telah Anda kumpulkan untuk membuat dan menjalankan pencarian Konten. Untuk petunjuknya, lihat Membuat pencarian konten.

Untuk daftar lengkap properti email yang dapat dicari, lihat properti email yang dapat dicari.

Contoh berikut mengembalikan pesan yang diterima oleh pengguna antara 13 April 2022 dan 14 April 2022 dan yang berisi kata-kata "tindakan" dan "diperlukan" di baris subjek:

(Received:4/13/2022..4/14/2022) AND (Subject:'Action required')

Contoh kueri berikut mengembalikan pesan yang dikirim oleh chatsuwloginsset12345@outlook.com dan yang berisi frasa yang tepat "Perbarui informasi akun Anda" di baris subjek.

(From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Untuk informasi selengkapnya, lihat cara mencari dan menghapus pesan di organisasi Anda.

Menggunakan cmdlet Kotak Surat Pencarian di Exchange Online PowerShell

Anda juga bisa menggunakan cmdlet Kotak Surat Pencarian di Exchange Online PowerShell untuk melakukan kueri tertentu terhadap kotak surat target yang menarik dan menyalin hasilnya ke kotak surat tujuan yang tidak terkait.

Contoh kueri berikut mencari kotak surat Jane Smith untuk email yang berisi faktur frasa dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama "Investigasi."

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Dalam contoh perintah ini, kueri mencari semua kotak surat penyewa untuk email yang berisi frasa "InvoiceUrgent" dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama "Investigasi."

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Untuk informasi sintaks dan parameter terperinci, lihat Kotak Surat Pencarian.

Apakah akses yang didelegasikan dikonfigurasi pada kotak surat?

Gunakan skrip berikut untuk memeriksa apakah akses yang didelegasikan dikonfigurasi pada kotak surat: https://github.com/OfficeDev/O365-InvestigationTooling/blob/master/DumpDelegatesandForwardingRules.ps1.

Untuk membuat laporan ini, jalankan skrip PowerShell kecil yang mendapatkan daftar semua pengguna Anda. Kemudian, gunakan cmdlet Get-MailboxPermission untuk membuat file CSV dari semua delegasi kotak surat dalam penyewaan Anda.

Cari nama atau pemberian izin yang tidak biasa. Jika Anda melihat sesuatu yang tidak biasa, hubungi pemilik kotak surat untuk memeriksa apakah itu sah.

Apakah ada aturan penerusan yang dikonfigurasi untuk kotak surat?

Anda perlu memeriksa setiap kotak surat yang diidentifikasi untuk penerusan kotak surat (juga dikenal sebagai penerusan SMTP) atau aturan Kotak Masuk yang meneruskan pesan email ke penerima eksternal (biasanya, aturan Kotak Masuk yang baru dibuat).

  • Untuk memeriksa semua kotak surat untuk penerusan kotak surat, jalankan perintah berikut ini di Exchange Online PowerShell:

    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited | Format-Table -Auto MicrosoftOnlineServicesID,ForwardingSmtpAddress,DeliverToMailboxAndForward | Export-csv C:\Temp\Forwarding.csv -NoTypeInformation

  • Untuk memeriksa aturan Kotak Masuk yang dibuat di kotak surat antara tanggal yang ditentukan, jalankan perintah berikut ini di Exchange Online PowerShell:

    Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -ResultSize 5000 -RecordType exchangeadmin -Operations New-InboxRule | Export-csv NoTypeInformation -Path c:\temp\Inboxrulesoutput.csv

  • Anda juga bisa menggunakan laporan Pesan yang diteruskan secara otomatis di pusat admin Exchange (EAC). Untuk petunjuknya, lihat Laporan pesan yang diteruskan secara otomatis di Exchange Online.

    Catatan:

    • Cari lokasi target yang tidak biasa, atau alamat eksternal apa pun.
    • Cari aturan penerusan dengan kata kunci yang tidak biasa dalam kriteria seperti semua email dengan faktur kata dalam subjek. Hubungi pemilik kotak surat untuk memeriksa apakah itu sah.

