Waarschuwingsclassificatie voor verdachte regels voor manipulatie van Postvak IN
Van toepassing op:
- Microsoft Defender XDR
Bedreigingsactoren kunnen gecompromitteerde gebruikersaccounts gebruiken voor veel schadelijke doeleinden, zoals het lezen van e-mailberichten in het Postvak IN van een gebruiker, het maken van regels voor postvak IN om e-mailberichten door te sturen naar externe accounts, het verwijderen van traceringen en het verzenden van phishing-e-mails. Schadelijke regels voor Postvak IN komen vaak voor tijdens inbreuk op zakelijke e-mail (BEC) en phishingcampagnes en het is belangrijk om deze consistent te controleren.
Dit playbook helpt u bij het onderzoeken van incidenten met betrekking tot verdachte regels voor postvak IN die zijn geconfigureerd door aanvallers en het uitvoeren van aanbevolen acties om de aanval te herstellen en uw netwerk te beschermen. Dit playbook is bedoeld voor beveiligingsteams, waaronder SOC-analisten (Security Operations Center) en IT-beheerders die de waarschuwingen beoordelen, onderzoeken en beoordelen. U kunt waarschuwingen snel beoordelen als een waar-positief (TP) of een fout-positief (TP) en aanbevolen acties ondernemen voor de TP-waarschuwingen om de aanval te herstellen.
De resultaten van het gebruik van dit playbook zijn:
U identificeert de waarschuwingen die zijn gekoppeld aan regels voor het bewerken van postvak IN als schadelijke (TP) of goedaardige (FP) activiteiten.
Als het kwaadaardig is, verwijdert u de regels voor het bewerken van schadelijke postvak IN.
U onderneemt de benodigde actie als e-mailberichten zijn doorgestuurd naar een schadelijk e-mailadres.
Regels voor manipulatie van Postvak IN
Regels voor Postvak IN worden ingesteld om e-mailberichten automatisch te beheren op basis van vooraf gedefinieerde criteria. U kunt bijvoorbeeld een regel voor Postvak IN maken om alle berichten van uw manager naar een andere map te verplaatsen of berichten die u ontvangt door te sturen naar een ander e-mailadres.
Regels voor schadelijke manipulatie van Postvak IN
Aanvallers kunnen e-mailregels instellen om binnenkomende e-mailberichten te verbergen in het gecompromitteerde gebruikerspostvak om hun schadelijke activiteiten voor de gebruiker te verbergen. Ze kunnen ook regels instellen in het gecompromitteerde gebruikerspostvak om e-mailberichten te verwijderen, de e-mailberichten te verplaatsen naar een andere minder opvallende map (zoals RSS) of e-mailberichten door te sturen naar een extern account. Sommige regels kunnen alle e-mailberichten verplaatsen naar een andere map en deze markeren als 'gelezen', terwijl sommige regels alleen e-mailberichten verplaatsen die specifieke trefwoorden in het e-mailbericht of onderwerp bevatten.
De regel voor Postvak IN kan bijvoorbeeld worden ingesteld om te zoeken naar trefwoorden zoals 'factuur', 'phish', 'niet beantwoorden', 'verdachte e-mail' of 'spam', en deze te verplaatsen naar een extern e-mailaccount. Aanvallers kunnen ook het gecompromitteerde gebruikerspostvak gebruiken om spam, phishing-e-mailberichten of malware te distribueren.
Workflow
Dit is de werkstroom voor het identificeren van verdachte bewerkingsactiviteiten van postvak IN.
Onderzoeksstappen
Deze sectie bevat gedetailleerde stapsgewijze instructies voor het reageren op het incident en het uitvoeren van de aanbevolen stappen om uw organisatie te beschermen tegen verdere aanvallen.
1. Controleer de waarschuwingen
Hier volgt een voorbeeld van een waarschuwing voor het bewerken van een regel voor postvak IN in de waarschuwingswachtrij.
Hier volgt een voorbeeld van de details van een waarschuwing die is geactiveerd door een kwaadaardige manipulatieregel voor Postvak IN.
2. Manipulatieregelparameters voor Postvak IN onderzoeken
Bepaal of de regels er verdacht uitzien volgens de volgende regelparameters of criteria:
Trefwoorden
De aanvaller kan de manipulatieregel alleen toepassen op e-mailberichten die bepaalde woorden bevatten. U kunt deze trefwoorden vinden onder bepaalde kenmerken, zoals: 'BodyContainsWords', 'SubjectContainsWords' of 'SubjectOrBodyContainsWords'.
Als er wordt gefilterd op trefwoorden, controleert u of de trefwoorden verdacht lijken (veelvoorkomende scenario's zijn het filteren van e-mailberichten met betrekking tot de activiteiten van de aanvaller, zoals 'phish', 'spam' en 'niet beantwoorden').
