疑わしい受信トレイ転送ルールのアラート分類
適用対象:
- Microsoft Defender XDR
脅威アクターは、ユーザーの受信トレイ内のメールの読み取り、外部アカウントへのメール転送の受信トレイ ルールの作成、フィッシング メールの送信など、いくつかの悪意のある目的で侵害されたユーザー アカウントを使用できます。 悪意のある受信トレイ ルールは、ビジネス メール侵害 (BEC) やフィッシング キャンペーン中に広く一般的であり、一貫して監視することが重要です。
このプレイブックは、疑わしい受信トレイ転送ルールのアラートを調査し、真陽性 (TP) または誤検知 (FP) としてすばやく評価するのに役立ちます。 その後、TP アラートに対して推奨されるアクションを実行して、攻撃を修復できます。
Microsoft Defender for Office 365 と Microsoft Defender for Cloud Apps のアラート分類の概要については、 概要に関する記事を参照してください。
このプレイブックを使用した結果は次のとおりです。
受信トレイ転送ルールに関連付けられているアラートが悪意のある (TP) または問題のない (FP) アクティビティとして識別されました。
悪意のある場合は、悪意のある受信トレイ転送ルールを削除しました。
悪意のあるメール アドレスにメールが転送されている場合は、必要なアクションを実行しました。
受信トレイ転送ルール
定義済みの条件に基づいて電子メール メッセージを自動的に管理するように受信トレイ ルールを構成します。 たとえば、受信トレイ ルールを作成して、マネージャーから別のフォルダーにすべてのメッセージを移動したり、受信したメッセージを別のメール アドレスに転送したりできます。
疑わしい受信トレイ転送ルール
ユーザーのメールボックスにアクセスした後、攻撃者は多くの場合、機密性の高いデータを外部の電子メール アドレスに流出させ、悪意のある目的で使用できるようにする受信トレイ ルールを作成します。
悪意のある受信トレイ ルールによって流出プロセスが自動化されます。 特定のルールを使用すると、ルールの条件に一致するターゲット ユーザーの受信トレイ内のすべてのメールが攻撃者のメールボックスに転送されます。 たとえば、攻撃者は、財務に関連する機密データを収集したい場合があります。 件名またはメッセージ本文の "finance" や "invoice" などのキーワードを含むすべてのメールをメールボックスに転送する受信トレイ ルールを作成します。
不審な受信トレイ転送ルールは、受信トレイ ルールのメンテナンスはユーザーが行う一般的なタスクであるため、検出が困難な場合があります。 そのため、アラートを監視することが重要です。
ワークフロー
疑わしいメール転送ルールを特定するワークフローを次に示します。
調査手順
このセクションには、インシデントに対応するための詳細なステップ バイ ステップ ガイダンスが含まれており、組織をさらなる攻撃から保護するための推奨される手順を実行します。
生成されたアラートを確認する
アラート キュー内の受信トレイ転送ルール アラートの例を次に示します。
悪意のある受信トレイ転送ルールによってトリガーされたアラートの詳細の例を次に示します。
ルール パラメーターを調査する
このステージの目的は、ルールが特定の条件によって疑わしいと見なされるかどうかを判断することです。
転送ルールの受信者:
- 宛先のメール アドレスが、同じユーザーが所有する追加のメールボックスではないことを検証します (ユーザーが個人用メールボックス間で電子メールを自己転送する場合を回避します)。
- 送信先のメール アドレスが、会社に属する内部アドレスまたはサブドメインではないことを確認します。
フィルター:
- メールの件名または本文で特定のキーワードを検索するフィルターが受信トレイ ルールに含まれている場合は、指定されたキーワード (財務、資格情報、ネットワークなど) が悪意のあるアクティビティに関連しているかどうかを確認します。 これらのフィルターは、次の属性 (イベント RawEventData 列に表示されます): "BodyContainsWords"、"SubjectContainsWords"、または "SubjectOrBodyContainsWords" の下にあります。
- 攻撃者がメールにフィルターを設定しないことを選択し、代わりに受信トレイ ルールによってすべてのメールボックスアイテムが攻撃者のメールボックスに転送される場合、この動作も疑わしいです。
IP アドレスを調査する
ルール作成の関連イベントを実行した IP アドレスに関連する属性を確認します。
- テナント内の同じ IP から発生した他の疑わしいクラウド アクティビティを検索します。 たとえば、疑わしいアクティビティは、ログイン試行が複数回失敗する可能性があります。
- ISP は、このユーザーにとって一般的で妥当ですか?
- このユーザーにとって場所は一般的で妥当ですか?
ルールを作成する前に、ユーザーの受信トレイで疑わしいアクティビティを調査する
ルールを作成する前にすべてのユーザー アクティビティを確認し、侵害の兆候を確認し、疑わしいと思われるユーザー アクションを調査できます。 たとえば、複数のサインインに失敗しました。
サインイン:
ルール作成イベントの前のサインイン アクティビティが疑わしい (共通の場所、ISP、ユーザー エージェントなど) ではないことを検証します。
その他のアラートまたはインシデント
- ルールの作成前に、ユーザーに対して他のアラートがトリガーされました。 その場合は、ユーザーが侵害されたことを示している可能性があります。
- アラートが他のアラートと関連付けてインシデントを示す場合、インシデントには他の真陽性のアラートが含まれていますか?
高度なハンティング クエリ
Advanced Hunting はクエリベースの脅威ハンティング ツールで、ネットワーク内のイベントを検査し、脅威インジケーターを見つけることができます。
このクエリを実行して、特定の時間枠内のすべての新しい受信トレイ ルール イベントを検索します。
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
RuleConfig には、ルール構成が含まれます。
このクエリを実行して、ユーザーの履歴を調べることで、ISP がユーザーに共通しているかどうかを確認します。
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
このクエリを実行して、ユーザーの履歴を確認して、国/地域がユーザーに共通しているかどうかを確認します。
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
このクエリを実行して、ユーザーの履歴を調べることで、ユーザー エージェントがユーザーに共通しているかどうかを確認します。
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
このクエリを実行して、他のユーザーが同じ宛先に転送ルールを作成したかどうかを確認します (他のユーザーも侵害されている可能性があります)。
let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
推奨処理
- 悪意のある受信トレイ ルールを無効にします。
- ユーザーのアカウント資格情報をリセットします。 また、Microsoft Entra ID Protection からセキュリティシグナルを取得する Microsoft Defender for Cloud Apps でユーザー アカウントが侵害されているかどうかを確認することもできます。
- 影響を受けたユーザーによって実行された他の悪意のあるアクティビティを検索します。
- 同じ IP または同じ ISP (ISP が珍しい場合) から発信されたテナント内の他の疑わしいアクティビティを確認して、他の侵害されたユーザーを見つけます。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。