Meninjau aturan Kotak Masuk

Periksa penghapusan aturan Kotak Masuk, dengan mempertimbangkan tanda waktu yang berdekatan dengan penyelidikan Anda. Sebagai contoh, gunakan perintah berikut di Exchange Online PowerShell:

Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -Operations Remove-InboxRule | Export-CSV NoTypeInformation -Path c:\temp\removedInboxRules.csv

Meninjau aturan alur email Exchange (aturan transportasi)

Ada dua cara untuk mendapatkan daftar aturan alur email Exchange (juga dikenal sebagai aturan transportasi) di organisasi Anda:

  1. Di pusat admin Exchange atau Exchange Online PowerShell. Untuk petunjuknya, lihat Menampilkan atau mengubah aturan alur email.
  2. Laporan aturan transportasi Exchange di pusat admin Exchange. Untuk petunjuknya, lihat Laporan aturan transportasi Exchange di Exchange Online.

Cari aturan baru, atau aturan yang telah dimodifikasi untuk mengalihkan email ke domain eksternal. Jumlah aturan harus diketahui dan relatif kecil. Anda dapat melakukan pencarian log audit untuk menentukan siapa yang membuat aturan dan dari tempat mereka membuatnya. Jika Anda melihat sesuatu yang tidak biasa, hubungi pembuat untuk menentukan apakah itu sah.

Mendapatkan tanggal terbaru saat pengguna memiliki akses ke kotak surat

Di pusat keamanan &kepatuhan Microsoft 365, navigasikan ke log audit terpadu. Di bawah Aktivitas di daftar drop-down, Anda bisa memfilter menurut Aktivitas Kotak Surat Exchange.

Kemampuan untuk mencantumkan pengguna yang disusupi tersedia di pusat keamanan &kepatuhan Microsoft 365.

Laporan ini memperlihatkan aktivitas yang dapat menunjukkan kotak surat diakses secara terlarang. Ini termasuk pesan yang dibuat atau diterima, pesan yang dipindahkan atau dihapus, pesan yang disalin atau dihapus menyeluruh, mengirim pesan menggunakan kirim atas nama atau mengirim sebagai, dan semua masuk kotak surat. Data mencakup tanggal, alamat IP, pengguna, aktivitas yang dilakukan, item yang terpengaruh, dan detail yang diperluas.

Catatan

Agar data ini direkam, Anda harus mengaktifkan opsi audit kotak surat.

Volume data yang disertakan di sini bisa sangat substansial, jadi fokuskan pencarian Anda pada pengguna yang akan berdampak tinggi jika dilanggar. Cari pola yang tidak biasa seperti waktu ganjil dalam sehari, atau alamat IP yang tidak biasa, dan cari pola seperti gerakan, pembersihan, atau penghapusan dalam volume tinggi.

Apakah pengguna membaca/membuka email?

Ada dua kasus utama di sini:

  • Kotak surat berada di Exchange Online.
  • Kotak surat berada di Exchange lokal (hibrid Exchange).

Apakah pengguna Exchange Online membuka email

Gunakan cmdlet Kotak Surat Pencarian di Exchange Online PowerShell untuk melakukan kueri pencarian tertentu terhadap kotak surat target yang menarik dan menyalin hasilnya ke kotak surat tujuan yang tidak terkait.

Contoh kueri berikut mencari kotak surat Janes Smith untuk email yang berisi Faktur frasa dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama Investigasi.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Contoh kueri berikut mencari semua kotak surat penyewa untuk email yang berisi frasa InvoiceUrgent dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama Investigasi.

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Apakah pengguna membuka email dalam hibrid Exchange

Gunakan cmdlet Get-MessageTrackingLog untuk mencari informasi pengiriman pesan yang disimpan di log pelacakan pesan. Berikut contohnya:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2022 09:00:00" -End "03/15/2022 17:00:00" -Sender "john@contoso.com"

Untuk informasi sintaks dan parameter terperinci, lihat Get-MessageTrackingLog.

