Udostępnij za pośrednictwem

Badanie wyłudzania informacji

Ten artykuł zawiera wskazówki dotyczące identyfikowania i badania ataków wyłudzających informacje w organizacji. Instrukcje krok po kroku ułatwiają podjęcie wymaganych działań naprawczych w celu ochrony informacji i zminimalizowania dalszych zagrożeń.

Ten artykuł zawiera następujące sekcje:

  • Wymagania wstępne: obejmuje określone wymagania, które należy wykonać przed rozpoczęciem badania. Na przykład rejestrowanie, które powinno być włączone, wymagane są między innymi role i uprawnienia.
  • Przepływ pracy: przedstawia przepływ logiczny, który należy wykonać, aby wykonać to badanie.
  • Lista kontrolna: zawiera listę zadań dla każdego z kroków na wykresie blokowym. Ta lista kontrolna może być przydatna w środowiskach wysoce regulowanych, aby zweryfikować ukończone elementy lub jako bramę jakości dla siebie.
  • Kroki badania: zawiera szczegółowe wskazówki krok po kroku dotyczące tego konkretnego badania.

Wymagania wstępne

Poniżej przedstawiono ogólne ustawienia i konfiguracje, które należy wykonać przed kontynuowaniem badania wyłudzania informacji.

Szczegóły klienta

Przed przystąpieniem do śledztwa należy posiadać nazwę użytkownika, główną nazwę użytkownika (UPN) lub adres e-mail konta, które podejrzewasz o naruszenie bezpieczeństwa.

Podstawowe wymagania dotyczące platformy Microsoft 365

Weryfikowanie ustawień inspekcji

Sprawdź, czy inspekcja skrzynki pocztowej jest domyślnie włączona, uruchamiając następujące polecenie w programie Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

Wartość False wskazuje, że inspekcja skrzynki pocztowej jest włączona dla wszystkich skrzynek pocztowych w organizacji, niezależnie od wartości właściwości AuditEnabled w poszczególnych skrzynkach pocztowych. Aby uzyskać więcej informacji, zobacz Sprawdzanie, czy inspekcja skrzynki pocztowej jest domyślnie włączona.

Śledzenie wiadomości

Dzienniki śledzenia wiadomości są nieocenionymi składnikami, które ułatwiają znalezienie oryginalnego źródła wiadomości i zamierzonych adresatów. Możesz użyć funkcji śledzenia komunikatów w centrum administracyjnym programu Exchange (EAC) pod adresem lub za pomocą https://admin.exchange.microsoft.com/#/messagetrace w programie Exchange Online PowerShell.

Uwaga

Śledzenie wiadomości jest również dostępne w portalu Microsoft Defender na https://security.microsoft.com pod Email i współpraca>Śledzenie wiadomości Exchange, ale jest to tylko link przekierowujący do śledzenia wiadomości w EAC.

Kilka składników funkcji śledzenia wiadomości jest oczywiste, ale Message-ID jest unikatowym identyfikatorem wiadomości e-mail i wymaga dokładnego zrozumienia. Aby uzyskać Message-ID dla interesującej wiadomości e-mail, należy zbadać jej nieprzetworzone nagłówki.

Przeszukiwasz ujednolicony dziennik inspekcji, aby wyświetlić wszystkie działania użytkownika i administratora w organizacji platformy Microsoft 365.

Czy dzienniki logowania i/lub dzienniki inspekcji są eksportowane do systemu zewnętrznego?

Ponieważ większość danych logowania i inspekcji identyfikatora Microsoft Entra zostanie nadpisana po 30 lub 90 dniach, zalecamy użycie usługi Microsoft Sentinel, Azure Monitor lub zewnętrznego systemu zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).

Wymagane role i uprawnienia

Uprawnienia w identyfikatorze Entra firmy Microsoft

Zalecamy, aby konto, które przeprowadza dochodzenie, było co najmniej czytelnikiem zabezpieczeń.

Uprawnienia na platformie Microsoft 365

Rola Czytelnika zabezpieczeń w portalu usługi Microsoft Defender lub w portalu zgodności Microsoft Purview powinna zapewniać wystarczające uprawnienia do przeszukiwania odpowiednich dzienników.

Jeśli nie masz pewności co do roli do użycia, zobacz Znajdowanie uprawnień wymaganych do uruchomienia dowolnego polecenia cmdlet programu Exchange.

Usługa Microsoft Defender dla punktu końcowego

Jeśli masz Microsoft Defender dla punktu końcowego (MDE), należy go użyć do tego procesu. Aby uzyskać więcej informacji, zobacz Walka z wyłudzaniem informacji za pomocą udostępniania sygnałów i uczenia maszynowego.

Wymagania systemowe

Wymagania sprzętowe

System powinien mieć możliwość uruchomienia programu PowerShell.

