Udostępnij za pośrednictwem


Klasyfikacja alertów dla podejrzanych reguł przekazywania skrzynki odbiorczej

Dotyczy:

  • Microsoft Defender XDR

Aktorzy zagrożeń mogą używać kont użytkowników, których zabezpieczenia zostały naruszone, do kilku złośliwych celów, w tym do odczytywania wiadomości e-mail w skrzynce odbiorczej użytkownika, tworzenia reguł skrzynki odbiorczej w celu przekazywania wiadomości e-mail do kont zewnętrznych, wysyłania wiadomości wyłudzających informacje, między innymi. Złośliwe reguły skrzynki odbiorczej są powszechnie powszechne podczas kampanii wyłudzania informacji i naruszenia zabezpieczeń poczty e-mail w firmie i wyłudzania informacji. Ważne jest, aby stale je monitorować.

Ten podręcznik pomaga zbadać alerty dotyczące podejrzanych reguł przekazywania skrzynki odbiorczej i szybko ocenić je jako prawdziwie dodatnie (TP) lub fałszywie dodatnie (FP). Następnie możesz podjąć zalecane działania dla alertów TP w celu skorygowania ataku.

Aby zapoznać się z omówieniem klasyfikacji alertów dla usługi Microsoft Defender dla usługi Office 365 i usługi Microsoft Defender for Cloud Apps, zobacz artykuł wprowadzający.

Wyniki korzystania z tego podręcznika to:

  • Alerty skojarzone z regułami przekazywania skrzynki odbiorczej zostały zidentyfikowane jako złośliwe działania (TP) lub łagodne (FP).

    W przypadku złośliwego działania usunięto złośliwe reguły przekazywania skrzynki odbiorczej.

  • Podjęto niezbędne działania, jeśli wiadomości e-mail zostały przekazane na złośliwy adres e-mail.

Reguły przekazywania skrzynki odbiorczej

Reguły skrzynki odbiorczej można skonfigurować do automatycznego zarządzania wiadomościami e-mail na podstawie wstępnie zdefiniowanych kryteriów. Możesz na przykład utworzyć regułę skrzynki odbiorczej, aby przenieść wszystkie komunikaty z menedżera do innego folderu lub przekazać wiadomości otrzymane na inny adres e-mail.

Podejrzane reguły przesyłania dalej w skrzynce odbiorczej

Po uzyskaniu dostępu do skrzynek pocztowych użytkowników osoby atakujące często tworzą regułę skrzynki odbiorczej, która umożliwia im eksfiltrację poufnych danych na zewnętrzny adres e-mail i używanie ich do złośliwych celów.

Złośliwe reguły skrzynki odbiorczej automatyzują proces eksfiltracji. W przypadku określonych reguł każda wiadomość e-mail w skrzynce odbiorczej użytkownika docelowego zgodna z kryteriami reguły zostanie przekazana do skrzynki pocztowej osoby atakującej. Na przykład osoba atakująca może chcieć zebrać poufne dane związane z finansami. Tworzą regułę skrzynki odbiorczej, aby przekazywać wszystkie wiadomości e-mail zawierające słowa kluczowe, takie jak "finanse" i "faktura" w treści tematu lub wiadomości, do skrzynki pocztowej.

Podejrzane reguły przekazywania skrzynki odbiorczej mogą być trudne do wykrycia, ponieważ konserwacja reguł skrzynki odbiorczej jest typowym zadaniem wykonywanym przez użytkowników. Dlatego ważne jest, aby monitorować alerty.

Przepływ pracy

Oto przepływ pracy umożliwiający zidentyfikowanie podejrzanych reguł przekazywania wiadomości e-mail.

Przepływ pracy badania alertów dla reguł przekazywania skrzynki odbiorczej

Kroki badania

Ta sekcja zawiera szczegółowe wskazówki krok po kroku dotyczące reagowania na zdarzenie i wykonania zalecanych kroków w celu ochrony organizacji przed dalszymi atakami.

Przejrzyj wygenerowane alerty

Oto przykład alertu reguły przekazywania skrzynki odbiorczej w kolejce alertów.

Przykład powiadomienia w kolejce alertów

Oto przykład szczegółów alertu, który został wyzwolony przez złośliwą regułę przekazywania skrzynki odbiorczej.

Szczegóły alertu, który został wyzwolony przez złośliwą regułę przekazywania skrzynki odbiorczej

Badanie parametrów reguły

Celem tego etapu jest ustalenie, czy reguły wyglądają podejrzanie według określonych kryteriów:

Adresaci reguły przesyłania dalej:

  • Sprawdź, czy docelowy adres e-mail nie jest dodatkową skrzynką pocztową należącą do tego samego użytkownika (unikając przypadków, w których użytkownik samodzielnie przekazuje wiadomości e-mail między osobistymi skrzynkami pocztowymi).
  • Sprawdź, czy docelowy adres e-mail nie jest adresem wewnętrznym ani poddomeną należącą do firmy.