Siapa lain mendapat email yang sama?

Ada dua kasus utama di sini:

  • Kotak surat berada di Exchange Online.
  • Kotak surat berada di Exchange lokal (hibrid Exchange).

Alur kerja pada dasarnya sama seperti yang dijelaskan dalam bagian Dapatkan daftar pengguna/identitas yang mendapatkan email sebelumnya dalam artikel ini.

Menemukan email di Exchange Online

Gunakan cmdlet Kotak Surat Pencarian untuk melakukan kueri pencarian tertentu terhadap kotak surat target yang menarik dan menyalin hasilnya ke kotak surat tujuan yang tidak terkait.

Kueri sampel ini mencari semua kotak surat penyewa untuk email yang berisi subjek InvoiceUrgent dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama Investigasi.

Get-Mailbox | Search-Mailbox -SearchQuery "Subject:InvoiceUrgent" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Menemukan email di Exchange lokal

Gunakan cmdlet Get-MessageTrackingLog untuk mencari informasi pengiriman pesan yang disimpan di log pelacakan pesan. Berikut contohnya:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -MessageSubject "InvoiceUrgent"

Untuk informasi sintaks dan parameter terperinci, lihat Get-MessageTrackingLog.

Apakah email berisi lampiran?

Ada dua kasus utama di sini:

  • Kotak surat berada di Exchange Online.
  • Kotak surat berada di Exchange lokal (hibrid Exchange).

Cari tahu apakah pesan berisi lampiran di Exchange Online

Jika kotak surat berada di Exchange Online, Anda memiliki dua opsi:

  • Menggunakan cmdlet Kotak Surat Pencarian klasik
  • Menggunakan cmdlet New-ComplianceSearch

Gunakan cmdlet Kotak Surat Pencarian untuk melakukan kueri pencarian tertentu terhadap kotak surat target yang menarik dan menyalin hasilnya ke kotak surat tujuan yang tidak terkait. Berikut contohnya:

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Untuk informasi sintaks dan parameter terperinci, lihat Kotak Surat Pencarian.

Opsi lainnya adalah menggunakan cmdlet New-ComplianceSearch . Berikut contohnya:

New-ComplianceSearch -Name "Investigation" -ExchangeLocation "Research Department" -ContentMatchQuery "from:pilar@contoso.com AND hasattachment:true"

Untuk informasi sintaks dan parameter terperinci, lihat New-ComplianceSearch.

Cari tahu apakah pesan berisi lampiran di Exchange lokal

Catatan

Pada Server Exchange 2013, prosedur ini memerlukan Pembaruan Kumulatif 12 (CU12) atau yang lebih baru. Untuk informasi selengkapnya, lihat artikel ini.

Gunakan cmdlet Kotak Surat Pencarian untuk mencari informasi pengiriman pesan yang disimpan dalam log pelacakan pesan. Berikut contohnya:

Search-Mailbox -Identity "Jane Smith"-SearchQuery AttachmentNames:attachment_name -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Untuk informasi sintaks dan parameter terperinci, lihat Kotak Surat Pencarian.

Apakah ada payload dalam lampiran?

Cari potensi konten berbahaya dalam lampiran. Misalnya, file PDF, PowerShell yang dikaburkan, atau kode skrip lainnya.

Tampilan Lihat data menurut Malware Email > dalam laporan Status perlindungan ancaman menunjukkan jumlah pesan masuk dan keluar yang terdeteksi berisi malware untuk organisasi Anda. Untuk informasi selengkapnya, lihat Laporan status perlindungan ancaman: Menampilkan data dengan Malware Email>.

Periksa header email untuk sumber pengirim yang benar

Banyak komponen fungsionalitas pelacakan pesan yang jelas sendiri tetapi Anda perlu memahami tentang MESSAGE-ID secara menyeluruh. MESSAGE-ID adalah pengidentifikasi unik untuk pesan email.

