Waarschuwingsclassificatie voor verdachte activiteiten voor het doorsturen van e-mail
Van toepassing op:
- Microsoft Defender XDR
Bedreigingsactoren kunnen gecompromitteerde gebruikersaccounts gebruiken voor verschillende schadelijke doeleinden, waaronder het lezen van e-mailberichten in het Postvak IN van een gebruiker, het doorsturen van e-mailberichten naar externe geadresseerden en het verzenden van phishing-e-mails. De beoogde gebruiker is zich mogelijk niet bewust van het feit dat hun e-mailberichten worden doorgestuurd. Dit is een veelvoorkomende tactiek die aanvallers gebruiken wanneer gebruikersaccounts worden gecompromitteerd.
E-mailberichten kunnen handmatig of automatisch worden doorgestuurd met behulp van doorstuurregels. Automatisch doorsturen kan op meerdere manieren worden geïmplementeerd, zoals Regels voor Postvak IN, Exchange Transport Rule (ETR) en SMTP-doorsturen. Hoewel handmatig doorsturen directe actie van gebruikers vereist, zijn ze mogelijk niet op de hoogte van alle automatisch verzonden e-mailberichten. In Microsoft 365 wordt een waarschuwing weergegeven wanneer een gebruiker een e-mail automatisch naar een mogelijk schadelijk e-mailadres verzendt.
Met dit playbook kunt u waarschuwingen voor verdachte Email doorstuuractiviteiten onderzoeken en deze snel beoordelen als een waar-positief (TP) of een fout-positief (FP). Vervolgens kunt u aanbevolen acties uitvoeren voor de TP-waarschuwingen om de aanval te herstellen.
Zie het inleidingsartikel voor een overzicht van waarschuwingsclassificaties voor Microsoft Defender voor Office 365 en Microsoft Defender for Cloud Apps.
De resultaten van het gebruik van dit playbook zijn:
U identificeert de waarschuwingen die zijn gekoppeld aan automatisch verzonden e-mailberichten als schadelijke (TP) of goedaardige (FP)-activiteiten.
Als dit schadelijk is, moet u het automatisch verzenden van e-mail voor de betrokken postvakken stoppen.
U onderneemt de benodigde actie als e-mailberichten zijn doorgestuurd naar een schadelijk e-mailadres.
regels voor doorsturen Email
met Email regels voor doorsturen kunnen gebruikers een regel maken om e-mailberichten die naar het postvak van een gebruiker zijn verzonden, door te sturen naar het postvak van een andere gebruiker binnen of buiten de organisatie. Sommige e-mailgebruikers, met name gebruikers met meerdere postvakken, configureren doorstuurregels om e-mailberichten van werkgevers te verplaatsen naar hun privé-e-mailaccounts. Email doorsturen is een handige functie, maar kan ook een beveiligingsrisico vormen vanwege de mogelijke openbaarmaking van informatie. Aanvallers kunnen deze informatie gebruiken om uw organisatie of haar partners aan te vallen.
Doorstuuractiviteit verdachte e-mail
Aanvallers kunnen e-mailregels instellen om binnenkomende e-mailberichten te verbergen in het gecompromitteerde gebruikerspostvak om hun schadelijke activiteiten voor de gebruiker te verbergen. Ze kunnen ook regels instellen in het gecompromitteerde gebruikerspostvak om e-mailberichten te verwijderen, de e-mailberichten te verplaatsen naar een andere minder opvallende map, zoals een RSS-map, of e-mailberichten door te sturen naar een extern account.
Sommige regels kunnen alle e-mailberichten verplaatsen naar een andere map en deze markeren als 'gelezen', terwijl sommige regels alleen e-mailberichten verplaatsen die specifieke trefwoorden in het e-mailbericht of onderwerp bevatten. De regel voor Postvak IN kan bijvoorbeeld worden ingesteld om te zoeken naar trefwoorden zoals 'factuur', 'phish', 'niet beantwoorden', 'verdachte e-mail' of 'spam', en deze te verplaatsen naar een extern e-mailaccount. Aanvallers kunnen ook het gecompromitteerde gebruikerspostvak gebruiken om spam, phishing-e-mailberichten of malware te distribueren.
Microsoft Defender voor Office 365 kunt verdachte regels voor het doorsturen van e-mail detecteren en waarschuwen, zodat u verborgen regels bij de bron kunt zoeken en verwijderen.