Filtry:

  • Jeśli reguła skrzynki odbiorczej zawiera filtry, które wyszukują określone słowa kluczowe w temacie lub treści wiadomości e-mail, sprawdź między innymi, czy podane słowa kluczowe, takie jak finanse, poświadczenia i sieć, wydają się być związane ze złośliwym działaniem. Te filtry można znaleźć w następujących atrybutach (które są wyświetlane w kolumnie RawEventData zdarzeń): "BodyContainsWords", "SubjectContainsWords" lub "SubjectOrBodyContainsWords"
  • Jeśli osoba atakująca zdecyduje się nie ustawiać żadnego filtru na wiadomości e-mail, a zamiast tego reguła skrzynki odbiorczej przekazuje wszystkie elementy skrzynki pocztowej do skrzynki pocztowej osoby atakującej), takie zachowanie również jest podejrzane.

Badanie adresu IP

Przejrzyj atrybuty związane z adresem IP, który wykonał odpowiednie zdarzenie tworzenia reguły:

  1. Wyszukaj inne podejrzane działania w chmurze pochodzące z tego samego adresu IP w dzierżawie. Na przykład podejrzane działania mogą być wieloma nieudanymi próbami logowania.
  2. Czy usługodawca jest typowy i rozsądny dla tego użytkownika?
  3. Czy lokalizacja jest wspólna i rozsądna dla tego użytkownika?

Badanie wszelkich podejrzanych działań przy użyciu skrzynki odbiorczej użytkownika przed utworzeniem reguł

Przed utworzeniem reguł możesz przejrzeć wszystkie działania użytkowników, sprawdzić wskaźniki naruszenia zabezpieczeń i zbadać akcje użytkowników, które wydają się podejrzane. Na przykład wiele nieudanych logowań.

  • Logowania:

    Sprawdź, czy działanie logowania przed zdarzeniem tworzenia reguły nie jest podejrzane (np. wspólna lokalizacja, usługodawca sieciowy lub agent użytkownika).

  • Inne alerty lub zdarzenia

    • Czy inne alerty zostały wyzwolone dla użytkownika przed utworzeniem reguły. Jeśli tak, może to oznaczać, że użytkownik został naruszona.
    • Jeśli alert jest skorelowany z innymi alertami wskazującymi zdarzenie, to czy zdarzenie zawiera inne prawdziwie dodatnie alerty?

Zaawansowane zapytania dotyczące wyszukiwania zagrożeń

Zaawansowane wyszukiwanie zagrożeń to oparte na zapytaniach narzędzie do wyszukiwania zagrożeń, które umożliwia inspekcję zdarzeń w sieci i lokalizowanie wskaźników zagrożeń.

Uruchom to zapytanie, aby znaleźć wszystkie nowe zdarzenia reguł skrzynki odbiorczej w określonym przedziale czasu.

let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData

Polecenie RuleConfig będzie zawierać konfigurację reguły.

Uruchom to zapytanie, aby sprawdzić, czy usługodawca jest typowy dla użytkownika, przeglądając historię użytkownika.

let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by ISP

Uruchom to zapytanie, aby sprawdzić, czy kraj/region jest typowy dla użytkownika, przeglądając historię użytkownika.

let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode

Uruchom to zapytanie, aby sprawdzić, czy agent-użytkownik jest typowy dla użytkownika, przeglądając historię użytkownika.

let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent

Uruchom to zapytanie, aby sprawdzić, czy inni użytkownicy utworzą regułę przesyłania dalej do tego samego miejsca docelowego (może to oznaczać, że inni użytkownicy również są narażeni na naruszenia zabezpieczeń).

let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
  1. Wyłącz regułę złośliwej skrzynki odbiorczej.
  2. Zresetuj poświadczenia konta użytkownika. Możesz również sprawdzić, czy bezpieczeństwo konta użytkownika zostało naruszone za pomocą usługi Microsoft Defender for Cloud Apps, która pobiera sygnały zabezpieczające z usługi Microsoft Entra ID Protection.
  3. Wyszukaj inne złośliwe działania wykonywane przez użytkownika, na który ma to wpływ.
  4. Sprawdź inne podejrzane działania w dzierżawie pochodzące z tego samego adresu IP lub z tego samego usługodawcy sieciowego (jeśli usługodawca sieciowy jest nietypowy), aby znaleźć innych użytkowników, których bezpieczeństwo zostało naruszone.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.