Untuk mendapatkan MESSAGE-ID untuk email yang menarik, Anda perlu memeriksa header email mentah. Untuk instruksi tentang cara melakukannya di Microsoft Outlook atau Outlook di Web (sebelumnya dikenal sebagai Outlook Web App atau OWA) lihat Menampilkan header pesan internet di Outlook

Saat melihat header email, disarankan untuk menyalin dan menempelkan informasi header ke penganalisis header email yang disediakan oleh MXToolbox atau Azure untuk keterbacaan.

  • Informasi Perutean Header: Informasi perutean menyediakan rute email saat sedang ditransfer antar komputer.

  • Kerangka Kerja Kebijakan Pengirim (SPF): Validasi email untuk membantu mencegah/mendeteksi spoofing. Dalam catatan SPF, Anda dapat menentukan alamat IP dan domain mana yang dapat mengirim email atas nama domain.

  • SPF = Pass: Catatan SPF TXT menentukan pengirim diizinkan untuk mengirim atas nama domain.

    • SPF = Netral
    • SPF = Gagal: Konfigurasi kebijakan menentukan hasil pesan IP Pengirim
    • Email SMTP: Memvalidasi apakah ini adalah domain yang sah

    Untuk informasi selengkapnya tentang SPF, lihat Cara Microsoft 365 menggunakan SPF untuk mencegah spoofing

  • Nilai Umum: Berikut adalah perincian header yang paling umum digunakan dan dilihat, dan nilainya. Ini adalah informasi berharga dan Anda dapat menggunakannya di bidang Pencarian di Threat Explorer.

    • Dari alamat
    • Subjek
    • ID Pesan
    • Ke alamat
    • Alamat jalur pengembalian

  • Hasil Autentikasi: Anda dapat menemukan apa yang diautentikasi klien email Anda saat email dikirim. Ini akan memberi Anda autentikasi SPF dan DKIM.

  • IP Asal: IP asli dapat digunakan untuk menentukan apakah IP diblokir dan untuk mendapatkan lokasi geografis.

  • Tingkat Keyakinan Spam (SCL): Ini menentukan probabilitas email masuk adalah spam.

    • -1: Melewati sebagian besar pemfilteran spam dari pengirim yang aman, penerima aman, atau alamat IP yang terdaftar dengan aman (mitra tepercaya)
    • 0, 1: Non-spam karena pesan dipindai dan ditentukan untuk bersih
    • 5, 6: Spam
    • 7, 8, 9: Spam keyakinan tinggi

Catatan SPF disimpan dalam database DNS dan dibundel dengan informasi pencarian DNS. Anda dapat memeriksa catatan Kerangka Kerja Kebijakan Pengirim (SPF) secara manual untuk domain dengan menggunakan perintah nslookup :

  1. Buka prompt perintah (Mulai Jalankan > cmd>).

  2. Ketik perintah sebagai: nslookup -type=txt" spasi, lalu nama domain/host. Contoh:

     nslookup -type=txt domainname.com

Catatan

-all (tolak atau gagal mereka - jangan kirim email jika ada yang tidak cocok), ini disarankan.

Periksa apakah DKIM diaktifkan di domain kustom Anda di Microsoft 365

Anda perlu menerbitkan dua catatan CNAME untuk setiap domain yang ingin mereka tambahkan kunci domain yang diidentifikasi email (DKIM). Lihat cara menggunakan DKIM untuk memvalidasi email keluar yang dikirim dari domain kustom Anda.

Periksa autentikasi, pelaporan, dan kesamaan pesan berbasis domain (DMARC)

Anda dapat menggunakan fitur ini untuk memvalidasi email keluar di Microsoft 365.

Memverifikasi alamat IP kepada penyerang/kampanye

Untuk memverifikasi atau menyelidiki alamat IP yang telah diidentifikasi dari langkah-langkah penyelidikan sebelumnya, Anda dapat menggunakan salah satu opsi ini:

  • VirusTotal
  • Pertahanan Microsoft untuk Titik Akhir
  • Sumber Publik:
    • Ipinfo.io - Memiliki opsi gratis untuk mendapatkan lokasi geografis
    • Censys.io - Memiliki opsi gratis untuk mendapatkan informasi tentang apa yang diketahui pemindaian pasif mereka dari internet
    • AbuseIPDB.com - Memiliki opsi gratis yang menyediakan beberapa geolokasi
    • Tanyakan Bing dan Google - Cari di alamat IP

Reputasi URL

Anda dapat menggunakan perangkat Windows 10 dan browser Microsoft Edge apa pun yang memanfaatkan teknologi SmartScreen .