Wymagania dotyczące oprogramowania

Do zbadania środowiska w chmurze wymagane są następujące moduły programu PowerShell:

Przepływ pracy

Schemat blokowy procesu badania phishingu.

Możesz również wykonać następujące czynności:

  • Pobierz przepływy pracy z podręcznika reagowania na incydenty, w tym wyłudzenia danych, jako plik PDF.
  • Pobierz schematy reakcji na phishing i inne incydenty jako plik programu Visio.

Lista kontrolna

Ta lista kontrolna pomaga ocenić proces badania i sprawdzić, czy kroki zostały wykonane podczas badania:

   
Przegląd początkowego e-maila phishingowego
Pobierz listę użytkowników, którzy uzyskali tę wiadomość e-mail
Pobieranie najnowszych dat, gdy użytkownik miał dostęp do skrzynki pocztowej
Czy dostęp delegowany jest skonfigurowany w skrzynce pocztowej?
Czy w skrzynce pocztowej są skonfigurowane reguły przesyłania dalej?
Przeglądanie reguł przepływu poczty programu Exchange (reguły transportu)
Znajdowanie wiadomości e-mail
Czy użytkownik przeczytał lub otworzył wiadomość e-mail?
Kto jeszcze dostał tę samą wiadomość e-mail?
Czy wiadomość e-mail zawiera załącznik?
Czy w załączniku był ładunek?
Sprawdź nagłówek wiadomości e-mail pod kątem prawdziwego źródła nadawcy
Weryfikowanie adresów IP osobom atakującym/kampaniom
Czy użytkownik wybrał linki w wiadomości e-mail?
W jakim punkcie końcowym została otwarta wiadomość e-mail?
Czy został uruchomiony kod załącznika?
Czy docelowy adres IP lub adres URL został dotknięty, czy otwarty?
Czy został wykonany złośliwy kod?
Jakie logowania miały miejsce na koncie w scenariuszu federacyjnym?
Jakie logowania miały miejsce w przypadku konta dla scenariusza zarządzanego?
Badanie źródłowego adresu IP
Badanie znalezionego identyfikatora urządzenia
Badanie każdego identyfikatora aplikacji

Możesz również pobrać listy kontrolne dotyczące wyłudzeń informacji i innych incydentów jako plik programu Excel.

Kroki badania

W przypadku tego badania masz przykładową wiadomość e-mail wyłudzającą informacje lub jej części. Na przykład możesz mieć adres nadawcy, temat wiadomości e-mail lub części wiadomości, aby rozpocząć badanie. Upewnij się również, że wszystkie ustawienia zostały ukończone i włączone zgodnie z zaleceniami w sekcji Wymagania wstępne .

Uzyskaj listę użytkowników lub tożsamości, którzy otrzymali wiadomość e-mail

Pierwszym krokiem jest uzyskanie listy użytkowników lub tożsamości, którzy otrzymali wiadomość phishingową. Celem tego kroku jest zarejestrowanie listy potencjalnych użytkowników /tożsamości, które będą później używane do iterowania w celu wykonania dalszych kroków badania. Odwołaj się do sekcji Przepływ pracy, aby zobaczyć diagram przepływu wysokiego poziomu kroków, które należy wykonać podczas tego śledztwa.

W tym podręczniku nie udostępniamy żadnych zaleceń dotyczących sposobu rejestrowania tej listy potencjalnych użytkowników/tożsamości. W zależności od rozmiaru badania można użyć książki programu Excel, pliku CSV, a nawet bazy danych do większych badań. Istnieje wiele sposobów uzyskiwania listy tożsamości w danej dzierżawie, a oto kilka przykładów.

Stwórz wyszukiwanie zawartości w portalu zgodności Microsoft Purview

Użyj wskaźników, aby utworzyć i uruchomić wyszukiwanie zawartości. Aby uzyskać instrukcje, zobacz Tworzenie wyszukiwania zawartości.

Aby uzyskać pełną listę właściwości wiadomości e-mail z możliwością wyszukiwania, zobacz właściwości wiadomości e-mail z możliwością wyszukiwania.

Poniższy przykład zwraca komunikaty odebrane przez użytkowników od 13 kwietnia 2022 r. do 14 kwietnia 2022 r. i zawierające słowa "action" i "required" w wierszu tematu:

(Received:4/13/2022..4/14/2022) AND (Subject:'Action required')

Poniższe przykładowe zapytanie zwraca komunikaty wysyłane przez chatsuwloginsset12345@outlook.com i zawierają dokładną frazę "Zaktualizuj informacje o koncie" w temacie.

(From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Aby uzyskać więcej informacji, zobacz, jak wyszukiwać i usuwać komunikaty w organizacji.