Als er helemaal geen filter is, kan het ook verdacht zijn.
Doelmap
Om beveiligingsdetectie te omzeilen, kan de aanvaller de e-mailberichten verplaatsen naar een minder opvallende map en de e-mailberichten markeren als gelezen (bijvoorbeeld de map 'RSS'). Als de aanvaller de actie 'MoveToFolder' en 'MarkAsRead' toepast, controleert u of de doelmap op de een of andere manier is gerelateerd aan de trefwoorden in de regel om te bepalen of deze verdacht lijkt of niet.
Alles verwijderen
Sommige aanvallers verwijderen alleen alle binnenkomende e-mailberichten om hun activiteiten te verbergen. Meestal is een regel van 'alle binnenkomende e-mailberichten verwijderen' zonder ze te filteren met trefwoorden een indicator van schadelijke activiteiten.
Hier volgt een voorbeeld van een regelconfiguratie 'alle binnenkomende e-mailberichten verwijderen' (zoals te zien is op RawEventData.Parameters) van het relevante gebeurtenislogboek.
3. Het IP-adres onderzoeken
Controleer de kenmerken van het IP-adres dat de relevante gebeurtenis van het maken van de regel heeft uitgevoerd:
- Search voor andere verdachte cloudactiviteiten die afkomstig zijn van hetzelfde IP-adres in de tenant. Verdachte activiteiten kunnen bijvoorbeeld meerdere mislukte aanmeldingspogingen zijn.
- Is de internetprovider gebruikelijk en redelijk voor deze gebruiker?
- Is de locatie gemeenschappelijk en redelijk voor deze gebruiker?
4. Onderzoek verdachte activiteiten door de gebruiker voordat u de regels maakt
U kunt alle gebruikersactiviteiten controleren voordat regels zijn gemaakt, controleren op indicatoren van inbreuk en gebruikersacties onderzoeken die verdacht lijken.
Voor meerdere mislukte aanmeldingen raadpleegt u bijvoorbeeld:
Aanmeldingsactiviteit
Controleer of de aanmeldingsactiviteit vóór het maken van de regel niet verdacht is. (algemene locatie / ISP / user-agent).
Waarschuwingen
Controleer of de gebruiker waarschuwingen heeft ontvangen voordat de regels zijn gemaakt. Dit kan erop wijzen dat het gebruikersaccount mogelijk is gecompromitteerd. Bijvoorbeeld waarschuwing voor onmogelijke reizen, onregelmatig land/regio, meerdere mislukte aanmeldingen, onder andere.)
Incident
Controleer of de waarschuwing is gekoppeld aan andere waarschuwingen die duiden op een incident. Als dit het geval is, controleert u of het incident andere waar-positieve waarschuwingen bevat.
Geavanceerde opsporingsquery's
Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's waarmee u gebeurtenissen in uw netwerk kunt inspecteren om bedreigingsindicatoren te vinden.
Gebruik deze query om alle nieuwe regel gebeurtenissen voor Postvak IN te vinden tijdens een bepaald tijdvenster.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule", "UpdateInboxRules") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
De kolom RuleConfig bevat de nieuwe configuratie van de regel voor Postvak IN.
Gebruik deze query om te controleren of de internetprovider gebruikelijk is voor de gebruiker door de geschiedenis van de gebruiker te bekijken.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
Gebruik deze query om te controleren of het land/de regio gebruikelijk is voor de gebruiker door de geschiedenis van de gebruiker te bekijken.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
Gebruik deze query om te controleren of de gebruikersagent gebruikelijk is voor de gebruiker door de geschiedenis van de gebruiker te bekijken.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
Aanbevolen acties
- Schakel de regel voor het schadelijke Postvak IN uit.
- Stel de referenties van het gebruikersaccount opnieuw in. U kunt ook controleren of het gebruikersaccount is gecompromitteerd met Microsoft Defender for Cloud Apps, waardoor beveiligingssignalen van Microsoft Entra ID Protection worden opgehaald.
- Search voor andere schadelijke activiteiten die worden uitgevoerd door het betrokken gebruikersaccount.
- Controleer op andere verdachte activiteiten in de tenant die afkomstig zijn van hetzelfde IP-adres of van dezelfde internetprovider (als de internetprovider ongebruikelijk is) om andere gecompromitteerde gebruikersaccounts te vinden.
Zie ook
- Overzicht van waarschuwingsclassificatie
- Doorstuuractiviteit verdachte e-mail
- Postvak IN-regels voor het doorsturen van verdachte e-mail
- Waarschuwingen onderzoeken
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.