다음을 통해 공유


의심스러운 받은 편지함 조작 규칙에 대한 경고 분류

적용 대상:

  • Microsoft Defender XDR

위협 행위자는 사용자의 받은 편지함에서 전자 메일을 읽고, 외부 계정으로 전자 메일을 전달하는 받은 편지함 규칙을 만들고, 추적을 삭제하고, 피싱 메일을 보내는 등 많은 악의적인 목적으로 손상된 사용자 계정을 사용할 수 있습니다. 악의적인 받은 편지함 규칙은 BEC(비즈니스 메일 손상) 및 피싱 캠페인 중에 일반적이며 지속적으로 모니터링하는 것이 중요합니다.

이 플레이북은 공격자가 구성한 의심스러운 받은 편지함 조작 규칙과 관련된 인시던트를 조사하고 공격을 수정하고 네트워크를 보호하기 위한 권장 조치를 취하는 데 도움이 됩니다. 이 플레이북은 경고를 검토, 조사 및 채점하는 SOC(보안 운영 센터) 분석가 및 IT 관리자를 포함한 보안 팀을 위한 것입니다. 경고를 TP(참 긍정) 또는 가양성(TP)으로 신속하게 채점하고 TP 경고에 권장되는 조치를 취하여 공격을 수정할 수 있습니다.

이 플레이북을 사용한 결과는 다음과 같습니다.

  • 받은 편지함 조작 규칙과 관련된 경고를 악의적인(TP) 또는 FP(양성) 활동으로 식별합니다.

    악의적인 경우 악성 받은 편지함 조작 규칙을 제거합니다.

  • 이메일이 악의적인 전자 메일 주소로 전달된 경우 필요한 조치를 취합니다.

받은 편지함 조작 규칙

받은 편지함 규칙은 미리 정의된 조건에 따라 전자 메일 메시지를 자동으로 관리하도록 설정됩니다. 예를 들어 관리자의 모든 메시지를 다른 폴더로 이동하거나 받은 메시지를 다른 전자 메일 주소로 전달하는 받은 편지함 규칙을 만들 수 있습니다.

악의적인 받은 편지함 조작 규칙

공격자는 손상된 사용자 사서함에 들어오는 전자 메일을 숨기도록 전자 메일 규칙을 설정하여 사용자의 악의적인 활동을 모호하게 할 수 있습니다. 또한 손상된 사용자 사서함에 규칙을 설정하여 전자 메일을 삭제하거나, 전자 메일을 눈에 띄지 않는 다른 폴더(예: RSS)로 이동하거나, 외부 계정으로 메일을 전달할 수도 있습니다. 일부 규칙은 모든 전자 메일을 다른 폴더로 이동하고 "읽기"로 표시할 수 있지만 일부 규칙은 전자 메일 메시지 또는 제목에 특정 키워드가 포함된 메일만 이동할 수 있습니다.

예를 들어 받은 편지함 규칙은 "청구서", "피시", "회신하지 않음", "의심스러운 이메일" 또는 "스팸"과 같은 키워드를 찾아 외부 전자 메일 계정으로 이동하도록 설정할 수 있습니다. 공격자는 손상된 사용자 사서함을 사용하여 스팸, 피싱 메일 또는 맬웨어를 배포할 수도 있습니다.

워크플로

의심스러운 받은 편지함 조작 규칙 활동을 식별하는 워크플로는 다음과 같습니다.

받은 편지함 조작 규칙에 대한 경고 조사 워크플로

조사 단계

이 섹션에는 인시던트에 대응하고 추가 공격으로부터 organization 보호하기 위해 권장되는 단계를 수행하는 자세한 단계별 지침이 포함되어 있습니다.

1. 경고 검토

다음은 경고 큐의 받은 편지함 조작 규칙 경고의 예입니다.

받은 편지함 조작 규칙의 예

다음은 악의적인 받은 편지함 조작 규칙에 의해 트리거된 경고의 세부 정보 예입니다.

악의적인 받은 편지함 조작 규칙에 의해 트리거된 경고의 세부 정보

2. 받은 편지함 조작 규칙 매개 변수 조사

다음 규칙 매개 변수 또는 조건에 따라 규칙이 의심스러운지 확인합니다.

  • 키워드

    공격자는 특정 단어가 포함된 전자 메일에만 조작 규칙을 적용할 수 있습니다. "BodyContainsWords", "SubjectContainsWords" 또는 "SubjectOrBodyContainsWords"와 같은 특정 특성에서 이러한 키워드를 찾을 수 있습니다.