Używanie polecenia cmdlet Search-Mailbox w programie Exchange Online PowerShell

Możesz również użyć polecenia cmdlet Search-Mailbox w programie Exchange Online PowerShell , aby wykonać określone zapytanie względem docelowej skrzynki pocztowej i skopiować wyniki do niepowiązanej docelowej skrzynki pocztowej.

Poniższe przykładowe zapytanie wyszukuje skrzynkę pocztową Jane Smith pod kątem wiadomości e-mail zawierającej frazę Invoice w temacie i kopiuje wyniki do irMailbox w folderze o nazwie "Badanie".

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

W tym przykładowym poleceniu zapytanie przeszukuje wszystkie skrzynki pocztowe klienta w poszukiwaniu wiadomości e-mail zawierającej frazę "InvoiceUrgent" w temacie i kopiuje wyniki do IRMailbox w folderze o nazwie "Śledztwo".

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Search-Mailbox.

Czy dostęp delegowany jest skonfigurowany w skrzynce pocztowej?

Użyj następującego skryptu, aby sprawdzić, czy dostęp delegowany jest skonfigurowany w skrzynce pocztowej: https://github.com/OfficeDev/O365-InvestigationTooling/blob/master/DumpDelegatesandForwardingRules.ps1.

Aby utworzyć ten raport, uruchom mały skrypt programu PowerShell, który pobiera listę wszystkich użytkowników. Następnie użyj polecenia cmdlet Get-MailboxPermission, aby utworzyć plik CSV zawierający wszystkich delegatów skrzynki pocztowej w Twojej dzierżawie.

Poszukaj nietypowych nazw lub nadanych uprawnień. Jeśli widzisz coś niezwykłego, skontaktuj się z właścicielem skrzynki pocztowej, aby sprawdzić, czy jest to uzasadnione.

Czy istnieją reguły przekazywania skonfigurowane dla skrzynki pocztowej?

Należy sprawdzić każdą zidentyfikowaną skrzynkę pocztową pod kątem przekazywania dalej wiadomości (nazywanego również przekazywaniem protokołem SMTP (Simple Mail Transfer Protocol)) lub reguł skrzynki odbiorczej, które przesyłają dalej wiadomości e-mail do adresatów zewnętrznych (zazwyczaj są to nowo utworzone reguły skrzynki odbiorczej).

  • Aby sprawdzić wszystkie skrzynki pocztowe pod kątem przekazywania poczty, uruchom następujące polecenie w programie Exchange Online PowerShell:

    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited | Format-Table -Auto MicrosoftOnlineServicesID,ForwardingSmtpAddress,DeliverToMailboxAndForward | Export-csv C:\Temp\Forwarding.csv -NoTypeInformation

  • Aby sprawdzić reguły skrzynki odbiorczej utworzone w skrzynkach pocztowych między określonymi datami, uruchom następujące polecenie w programie Exchange Online PowerShell:

    Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -ResultSize 5000 -RecordType exchangeadmin -Operations New-InboxRule | Export-csv NoTypeInformation -Path c:\temp\Inboxrulesoutput.csv

  • Możesz również użyć raportu Automatycznie przekazywanych komunikatów w Centrum administracyjnym Exchange (EAC). Aby uzyskać instrukcje, zobacz Raport automatycznie przekazywanych komunikatów w usłudze Exchange Online.

    Uwagi:

    • Poszukaj nietypowych lokalizacji docelowych lub dowolnego rodzaju adresowania zewnętrznego.
    • Poszukaj reguł przesyłania dalej z nietypowymi słowami kluczowymi w kryteriach, takich jak wszystkie wiadomości e-mail z wyrazem 'faktura' w temacie. Skontaktuj się z właścicielem skrzynki pocztowej, aby sprawdzić, czy jest to uzasadnione.

Przejrzyj reguły skrzynki odbiorczej

Sprawdź usunięcie reguł skrzynki odbiorczej, uwzględniając znaczniki czasu związane z Twoim dochodzeniem. Na przykład użyj następującego polecenia w programie Exchange Online PowerShell:

Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -Operations Remove-InboxRule | Export-CSV NoTypeInformation -Path c:\temp\removedInboxRules.csv

Przejrzyj reguły przepływu poczty programu Exchange (reguły transportu)

Istnieją dwa sposoby uzyskiwania listy reguł przepływu poczty programu Exchange (nazywanych również regułami transportu) w organizacji:

Poszukaj nowych reguł lub zmodyfikowanych reguł, aby przekierować pocztę do domen zewnętrznych. Liczba reguł powinna być znana i stosunkowo mała. Możesz przeprowadzić wyszukiwanie w dzienniku inspekcji, aby określić, kto utworzył regułę i skąd ją utworzył. Jeśli widzisz coś niezwykłego, skontaktuj się z twórcą, aby ustalić, czy jest to uzasadnione.