Berikut adalah beberapa contoh reputasi URL pihak ketiga

Saat Anda menyelidiki alamat IP dan URL, cari dan korelasikan alamat IP dengan indikator kompromi (IOC) atau indikator lainnya, tergantung pada output atau hasil dan tambahkan ke daftar sumber dari lawan.

Jika pengguna telah mengklik tautan di email (sengaja atau tidak), tindakan ini biasanya mengarah ke pembuatan proses baru pada perangkat itu sendiri. Bergantung pada perangkat yang dilakukan, Anda perlu melakukan penyelidikan khusus perangkat. Misalnya, Windows vs Android vs iOS. Dalam artikel ini, kami telah menjelaskan pendekatan umum bersama dengan beberapa detail untuk perangkat berbasis Windows. Jika Anda menggunakan Microsoft Defender untuk Titik Akhir (MDE), maka Anda juga dapat memanfaatkannya untuk iOS dan segera Android.

Anda dapat menyelidiki peristiwa ini menggunakan Microsoft Defender untuk Titik Akhir.

  1. Log VPN/proksi Tergantung pada vendor solusi proksi dan VPN, Anda perlu memeriksa log yang relevan. Idealnya Anda meneruskan peristiwa ke SIEM Anda atau ke Microsoft Sentinel.

  2. Menggunakan Microsoft Defender untuk Titik Akhir Ini adalah skenario terbaik, karena Anda dapat menggunakan inteligensi ancaman dan analisis otomatis kami untuk membantu penyelidikan Anda. Untuk detail selengkapnya, lihat cara menyelidiki pemberitahuan di Microsoft Defender untuk Titik Akhir.

    Pohon proses Pemberitahuan mengambil triase pemberitahuan dan penyelidikan ke tingkat berikutnya, menampilkan pemberitahuan agregat dan bukti di sekitarnya yang terjadi dalam konteks eksekusi dan periode waktu yang sama. Contoh pohon proses pemberitahuan

  3. Perangkat klien berbasis Windows Pastikan Anda telah mengaktifkan opsi Peristiwa Pembuatan Proses. Idealnya, Anda juga harus mengaktifkan Peristiwa Pelacakan baris perintah.

    Pada klien Windows, yang mengaktifkan Peristiwa Audit yang disebutkan di atas sebelum penyelidikan, Anda dapat memeriksa Peristiwa Audit 4688 dan menentukan waktu ketika email dikirimkan kepada pengguna:

    Contoh Peristiwa Audit 4688

    Contoh lain peristiwa audit 4688

Pada titik akhir apa email dibuka?

Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna mengklik tautan dalam email?

Apakah payload terlampir dijalankan?

Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna mengklik tautan dalam email?

Apakah IP/URL tujuan disentuh atau dibuka?

Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna mengklik tautan dalam email?

Apakah kode berbahaya dijalankan?

Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna mengklik tautan dalam email?

Proses masuk apa yang terjadi dengan akun tersebut?

Periksa berbagai rincian masuk yang terjadi dengan akun.

Skenario federasi

Pengaturan log audit dan peristiwa berbeda berdasarkan tingkat sistem operasi (OS) dan versi Server Layanan Federasi Direktori Aktif (ADFS).

Lihat bagian berikut untuk versi server yang berbeda.

Server 2012 R2

Secara default, peristiwa keamanan tidak diaudit di Server 2012 R2. Anda perlu mengaktifkan fitur ini pada setiap Server ADFS di Farm. Di konsol Manajemen ADFS dan pilih Edit Properti Layanan Federasi.

federatedproperties

Anda juga perlu mengaktifkan Kebijakan Audit OS.