Zie deze blogberichten voor meer informatie:
- Business Email Compromise
- Achter de schermen van zakelijke e-mailcompromittatie: bedreigingsgegevens voor meerdere domeinen gebruiken om een grote BEC-campagne te verstoren
Waarschuwingsdetails
Als u de waarschuwing Suspicious Email Forwarding Activity wilt bekijken, opent u de pagina Waarschuwingen om de sectie Activiteitenlijst weer te geven. Hier is een voorbeeld.
Selecteer Activiteit om de details van die activiteit in de zijbalk weer te geven. Hier is een voorbeeld.
Onderzoekswerkstroom
Tijdens het onderzoeken van deze waarschuwing moet u het volgende bepalen:
- Zijn het gebruikersaccount en het postvak gecompromitteerd?
- Zijn de activiteiten schadelijk?
Zijn het gebruikersaccount en het postvak gecompromitteerd?
Door te kijken naar het gedrag van de afzender in het verleden en recente activiteiten, moet u kunnen bepalen of het account van de gebruiker moet worden beschouwd als gecompromitteerd of niet. U kunt de details bekijken van waarschuwingen die zijn gegenereerd op de pagina van de gebruiker in de Microsoft Defender-portal.
U kunt deze andere activiteiten ook analyseren voor het betrokken postvak:
Bedreigingsverkenner gebruiken om e-mailgerelateerde bedreigingen te begrijpen
- Bekijk hoeveel van de recente e-mailberichten die door de afzender zijn verzonden, zijn gedetecteerd als phishing, spam of malware.
- Kijk hoeveel van de verzonden e-mailberichten gevoelige informatie bevatten.
Evalueer riskant aanmeldingsgedrag in de Microsoft Azure Portal.
Controleer op schadelijke activiteiten op het apparaat van de gebruiker.
Zijn de activiteiten schadelijk?
Onderzoek de activiteit voor het doorsturen van e-mail. Controleer bijvoorbeeld het type e-mail, de ontvanger van deze e-mail of de manier waarop de e-mail wordt doorgestuurd.
Zie de volgende artikelen voor meer informatie:
- Rapport Met automatisch verzonden berichten in het EAC
- Nieuwe gebruikers sturen inzicht in e-mail in het EAC
- Reageren op een gehackt e-mailaccount
- Fout-positieven en fout-negatieven melden in Outlook
Dit is de werkstroom om verdachte activiteiten voor het doorsturen van e-mail te identificeren.
U kunt een waarschuwing voor het doorsturen van e-mail onderzoeken met threat explorer of met geavanceerde opsporingsquery's, op basis van de beschikbaarheid van functies in de Microsoft Defender-portal. U kunt ervoor kiezen om het hele proces of een deel van het proces zo nodig te volgen.
Threat Explorer gebruiken
Threat Explorer biedt een interactieve onderzoekservaring voor e-mailgerelateerde bedreigingen om te bepalen of deze activiteit verdacht is of niet. U kunt de volgende indicatoren uit de waarschuwingsgegevens gebruiken:
SRL/RL: gebruik de lijst met (verdachte) geadresseerden (SRL) om deze details te vinden:
- Wie heeft nog meer e-mailberichten doorgestuurd naar deze geadresseerden?
- Hoeveel e-mailberichten zijn doorgestuurd naar deze geadresseerden?
- Hoe vaak worden e-mailberichten doorgestuurd naar deze geadresseerden?
MTI: gebruik de berichttracerings-id/netwerkbericht-id om deze details te vinden:
- Welke andere details zijn beschikbaar voor deze e-mail? Bijvoorbeeld: onderwerp, retourpad en tijdstempel.
- Wat is de oorsprong van dit e-mailbericht? Zijn er vergelijkbare e-mailberichten?
- Bevat dit e-mailbericht URL's? Verwijst de URL naar gevoelige gegevens?
- Bevat het e-mailbericht bijlagen? Bevatten de bijlagen gevoelige informatie?
- Wat is de actie die is ondernomen op het e-mailbericht? Is de map verwijderd, gemarkeerd als gelezen of verplaatst naar een andere map?
- Zijn er bedreigingen verbonden aan dit e-mailbericht? Maakt deze e-mail deel uit van een campagne?
Op basis van antwoorden op deze vragen moet u kunnen bepalen of een e-mailbericht schadelijk of goedaardig is.
Geavanceerde opsporingsquery's
Als u geavanceerde opsporingsquery's wilt gebruiken om informatie te verzamelen met betrekking tot een waarschuwing en te bepalen of de activiteit verdacht is, moet u ervoor zorgen dat u toegang hebt tot de volgende tabellen:
EmailEvents : bevat informatie met betrekking tot de e-mailstroom.