Pobieranie najnowszych dat, gdy użytkownik miał dostęp do skrzynki pocztowej

W portalu Microsoft Defender lub w portalu zgodności Microsoft Purview, przejdź do ujednoliconego dziennika inspekcji. W obszarze Działania na liście rozwijanej możesz filtrować według działań skrzynki pocztowej programu Exchange.

Możliwość wyświetlania listy zagrożonych użytkowników jest dostępna w portalu usługi Microsoft Defender.

Ten raport przedstawia działania, które mogą wskazywać, że skrzynka pocztowa jest nielegalnie uzyskiwana. Obejmuje ona utworzone lub odebrane wiadomości, przeniesione lub usunięte, skopiowane lub przeczyszczone wiadomości, wysłane wiadomości przy użyciu funkcji wyślij w imieniu lub wysłaniu jako oraz wszystkie logowania skrzynki pocztowej. Dane obejmują datę, adres IP, użytkownika, wykonaną aktywność, element, którego dotyczy problem, oraz wszelkie dodatkowe szczegóły.

Uwaga

Aby te dane zostały zarejestrowane, należy włączyć opcję inspekcji skrzynki pocztowej.

Ilość zawartych tu danych może być znacząca, więc skoncentruj się na wyszukiwaniu użytkowników, których naruszenie miałoby duży wpływ. Poszukaj nietypowych wzorców, takich jak dziwne godziny aktywności lub nietypowe adresy IP, oraz wzorców takich jak duże ilości przesunięć, czyszczenia lub usuwania.

Czy użytkownik odczytał/otworzył wiadomość e-mail?

Istnieją dwa główne przypadki:

  • Skrzynka pocztowa znajduje się w usłudze Exchange Online.
  • Skrzynka pocztowa znajduje się w lokalnym programie Exchange (hybrydowym programie Exchange).

Czy użytkownik usługi Exchange Online otworzył wiadomość e-mail

Użyj polecenia cmdlet Search-Mailbox w programie PowerShell usługi Exchange Online, aby wykonać określone zapytanie wyszukiwania względem skrzynki pocztowej będącej przedmiotem zainteresowania i skopiować wyniki do niepowiązanej skrzynki pocztowej.

Poniższe przykładowe zapytanie wyszukuje skrzynkę pocztową Janesa Smitha pod kątem wiadomości e-mail zawierającej frazę Faktura w temacie i kopiuje wyniki do irMailbox w folderze o nazwie Badanie.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Poniższe przykładowe zapytanie przeszukuje wszystkie skrzynki pocztowe wszystkich organizacji w poszukiwaniu wiadomości e-mail zawierającej frazę InvoiceUrgent w temacie i kopiuje wyniki do IRMailbox w folderze o nazwie Investigation.

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Czy użytkownik otworzył wiadomość e-mail w środowisku hybrydowym programu Exchange

Użyj polecenia cmdlet Get-MessageTrackingLog, aby wyszukać informacje o dostarczaniu komunikatów przechowywane w dzienniku śledzenia komunikatów. Oto przykład:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2022 09:00:00" -End "03/15/2022 17:00:00" -Sender "john@contoso.com"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-MessageTrackingLog.

Kto jeszcze dostał tę samą wiadomość e-mail?

Istnieją dwa główne przypadki:

  • Skrzynka pocztowa znajduje się w usłudze Exchange Online.
  • Skrzynka pocztowa znajduje się w lokalnym programie Exchange (hybrydowym programie Exchange).

Przepływ pracy jest zasadniczo taki sam, jak wyjaśniono w sekcji Uzyskiwanie listy użytkowników/tożsamości, którzy uzyskali wiadomość e-mail we wcześniejszej części tego artykułu.

Znajdowanie wiadomości e-mail w usłudze Exchange Online

Użyj polecenia cmdlet Search-Mailbox, aby wykonać określone zapytanie wyszukiwania względem docelowej skrzynki pocztowej i skopiować wyniki do niezwiązanej skrzynki docelowej.

To przykładowe zapytanie wyszukuje wszystkie skrzynki pocztowe wszystkich dzierżawców dla wiadomości e-mail zawierającej temat InvoiceUrgent i kopiuje wyniki do IRMailbox w folderze o nazwie Investigation.

Get-Mailbox | Search-Mailbox -SearchQuery "Subject:InvoiceUrgent" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Znajdowanie wiadomości e-mail w lokalnym programie Exchange

Użyj polecenia cmdlet Get-MessageTrackingLog, aby wyszukać informacje o dostarczaniu komunikatów przechowywane w dzienniku śledzenia komunikatów. Oto przykład:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -MessageSubject "InvoiceUrgent"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-MessageTrackingLog.

Czy wiadomość e-mail zawiera załącznik?