    키워드로 필터링하는 경우 키워드가 의심스러운지 여부를 검사(일반적인 시나리오는 "피싱", "스팸" 및 "회신하지 않음"과 같은 공격자 활동과 관련된 전자 메일을 필터링하는 것입니다.)

    필터가 전혀 없는 경우 의심스러운 것일 수도 있습니다.

  • 대상 폴더

    보안 검색을 피하기 위해 공격자는 이메일을 덜 눈에 띄는 폴더로 이동하고 이메일을 읽은 것으로 표시할 수 있습니다(예: "RSS" 폴더). 공격자가 "MoveToFolder" 및 "MarkAsRead" 작업을 적용하는 경우 대상 폴더가 규칙의 키워드와 어떻게든 관련이 있는지 여부를 검사 의심스러운지 여부를 결정합니다.

  • 모두 삭제

    일부 공격자는 들어오는 모든 전자 메일을 삭제하여 활동을 숨깁니다. 대부분 키워드를 사용하여 필터링하지 않고 "들어오는 모든 전자 메일을 삭제"하는 규칙은 악의적인 활동을 나타내는 지표입니다.

다음은 관련 이벤트 로그의 "들어오는 모든 전자 메일 삭제" 규칙 구성(RawEventData.Parameters에 표시됨)의 예입니다.

들어오는 모든 전자 메일 규칙 구성 삭제의 예

3. IP 주소 조사

규칙 만들기의 관련 이벤트를 수행한 IP 주소의 특성을 검토합니다.

  • 테넌트에서 동일한 IP에서 시작된 다른 의심스러운 클라우드 활동에 대한 Search. instance 경우 의심스러운 활동은 여러 번의 실패한 로그인 시도일 수 있습니다.
  • ISP가 이 사용자에게 일반적이고 합리적인가요?
  • 위치가 이 사용자에게 일반적이고 합리적인가요?

4. 규칙을 만들기 전에 사용자가 의심스러운 활동을 조사합니다.

규칙을 만들기 전에 모든 사용자 활동을 검토하고, 손상 지표를 검사, 의심스러운 사용자 작업을 조사할 수 있습니다.

instance 여러 로그인에 대해 다음을 검사합니다.

  • 로그인 활동

    규칙을 만들기 전에 로그인 활동이 의심스럽지 않은지 확인합니다. (공용 위치/ISP/사용자 에이전트).

  • 경고

    사용자가 규칙을 만들기 전에 경고를 받았는지 확인합니다. 이는 사용자 계정이 손상되었을 수 있음을 나타낼 수 있습니다. 예를 들어 불가능한 여행 경고, 드문 국가/지역, 여러 로그인 실패 등이 있습니다.)

  • 인시던트

    경고가 인시던트를 나타내는 다른 경고와 연결되어 있는지 확인합니다. 그렇다면 인시던트에 다른 참 긍정 경고가 포함되어 있는지 여부를 검사.

고급 헌팅 쿼리

고급 헌팅 은 네트워크의 이벤트를 검사하여 위협 지표를 찾을 수 있는 쿼리 기반 위협 헌팅 도구입니다.

이 쿼리를 사용하여 특정 기간 동안 모든 새 받은 편지함 규칙 이벤트를 찾습니다.

let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule", "UpdateInboxRules") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData

RuleConfig 열은 새 받은 편지함 규칙 구성을 제공합니다.

이 쿼리를 사용하여 사용자의 기록을 확인하여 ISP가 사용자에게 일반적인지 여부를 검사.

let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by ISP

이 쿼리를 사용하여 사용자의 기록을 확인하여 국가/지역이 사용자에게 일반적인지 여부를 검사.

let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode

이 쿼리를 사용하여 사용자의 기록을 확인하여 사용자 에이전트가 사용자에게 일반적인지 여부를 검사.

let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
  1. 악의적인 받은 편지함 규칙을 사용하지 않도록 설정합니다.
  2. 사용자 계정의 자격 증명을 다시 설정합니다. Microsoft Entra ID Protection 보안 신호를 가져오는 Microsoft Defender for Cloud Apps 사용자 계정이 손상되었는지 확인할 수도 있습니다.
  3. 영향을 받는 사용자 계정에 의해 수행되는 다른 악의적인 활동에 대한 Search.
  4. 동일한 IP 또는 동일한 ISP(ISP가 일반적이지 않은 경우)에서 시작된 테넌트에서 다른 의심스러운 활동을 확인하여 손상된 다른 사용자 계정을 찾습니다.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.