EmailUrlInfo - Bevat informatie met betrekking tot URL's in e-mailberichten.
CloudAppEvents - Bevat auditlogboek van gebruikersactiviteiten.
IdentityLogonEvents : bevat aanmeldingsgegevens voor alle gebruikers.
Opmerking
Bepaalde parameters zijn uniek voor uw organisatie of netwerk. Vul deze specifieke parameters in volgens de instructies in elke query.
Voer deze query uit om erachter te komen wie e-mailberichten nog meer heeft doorgestuurd naar deze geadresseerden (SRL/RL).
let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| distinct SenderDisplayName, SenderFromAddress, SenderObjectId
Voer deze query uit om erachter te komen hoeveel e-mailberichten zijn doorgestuurd naar deze geadresseerden.
let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress
Voer deze query uit om erachter te komen hoe vaak e-mailberichten worden doorgestuurd naar deze geadresseerden.
let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress, bin(Timestamp, 1d)
Voer deze query uit om erachter te komen of het e-mailbericht URL's bevat.
let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailUrlInfo
| where NetworkMessageId == mti
Voer deze query uit om erachter te komen of het e-mailbericht bijlagen bevat.
let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailAttachmentInfo
| where NetworkMessageId == mti
Voer deze query uit om erachter te komen of de doorstuurserver (afzender) nieuwe regels heeft gemaakt.
let sender = "{SENDER}"; //Replace {SENDER} with display name of Forwarder
let action_types = pack_array(
"New-InboxRule",
"UpdateInboxRules",
"Set-InboxRule",
"Set-Mailbox",
"New-TransportRule",
"Set-TransportRule");
CloudAppEvents
| where AccountDisplayName == sender
| where ActionType in (action_types)
Voer deze query uit om erachter te komen of er afwijkende aanmeldingsgebeurtenissen van deze gebruiker zijn. Bijvoorbeeld: onbekende IP-adressen, nieuwe toepassingen, ongebruikelijke landen/regio's, meerdere LogonFailed-gebeurtenissen.
let sender = "{SENDER}"; //Replace {SENDER} with email of the Forwarder
IdentityLogonEvents
| where AccountUpn == sender
Doorstuurregels onderzoeken
U kunt ook regels voor verdacht doorsturen vinden via het Exchange-beheercentrum, op basis van het regeltype (de FT-waarde in de waarschuwing).
ETR
Regels voor exchange-transport worden vermeld in de sectie Regels . Controleer of alle regels zijn zoals verwacht.
SMTP
U kunt regels voor het doorsturen van postvakken zien door het postvak > van de afzender te selecteren E-mailstroominstellingen > beheren Email doorsturen > Bewerken.
Postvak IN
Regels voor Postvak IN worden geconfigureerd met de e-mailclient. U kunt de PowerShell-cmdlet Get-InboxRule gebruiken om de regels voor Postvak IN weer te geven die door gebruikers zijn gemaakt.
Aanvullend onderzoek
Samen met het bewijs dat tot nu toe is gedetecteerd, kunt u bepalen of er nieuwe doorstuurregels worden gemaakt. Onderzoek het IP-adres dat is gekoppeld aan de regel. Zorg ervoor dat het geen afwijkend IP-adres is en consistent is met de gebruikelijke activiteiten die door de gebruiker worden uitgevoerd.
Aanbevolen acties
Zodra u hebt vastgesteld dat de bijbehorende activiteiten van deze waarschuwing een waar-positief maken, classificeert u de waarschuwing en voert u de volgende acties uit voor herstel:
Schakel de regel voor doorsturen van Postvak IN uit en verwijder deze.
Stel de accountreferenties van de gebruiker opnieuw in voor het doorstuurtype Postvak IN.
Onderzoek voor het smtp- of ETR-doorstuurtype de activiteiten van het gebruikersaccount waarmee de waarschuwing is gemaakt.
Onderzoek andere verdachte beheerdersactiviteiten.
Stel de referenties van het gebruikersaccount opnieuw in.
Controleer of andere activiteiten afkomstig zijn van betrokken accounts, IP-adressen en verdachte afzenders.
Zie ook
- Overzicht van waarschuwingsclassificatie
- Postvak IN-regels voor het doorsturen van verdachte e-mail
- Postvak IN-regels voor het manipuleren van verdachte e-mail
- Waarschuwingen onderzoeken
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.