Istnieją dwa główne przypadki:

  • Skrzynka pocztowa znajduje się w usłudze Exchange Online.
  • Skrzynka pocztowa znajduje się w lokalnym programie Exchange (hybrydowym programie Exchange).

Sprawdź, czy wiadomość zawierała załącznik w usłudze Exchange Online

Jeśli skrzynka pocztowa znajduje się w usłudze Exchange Online, masz dwie opcje:

  • Użyj klasycznego polecenia cmdlet Search-Mailbox
  • Użyj polecenia cmdlet New-ComplianceSearch

Użyj polecenia cmdlet Search-Mailbox, aby wykonać określone zapytanie wyszukiwania względem docelowej skrzynki pocztowej i skopiować wyniki do niezwiązanej skrzynki docelowej. Oto przykład:

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Search-Mailbox.

Drugą opcją jest użycie polecenia New-ComplianceSearch cmdlet. Oto przykład:

New-ComplianceSearch -Name "Investigation" -ExchangeLocation "Research Department" -ContentMatchQuery "from:pilar@contoso.com AND hasattachment:true"

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-ComplianceSearch.

Sprawdź, czy komunikat zawierał załącznik w lokalnym programie Exchange

Uwaga

W programie Exchange Server 2013 ta procedura wymaga aktualizacji zbiorczej 12 (CU12) lub nowszej. Aby uzyskać więcej informacji, zobacz ten artykuł.

Użyj polecenia cmdlet Search-Mailbox, aby wyszukać informacje o dostarczaniu komunikatów przechowywane w dzienniku śledzenia komunikatów. Oto przykład:

Search-Mailbox -Identity "Jane Smith"-SearchQuery AttachmentNames:attachment_name -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Search-Mailbox.

Czy w załączniku był ładunek?

Wyszukaj w załączniku potencjalną złośliwą zawartość. Na przykład pliki PDF, zaciemnione skrypty PowerShell lub inne kody skryptów.

Widok > w raporcie stanu ochrony przed zagrożeniami pokazuje liczbę przychodzących i wychodzących wiadomości, które zostały wykryte jako zawierające złośliwe oprogramowanie dla Twojej organizacji. Aby uzyskać więcej informacji, zobacz > poczty e-mail.

Sprawdź nagłówek wiadomości e-mail pod kątem prawdziwego źródła nadawcy

Wiele składników funkcji śledzenia komunikatów nie wymaga wyjaśnienia, ale musisz dokładnie zrozumieć informacje o identyfikatorze komunikatu. Identyfikator wiadomości to unikatowy identyfikator wiadomości e-mail.

Aby uzyskać identyfikator wiadomości dla interesującej wiadomości e-mail, należy sprawdzić nieprzetworzone nagłówki wiadomości e-mail. Aby uzyskać instrukcje dotyczące wykonywania tej czynności w programie Microsoft Outlook lub Outlook w sieci Web (wcześniej znanej jako Outlook Web App lub OWA), zobacz Wyświetlanie nagłówków wiadomości internetowych w programie Outlook

Podczas wyświetlania nagłówka wiadomości e-mail skopiuj i wklej informacje nagłówka do analizatora nagłówka wiadomości e-mail dostarczonego przez narzędzie MXToolbox lub platformę Azure w celu zapewnienia czytelności.

  • Informacje o routingu nagłówków: Informacje dotyczące routingu zawierają trasę wiadomości e-mail podczas jej przesyłania między komputerami.

  • Struktura zasad nadawcy (SPF): weryfikacja wiadomości e-mail, która pomaga zapobiegać fałszowaniu i wykrywać fałszowanie. W rekordzie SPF można określić, które adresy IP i domeny mogą wysyłać wiadomości e-mail w imieniu domeny.

  • SPF = Pass: Rekord TXT SPF ustalił, że nadawca może wysyłać w imieniu domeny.

    • SPF = neutralny
    • SPF = Błąd: konfiguracja zasad określa wynik dla adresu IP nadawcy wiadomości
    • Poczta SMTP: sprawdź, czy jest to legalna domena

    Aby uzyskać więcej informacji na temat spF, zobacz How Microsoft 365 uses SPF to prevent faofing (Jak platforma Microsoft 365 używa narzędzia SPF w celu zapobiegania fałszowaniu)

  • Typowe wartości: poniżej przedstawiono podział najczęściej używanych i wyświetlanych nagłówków oraz ich wartości. Są to cenne informacje i można ich używać w polach Wyszukiwania w Eksploratorze zagrożeń.

    • Adres nadawcy
    • Temat
    • Identyfikator komunikatu
    • Adres
    • Adres ścieżki powrotnej

  • Wyniki uwierzytelniania: Możesz znaleźć informacje o tym, co zostało uwierzytelnione przez klienta poczty e-mail w momencie wysłania wiadomości. Zapewnia ona uwierzytelnianie SPF i DKIM.