Buka prompt perintah, dan jalankan perintah berikut sebagai administrator.

auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

Untuk detail selengkapnya, lihat cara mengonfigurasi server ADFS untuk pemecahan masalah.

Anda mungkin juga ingin mengunduh modul ADFS PowerShell dari:

Server 2016 dan yang lebih baru

Secara default, ADFS di Windows Server 2016 mengaktifkan audit dasar. Dengan audit dasar, administrator dapat melihat lima peristiwa atau kurang untuk satu permintaan. Tetapi Anda dapat menaikkan atau menurunkan tingkat audit dengan menggunakan perintah ini:

Set-AdfsProperties -AuditLevel Verbose

Untuk detail selengkapnya, lihat mengaudit peningkatan ke ADFS di server Windows.

Jika Microsoft Entra Koneksi Health terinstal, Anda juga harus melihat laporan IP Riskan. Alamat IP klien aktivitas masuk yang gagal dikumpulkan melalui server proksi Aplikasi Web. Setiap item dalam laporan IP Berisiko menunjukkan informasi agregat tentang aktivitas masuk Layanan Federasi Direktori Aktif yang gagal yang melebihi ambang yang ditunjuk.

Contoh laporan IP berisiko

Untuk detail selengkapnya, lihat Laporan IP berisiko.

Server 2012 R2

ID Peristiwa 342 – "Nama pengguna atau kata sandi salah" di log admin ADFS.

Untuk peristiwa audit aktual, Anda perlu melihat log Peristiwa keamanan dan Anda harus mencari peristiwa dengan EVENT ID 411 untuk Kegagalan Audit Klasik dengan sumber sebagai Audit ADFS. Cari juga EVENT ID 412 pada autentikasi yang berhasil.

Validasi Token ID Peristiwa 411 - SecurityTokenValidationFailureAudit gagal. Lihat pengecualian dalam untuk detail selengkapnya.

Contoh peristiwa 411

Contoh peristiwa 412

Anda mungkin perlu menghubungkan Peristiwa dengan ID Peristiwa 501 yang sesuai.

Server 2016 dan yang lebih baru

Untuk peristiwa audit aktual, Anda perlu melihat log peristiwa keamanan dan Anda harus mencari peristiwa dengan mencari EVENT ID 1202 untuk peristiwa autentikasi yang berhasil dan 1203 untuk kegagalan

Contoh untuk ID Peristiwa1202:

ID Peristiwa 1202 FreshCredentialSuccessAudit Layanan Federasi memvalidasi kredensial baru. Lihat XML untuk detailnya.

Contoh untuk ID Peristiwa 1203:

ID Peristiwa 1203 FreshCredentialFailureAudit Layanan Federasi gagal memvalidasi kredensial baru. Lihat XML untuk detail kegagalan.

Contoh peristiwa 1203

Contoh peristiwa 4624

Untuk mendapatkan daftar lengkap ID Peristiwa ADFS per Tingkat OS, lihat GetADFSEventList.

Skenario terkelola

Periksa log masuk Microsoft Entra untuk pengguna yang Anda selidiki.

Di pusat admin Microsoft Entra, navigasikan ke layar Masuk dan tambahkan/ubah filter tampilan untuk jangka waktu yang Anda temukan di langkah-langkah investigasi sebelumnya serta tambahkan nama pengguna sebagai filter, seperti yang ditunjukkan pada gambar ini.

Contoh filter tampilan

Anda juga dapat mencari menggunakan Graph API. Misalnya, filter pada properti Pengguna dan dapatkan lastSignInDate bersama dengannya. Cari pengguna tertentu untuk mendapatkan tanggal masuk terakhir bagi pengguna ini. Misalnya: https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'Dhanyah')&$select=displayName,signInActivity

Atau Anda dapat menggunakan perintah Get-AzureADUserLastSignInActivity PowerShell untuk mendapatkan aktivitas masuk interaktif terakhir bagi pengguna, yang ditargetkan oleh ID objek mereka. Contoh ini menulis output ke file CSV bertanda tanggal dan waktu di direktori eksekusi.

