Varslingsklassifisering for mistenkelige innboks-videresendingsregler
Gjelder for:
- Microsoft Defender XDR
Trusselaktører kan bruke kompromitterte brukerkontoer til flere ondsinnede formål, inkludert å lese e-postmeldinger i en brukers innboks, opprette innboksregler for å videresende e-postmeldinger til eksterne kontoer, sende phishing-e-poster, blant annet. Skadelige innboksregler er allment vanlig under e-postkompromisser for bedrifter (BEC) og phishing-kampanjer, og det er viktig å overvåke dem konsekvent.
Denne strategiplanen hjelper deg med å undersøke varsler for mistenkelige innboks videresender regler og raskt vurdere dem som enten en sann positiv (TP) eller en falsk positiv (FP). Deretter kan du utføre anbefalte handlinger for TP-varslene for å utbedre angrepet.
Hvis du vil ha en oversikt over varslingsklassifisering for Microsoft Defender for Office 365 og Microsoft Defender for Cloud Apps, kan du se innføringsartikkelen.
Resultatene av å bruke denne strategiplanen er:
Du har identifisert varslene som er knyttet til innboks videresender regler som ondsinnede (TP) eller godartede (FP) aktiviteter.
Hvis skadelig, har du fjernet regler for videresending av skadelig innboks.
Du har utført den nødvendige handlingen hvis e-postmeldinger har blitt videresendt til en ondsinnet e-postadresse.
Videresendingsregler for innboks
Du konfigurerer innboksregler for automatisk behandling av e-postmeldinger basert på forhåndsdefinerte kriterier. Du kan for eksempel opprette en innboksregel for å flytte alle meldinger fra din overordnede til en annen mappe, eller videresende meldinger du mottar til en annen e-postadresse.
Mistenkelige innboks-videresendingsregler
Etter å ha fått tilgang til brukernes postbokser, oppretter angripere ofte en innboksregel som gjør at de kan eksfiltrere sensitive data til en ekstern e-postadresse og bruke den til ondsinnede formål.
Ondsinnede innboksregler automatiserer exfiltration-prosessen. Med bestemte regler videresendes hver e-post i målbrukerens innboks som samsvarer med regelkriteriene, til angriperens postboks. En angriper vil for eksempel kanskje samle inn sensitive data relatert til økonomi. De oppretter en innboksregel for å videresende alle e-postmeldinger som inneholder nøkkelord, for eksempel «økonomi» og «faktura» i emnet eller meldingsteksten, til postboksen.
Mistenkelige innboks videresender regler kan være vanskelig å oppdage fordi vedlikehold av innboksregler er vanlig oppgave utført av brukere. Derfor er det viktig å overvåke varslene.
Arbeidsflyt
Her er arbeidsflyten for å identifisere mistenkelige regler for videresending av e-post.
Undersøkelsestrinn
Denne delen inneholder detaljert trinnvis veiledning for å svare på hendelsen og utføre de anbefalte trinnene for å beskytte organisasjonen mot ytterligere angrep.
Se gjennom genererte varsler
Her er et eksempel på et regelvarsel for videresending av innboks i varselkøen.
Her er et eksempel på detaljene for varselet som ble utløst av en ondsinnet innboksregel for videresending.
Undersøke regelparametere
Formålet med dette stadiet er å avgjøre om reglene ser mistenkelige ut etter bestemte kriterier:
Mottakere av videresendingsregelen:
- Valider mål-e-postadressen er ikke en ekstra postboks som eies av samme bruker (unngår tilfeller der brukeren videresender e-postmeldinger mellom personlige postbokser).
- Valider mål-e-postadressen er ikke en intern adresse eller et underdomene som tilhører firmaet.
Filtre:
- Hvis innboksregelen inneholder filtre, som søker etter bestemte nøkkelord i emnet eller brødteksten i e-postmeldingen, kontrollerer du om de angitte nøkkelordene, for eksempel finans, legitimasjon og nettverk, blant annet virker relatert til ondsinnet aktivitet. Du finner disse filtrene under følgende attributter (som vises i hendelsen RawEventData-kolonne): «BodyContainsWords», «SubjectContainsWords» eller «SubjectOrBodyContainsWords»
- Hvis angriperen velger ikke å angi et filter til e-postmeldingene, og i stedet videresender innboksregelen alle postbokselementene til angriperens postboks), er denne oppførselen også mistenkelig.
Undersøk IP-adresse
Se gjennom attributtene som er relatert til IP-adressen som utførte den relevante hendelsen for oppretting av regel:
- Søk etter andre mistenkelige skyaktiviteter som stammer fra samme IP-adresse i leieren. Mistenkelig aktivitet kan for eksempel være flere mislykkede påloggingsforsøk.
- Er IsP vanlig og rimelig for denne brukeren?
- Er plasseringen vanlig og rimelig for denne brukeren?
Undersøk mistenkelig aktivitet med brukerens innboks før du oppretter regler
Du kan se gjennom alle brukeraktiviteter før du oppretter regler, se etter indikatorer for kompromisser og undersøke brukerhandlinger som virker mistenkelige. For eksempel flere mislykkede pålogginger.
Pålogginger:
Valider at påloggingsaktiviteten før regelopprettingshendelsen ikke er mistenkelig (for eksempel den vanlige plasseringen, Internett-leverandøren eller brukeragenten).
Andre varsler eller hendelser
- Utløste andre varsler for brukeren før regelopprettingen. I så fall kan dette indikere at brukeren ble kompromittert.
- Hvis varselet korrelerer med andre varsler for å indikere en hendelse, inneholder hendelsen andre sanne positive varsler?
Avanserte jaktspørringer
Avansert jakt er et spørringsbasert verktøy for trusseljakt som lar deg undersøke hendelser i nettverket og finne trusselindikatorer.
Kjør denne spørringen for å finne alle de nye innboksregelhendelsene i et bestemt tidsvindu.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
RuleConfig vil inneholde regelkonfigurasjonen.
Kjør denne spørringen for å kontrollere om Internett-leverandøren er vanlig for brukeren ved å se på brukerens logg.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
Kjør denne spørringen for å kontrollere om land/område er vanlig for brukeren ved å se på brukerens logg.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
Kjør denne spørringen for å kontrollere om brukeragenten er vanlig for brukeren ved å se på brukerens logg.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
Kjør denne spørringen for å kontrollere om andre brukere opprettet regelen for videresending til samme mål (kan indikere at andre brukere også er kompromittert).
let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
Anbefalte handlinger
- Deaktiver regelen for ondsinnet innboks.
- Tilbakestill brukerens kontolegitimasjon. Du kan også bekrefte om brukerkontoen er kompromittert med Microsoft Defender for Cloud Apps, som henter sikkerhetssignaler fra Microsoft Entra ID Protection.
- Søk etter andre ondsinnede aktiviteter utført av den berørte brukeren.
- Se etter annen mistenkelig aktivitet i leieren som stammer fra samme IP eller fra den samme Internett-leverandøren (hvis Internett-leverandøren er uvanlig) for å finne andre kompromitterte brukere.
Se også
- Oversikt over varslingsklassifisering
- Mistenkelig videresendingsaktivitet for e-post
- Mistenkelige regler for innboksmanipulering
- Undersøke varsler
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.