  • Źródłowy adres IP: oryginalny adres IP może służyć do określenia, czy adres IP jest zablokowany i uzyskać lokalizację geograficzną.

  • Poziom ufności spamu (SCL): określa prawdopodobieństwo, jeśli przychodząca wiadomość e-mail jest spamem.

    • -1: Obejdź większość filtrowania spamu od bezpiecznego nadawcy, bezpiecznego adresata lub bezpiecznego adresu IP z listy (zaufany partner)
    • 0, 1: Nonspam, ponieważ wiadomość została zeskanowana i określona jako czysta
    • 5, 6: Spam
    • 7, 8, 9: Spam o wysokiej pewności

Rekord SPF jest przechowywany w bazie danych DNS i jest powiązany z informacjami wyszukiwania DNS. Możesz ręcznie sprawdzić rekord programu Sender Policy Framework (SPF) dla domeny przy użyciu polecenia nslookup :

  1. Otwórz wiersz polecenia (Uruchom polecenie >> cmd).

  2. Wpisz polecenie jako: nslookup -type=txt" spację, a następnie nazwę domeny/hosta. Na przykład:

     nslookup -type=txt domainname.com

Uwaga

-all (odrzucać lub nie dawać ich - nie dostarczaj wiadomości e-mail, jeśli coś nie jest zgodne), jest to zalecane.

Sprawdź, czy funkcja DKIM jest włączona w domenach niestandardowych na platformie Microsoft 365

Musisz opublikować dwa rekordy CNAME dla każdej domeny, dla której chcą dodać DomainKeys Identified Mail (DKIM). Zobacz, jak używać rozwiązania DKIM do weryfikowania wychodzących wiadomości e-mail wysłanych z niestandardowej domeny.

Sprawdzanie uwierzytelniania, raportowania i zgodności komunikatów opartych na domenie (DMARC)

Ta funkcja umożliwia weryfikowanie wychodzącej poczty e-mail na platformie Microsoft 365.

Weryfikowanie adresów IP osobom atakującym/kampaniom

Aby zweryfikować lub zbadać adresy IP zidentyfikowane w poprzednich krokach badania, możesz użyć dowolnej z następujących opcji:

  • WirusTotal
  • Usługa Microsoft Defender dla punktu końcowego
  • Źródła publiczne:
    • Ipinfo.io — ma bezpłatną opcję uzyskania lokalizacji geograficznej
    • Censys.io — ma bezpłatną opcję uzyskania informacji o tym, co zostało zebrane w wyniku ich pasywnych skanów internetu.
    • AbuseIPDB.com — ma bezpłatną opcję, który zapewnia pewne funkcje geolokalizacyjne
    • Zapytaj Bing i Google — wyszukaj za pomocą adresu IP

Reputacja adresów URL

Możesz użyć dowolnego urządzenia z systemem Windows 10 i przeglądarki Microsoft Edge, która korzysta z technologii SmartScreen .

Oto kilka przykładów reputacji adresów URL innych firm:

Podczas badania adresów IP i adresów URL poszukaj i skoreluj adresy IP ze wskaźnikami naruszenia (IOC) lub innymi wskaźnikami, w zależności od danych wyjściowych lub wyników i dodaj je do listy źródeł od przeciwnika.

Jeśli użytkownik kliknął link w wiadomości e-mail (celowo lub nie), ta akcja zwykle prowadzi do utworzenia nowego procesu na samym urządzeniu. W zależności od urządzenia, na którym to wykonano, potrzebne są badania specyficzne dla tego urządzenia. Na przykład windows vs Android vs iOS. W tym artykule opisano ogólne podejście wraz z pewnymi szczegółami dotyczącymi urządzeń z systemem Windows. Jeśli używasz Microsoft Defender for Endpoint (MDE), możesz go również używać na iOS, a wkrótce na Androida.

Te zdarzenia można zbadać przy użyciu Microsoft Defender for Endpoint.

  • Dzienniki VPN/serwera proxy W zależności od dostawcy rozwiązań proxy i sieci VPN, należy sprawdzić odpowiednie dzienniki. W idealnym przypadku przekazujesz zdarzenia do rozwiązania SIEM lub do usługi Microsoft Sentinel.

  • Korzystając z Microsoft Defender dla punktu końcowego Jest to najlepszy scenariusz, ponieważ możesz użyć naszych danych wywiadowczych o zagrożeniach i zautomatyzowanej analizy, aby ułatwić badanie. Aby uzyskać więcej informacji, zobacz jak badać alerty w Microsoft Defender for Endpoint.

    Drzewo alertów procesów wprowadza klasyfikację i badanie alertów na wyższy poziom, wyświetlając zagregowane alerty oraz powiązane dowody, które wystąpiły w tym samym kontekście wykonania i czasie. Zrzut ekranu przedstawiający drzewo procesów alertów.

