Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra un playbook di phishing. Fa parte delle linee guida del playbook di risposta agli incidenti nella disciplina Operazioni di sicurezza (SecOps).
Questo playbook è destinato a tutti i ruoli responsabili della creazione o dell'esecuzione di playbook di risposta agli eventi imprevisti, inclusi analisti secops, risponditori di eventi imprevisti, amministratori delle identità e personale operativo IT.
Gli attacchi di phishing sono una delle tecniche di accesso iniziali più comuni usate dagli avversari. Un attacco di phishing riuscito può causare la compromissione delle credenziali, l'esecuzione di malware, l'esfiltrazione dei dati e lo spostamento laterale tra ambienti di identità, posta elettronica e endpoint.
Le indicazioni contenute in questo articolo descrivono cosa analizzare e perché. Esempi specifici del prodotto (ad esempio Microsoft Defender XDR o Microsoft Sentinel) vengono forniti come implementazioni di riferimento.
Prima di iniziare
Prima di avviare un'indagine di phishing, assicurarsi che siano soddisfatti i requisiti di conformità di base seguenti. Questi prerequisiti devono essere completati prima che si verifichi un evento imprevisto come parte della pianificazione della risposta agli eventi imprevisti.
| Area | Requisito | Dettagli |
|---|---|---|
| Informazioni sull'account | Avere almeno un identificatore per il presunto utente di destinazione | Gli identificatori possono essere: nome dell'entità utente (UPN), indirizzo di posta elettronica o nome utente/alias. Queste informazioni sono necessarie per correlare attività di posta elettronica, accessi e azioni downstream. |
| Controllo e registrazione di Microsoft 365 | Il controllo delle cassette postali deve essere abilitato a livello di organizzazione per garantire che vengano registrati l'accesso alle cassette postali e le azioni. | Verificare che il controllo delle cassette postali attivato per impostazione predefinita sia abilitato eseguendo il comando seguente in Exchange Online PowerShell: Get-OrganizationConfig | Format-List AuditDisable/. Il valore False indica che il controllo delle cassette postali è abilitato per tutte le cassette postali. |
| Controllo e registrazione di Microsoft 365 | I log di traccia dei messaggi sono necessari per identificare il messaggio di phishing originale, recapitare lo stato, tutti i destinatari, i dettagli di routing dei messaggi. | La traccia messaggi è disponibile nel Exchange Admin Center e nel portale di Microsoft Defender (Posta elettronica e collaborazione > Traccia messaggi di Exchange). Per lavorare in modo efficace con i dati di traccia dei messaggi, gli investigatori devono essere in grado di recuperare e interpretare i valori di Message-ID, ottenuti da intestazioni di posta elettronica non elaborate. |
| Microsoft 365 controllo/registrazione | I log di controllo unificati sono necessari per esaminare l'attività utente e amministrativa nei carichi di lavoro Microsoft 365. | Assicurarsi che gli investigatori possano eseguire ricerche nel log di controllo unificato per esaminare azioni come l'accesso alle cassette postali, le azioni degli elementi di posta elettronica, le modifiche amministrative e gli eventi correlati all'accesso. |
| Log di Microsoft Entra | Microsoft Entra ID i log di accesso e di controllo vengono conservati per un periodo limitato (30 o 90 giorni, a seconda delle licenze). | Per supportare indagini, analisi storica e revisione post-incidente, esportare i log in un archivio a lungo termine, ad esempio Microsoft Sentinel, Monitoraggio di Azure o un SIEM di terze parti. |
| Autorizzazioni | Assicurarsi che gli investigatori dispongano di autorizzazioni sufficienti per accedere ai dati necessari senza privilegi eccessivo. | Microsoft Entra ID: il ruolo minimo consigliato è Lettore di sicurezza. Portale di Microsoft Defender e portale di conformità Microsoft: Lettore sicurezza. Questi ruoli forniscono l'accesso in sola lettura alla posta elettronica, agli avvisi e ai dati di controllo. |
| Visibilità degli endpoint | Microsoft Defender per i punti finali | Se Defender per Endpoint è installato, usarlo per: - Verificare se gli utenti hanno interagito con il contenuto di phishing. - Identificare l'esecuzione del payload. - Correlare l'attività dell'endpoint con gli eventi di posta elettronica. |
| Hardware | Un sistema in grado di eseguire PowerShell. | |
| Software | Questi moduli di PowerShell vengono comunemente usati durante le indagini di phishing | SDK PowerShell di Microsoft Graph modulo PowerShell di Exchange Online Modulo PowerShell di Microsoft Entra per la risposta agli incidenti. Verificare che tutti i moduli siano installati e mantenuti aggiornati. |
Flusso di lavoro
Il flusso di lavoro di analisi del phishing segue queste fasi generali:
- Identificare e confermare il messaggio di phishing.