Get-AzureADUserLastSignInActivity -TenantId 536279f6-1234-2567-be2d-61e352b51eef -UserObjectId 69447235-0974-4af6-bfa3-d0e922a92048 -CsvOutput

Atau Anda dapat menggunakan perintah ini dari modul PowerShell AzureADIncidentResponse:

Get-AzureADIRSignInDetail -UserId johcast@Contoso.com -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3

Menyelidiki alamat IP sumber

Berdasarkan alamat IP sumber yang Anda temukan di log masuk Microsoft Entra atau file log ADFS/Federation Server, selidiki lebih lanjut untuk mengetahui dari mana lalu lintas berasal.

Pengguna terkelola

Untuk skenario terkelola, Anda harus mulai melihat log masuk dan memfilter berdasarkan alamat IP sumber:

Contoh alamat IP pengguna terkelola]

Atau Anda dapat menggunakan perintah ini dari modul PowerShell AzureADIncidentResponse:

Get-AzureADIRSignInDetail -IpAddress 1.2.3.4 -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3 -OutGridView

Saat Anda melihat ke dalam daftar hasil, navigasikan ke tab Info perangkat. Bergantung pada perangkat yang digunakan, Anda akan mendapatkan berbagai output. Berikut beberapa contohnya:

  • Contoh 1 - Perangkat yang tidak dikelola (BYOD):

    Contoh perangkat yang tidak dikelola

  • Contoh 2 - Perangkat terkelola (gabungan Microsoft Entra atau gabungan hibrid Microsoft Entra):

    Contoh perangkat terkelola

Periksa DeviceID jika ada. Anda juga harus mencari OS dan browser atau string UserAgent .

Contoh ID perangkat

Rekam CorrelationID, ID Permintaan, dan tanda waktu. Anda harus menggunakan CorrelationID dan tanda waktu untuk menghubungkan temuan Anda dengan peristiwa lain.

Pengguna/aplikasi federasi

Ikuti prosedur yang sama yang disediakan untuk skenario masuk Federasi.

Cari dan catat DeviceID, Tingkat OS, CorrelationID, RequestID.

Menyelidiki DeviceID yang diidentifikasi

Langkah ini hanya relevan untuk perangkat yang diketahui microsoft Entra ID. Misalnya, dari langkah-langkah sebelumnya, jika Anda menemukan satu atau beberapa ID perangkat potensial, maka Anda dapat menyelidiki lebih lanjut pada perangkat ini. Cari dan rekam DeviceID dan Pemilik Perangkat.

Menyelidiki setiap AppID

Titik awal di sini adalah log masuk dan konfigurasi aplikasi penyewa atau konfigurasi server federasi.

Skenario terkelola

Dari detail log masuk yang ditemukan sebelumnya, periksa ID Aplikasi di bawah tab Info dasar:

managedscenario

Perhatikan perbedaan antara Aplikasi (dan ID) dengan Sumber Daya (dan ID). Aplikasi ini adalah komponen klien yang terlibat, sedangkan Sumber Daya adalah layanan / aplikasi di ID Microsoft Entra.

Dengan AppID ini, Anda sekarang dapat melakukan penelitian di penyewa. Berikut contohnya:

Get-MgApplication -Filter "AppId eq '30d4cbf1-c561-454e-bf01-528cd5eafd58'"

Id                                       AppId                                    DisplayName

3af6dc4e-b0e5-45ec-8272-56f3f3f875ad     30d4cbf1-c561-454e-bf01-528cd5eafd58     Claims X-Ray

Dengan informasi ini, Anda dapat mencari di portal Aplikasi Perusahaan. Navigasi ke Semua Aplikasi dan cari AppID tertentu.

Contoh ID aplikasi

Playbook respons insiden tambahan

Periksa panduan untuk mengidentifikasi dan menyelidiki jenis serangan tambahan ini:

Sumber daya respons insiden