  • Urządzenia klienckie z systemem Windows Upewnij się, że włączono opcję Zdarzenia tworzenia procesu. W idealnym przypadku należy również włączyć zdarzenia śledzenia w wierszu polecenia.

    Na klientach z systemem Windows, które mają włączone powyżej zdarzenia inspekcji przed badaniem, można sprawdzić zdarzenie inspekcji 4688 i określić czas dostarczenia wiadomości e-mail do użytkownika:

    Zrzut ekranu przedstawiający przykład zdarzenia inspekcji 4688.

    Inny zrzut ekranu przedstawiający zdarzenie audytu 4688.

W jakim punkcie końcowym została otwarta wiadomość e-mail?

Zadania w tym miejscu są podobne do poprzedniego kroku badania: Czy użytkownik wybrał linki w wiadomości e-mail?

Czy dołączony ładunek został uruchomiony?

Zadania w tym miejscu są podobne do poprzedniego kroku badania: Czy użytkownik wybrał linki w wiadomości e-mail?

Czy docelowy adres IP/adres URL został dotknięty, czy otwarty?

Zadania w tym miejscu są podobne do poprzedniego kroku badania: Czy użytkownik wybrał linki w wiadomości e-mail?

Czy został wykonany złośliwy kod?

Zadania w tym miejscu są podobne do poprzedniego kroku badania: Czy użytkownik wybrał linki w wiadomości e-mail?

Jakie logowania miały miejsce na koncie?

Sprawdź różne logowania, które wystąpiły w ramach konta.

Scenariusz federacyjny

Ustawienia i zdarzenia dziennika inspekcji różnią się w zależności od poziomu systemu operacyjnego i wersji serwera usług Active Directory Federation Services (ADFS).

Zapoznaj się z poniższymi sekcjami dotyczącymi różnych wersji serwera.

Server 2016 i nowsze

Domyślnie usługi ADFS w systemie Windows Server 2016 mają włączoną podstawową inspekcję. Dzięki podstawowej inspekcji administratorzy mogą zobaczyć maksymalnie pięć zdarzeń dla pojedynczego żądania. Można jednak podnieść lub obniżyć poziom inspekcji przy użyciu tego polecenia:

Set-AdfsProperties -AuditLevel Verbose

Aby uzyskać więcej informacji, zobacz Inspekcja ulepszeń usług AD FS w systemie Windows Server.

Jeśli masz zainstalowany program Microsoft Entra Connect Health, zapoznaj się również z raportem Ryzykowne adresy IP. Adresy IP klienta działań logowania zakończonych niepowodzeniem są agregowane za pośrednictwem serwerów proxy aplikacji internetowej. Każdy element w raporcie Ryzykowny adres IP zawiera zagregowane informacje o nieudanych działaniach logowania usług AD FS, które przekraczają wyznaczony próg.

Zrzut ekranu przedstawiający przykład ryzykownego raportu IP.

Aby uzyskać więcej informacji, zobacz Raport ryzykownych adresów IP.

Windows Server 2016 i nowsze

W przypadku rzeczywistych zdarzeń audytu należy przejrzeć dzienniki zdarzeń zabezpieczeń i wyszukać zdarzenia z identyfikatorem 1202 dla pomyślnych zdarzeń uwierzytelniania oraz 1203 dla niepowodzeń.

Przykład zdarzenia o identyfikatorze 1202:

Identyfikator zdarzenia 1202 FreshCredentialSuccessAudit Usługa federacyjna zweryfikowała nowe poświadczenia. Aby uzyskać szczegółowe informacje, zobacz XML.

Przykład dla zdarzenia o identyfikatorze 1203:

Identyfikator zdarzenia 1203 FreshCredentialFailureAudit Usługa federacyjna nie mogła zweryfikować nowego poświadczenia. Aby uzyskać szczegółowe informacje o błędach, zobacz XML.

Przykład zdarzenia 1203

Przykład zdarzenia 4624

Scenariusz zarządzany

Sprawdź dzienniki logowania w usłudze Microsoft Entra dla co najmniej jednego badanego użytkownika.

W centrum administracyjnym firmy Microsoft Entra przejdź do ekranu Logowania i dodaj/zmodyfikuj filtr wyświetlania dla przedziału czasu znalezionego w poprzednich krokach badania i dodaj nazwę użytkownika jako filtr, jak pokazano na tej ilustracji.

Zrzut ekranu przedstawiający przykład filtru wyświetlania z przedziałem czasu.