- Definire l'ambito dell'impatto e degli utenti interessati.
- Valutare l'interazione dell'utente e l'esposizione delle credenziali.
- Identificare l'attività downstream.
- Contenere la minaccia e impedire la ricorrenza
Questo flusso di lavoro consente ai risponditori di passare dal rilevamento al contenimento senza ignorare i passaggi di convalida critici.
Controlli da eseguire
Utilizzare questa checklist come criterio di controllo qualità durante l'analisi.
- Identificare l'indirizzo di posta elettronica di phishing e l'ID messaggio originale
- Determinare tutti i destinatari e lo stato di recapito
- Identificare se gli utenti hanno interagito con il messaggio
- Valutare la compromissione delle credenziali o l'esecuzione di malware
- Identificare l'attività laterale o successiva
- Rimuovere messaggi dannosi dalle cassette postali
- Reimpostare o proteggere gli account interessati
- Migliorare i rilevamenti e i controlli di prevenzione
Procedura di indagine
Passaggio 1: Identificare il messaggio di phishing
Ottieni l'email di phishing sospetta.
Estrarre l'ID messaggio dalle intestazioni di posta elettronica.
Usare la traccia dei messaggi per determinare:
- Quando il messaggio è stato ricevuto
- Quali utenti l'hanno ricevuta
- Se è stato consegnato, bloccato o messo in quarantena
Passaggio 2: Definire l'ambito degli utenti interessati
- Identificare tutti i destinatari del messaggio
- Verificare se il messaggio ha ignorato i filtri
- Determinare se messaggi simili sono stati inviati utilizzando varianti della stessa campagna
Passaggio 3: Valutare l'interazione dell'utente
Per ogni utente interessato, determinare se:
- Apertura del messaggio di posta elettronica
- Collegamenti su cui è stato fatto clic
- Allegati aperti
- Credenziali inviate
Correlare l'attività di posta elettronica con:
- Microsoft Entra registri di accesso
- Registri di audit
- Attività dell'endpoint (se disponibile)
Passaggio 4: Identificare l'attività di follow-on
Se le credenziali potrebbero essere state compromesse, verificare la presenza di:
- Accessi sospetti
- Password spraying o attività di forza bruta
- Concessioni di consenso OAuth
- Uso improprio dei token
- Attività insolite relative alla casella di posta o alla collaborazione
Se gli allegati sono stati aperti, verificare se eventuali malware si siano eseguiti sugli endpoint.
Passaggio 5: Contenere e correggere
In base ai risultati:
- Rimuovere i messaggi di phishing da tutte le caselle di postaDisabilitare o reimpostare.
- account compromessi.
- Revoca le sessioni e i token attivi.
- Bloccare mittenti, domini e URL dannosi.
- Isolare o correggere gli endpoint interessati.
Passaggio 6: Ripristino
Dopo il contenimento, concentrarsi sul ripristino delle normali operazioni e sulla riduzione del rischio di ricorrenza.
Le azioni di ripristino possono includere:
- Applicazione delle reimpostazioni delle credenziali e autenticazione a più fattori
- Verifica delle regole delle cassette postali e delle impostazioni di inoltro
- Miglioramento dei criteri di filtro e anti-phishing della posta elettronica
- Aggiornamento di rilevamenti e avvisi
- Aggiornamento o perfezionamento dei playbook per la risposta al phishing
Passaggi successivi
Altre informazioni sulla disciplina SecOps.