Możesz również wyszukiwać przy użyciu interfejsu API programu Graph. Na przykład przefiltruj właściwości użytkownika i pobierz lastSignInDate wraz z nimi. Wyszukaj określonego użytkownika, aby uzyskać ostatnią datę zalogowania dla tego użytkownika. Na przykład https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'Dhanyah')&$select=displayName,signInActivity

Możesz również użyć polecenia cmdlet programu Microsoft Graph PowerShell Get-MgUser do prowadzenia dochodzeń. Na przykład:

Get-MgAuditLogSignIn -Filter "userPrincipalName eq ‘johcast@contoso.com’" | Export-Csv -Path ".\UserSignInActivity.csv" -NoTypeInformation

Możesz też użyć tego polecenia:

Get-MgAuditLogSignIn -Filter "userPrincipalName eq ‘johcast@contoso.com’" | Export-Csv -Path ".\UserSignInActivity.csv" -NoTypeInformation

Badanie źródłowego adresu IP

Na podstawie źródłowych adresów IP znalezionych w dzienniku logowania firmy Microsoft Entra lub w plikach dziennika usługi ADFS/serwera federacyjnego sprawdź, skąd pochodzi ruch.

Użytkownik zarządzany

W przypadku scenariusza zarządzanego należy zacząć przeglądać dzienniki logowania i filtrować na podstawie źródłowego adresu IP:

Zrzut ekranu przedstawiający przykład zarządzanego adresu IP użytkownika. 

```powershell
Connect-MgGraph -Scopes "AuditLog.Read.All", "Directory.Read.All"
$ipAddress = "1.2.3.4"
$fromDate = (Get-Date).AddDays(-29).ToString("yyyy-MM-ddTHH:mm:ssZ")
$toDate = (Get-Date).AddDays(-3).ToString("yyyy-MM-ddTHH:mm:ssZ")
Get-MgAuditLogSignIn -Filter "ipAddress eq '$ipAddress' and createdDateTime ge $fromDate and createdDateTime le $toDate" -All |
Select-Object UserPrincipalName, AppDisplayName, IPAddress, ResourceDisplayName, Status, CreatedDateTime |
Out-GridView -Title "Sign-ins from IP $ipAddress"

Możesz również użyć polecenia cmdlet programu Microsoft Graph PowerShell Get-MgUser do prowadzenia dochodzeń. Dowiedz się więcej: Get-MgUser.

Po zapoznaniu się z listą wyników przejdź do karty Informacje o urządzeniu. W zależności od używanego urządzenia uzyskujesz różne dane wyjściowe. Oto kilka przykładów:

  • Przykład 1 — urządzenie niezarządzane (BYOD):

    Zrzut ekranu przedstawiający przykład urządzenia niezarządzanego.

  • Przykład 2 — zarządzane urządzenie (połączenie z Microsoft Entra lub hybrydowe połączenie z Microsoft Entra):

    Zrzut ekranu przedstawiający przykład informacji o zarządzanym urządzeniu.

Sprawdź, czy identyfikator DeviceID jest obecny. Należy również poszukać systemu operacyjnego oraz przeglądarki lub ciągu UserAgent.

Zrzut ekranu przedstawiający przykład identyfikatora urządzenia.

Zarejestruj identyfikator korelacji, identyfikator żądania i znacznik czasu. Należy użyć identyfikatora CorrelationID i znacznika czasu, aby skorelować wyniki z innymi zdarzeniami.

Federacyjny użytkownik/aplikacja

Postępuj zgodnie z tą samą procedurą, którą przewidziano dla scenariusza federacyjnego logowania.

Wyszukaj i zarejestruj identyfikator deviceID, poziom systemu operacyjnego, identyfikator korelacji, identyfikator żądania.

Zbadaj zidentyfikowany identyfikator urządzenia

Ten krok jest istotny tylko dla tych urządzeń, które są znane usłudze Microsoft Entra ID. Na przykład w poprzednich krokach, jeśli znaleziono co najmniej jeden potencjalny identyfikator urządzenia, możesz dokładniej zbadać to urządzenie. Wyszukaj i zarejestruj identyfikator urządzenia i właściciela urządzenia.

Zbadaj każdy identyfikator aplikacji

Zacznij od logów logowania i konfiguracji aplikacji najemcy lub od konfiguracji serwerów federacyjnych.

Scenariusz zarządzany

Z poprzednio znalezionych szczegółów dziennika logowania sprawdź identyfikator aplikacji na karcie Informacje podstawowe:

Zrzut ekranu przedstawiający sposób sprawdzania identyfikatora aplikacji na karcie Informacje podstawowe.

Zwróć uwagę na różnice między aplikacją (i identyfikatorem) a zasobem (i identyfikatorem). Aplikacja jest składnikiem klienta, natomiast zasób jest usługą/aplikacją w identyfikatorze Entra firmy Microsoft.

Za pomocą tego identyfikatora AppID można teraz przeprowadzić badania w dzierżawie. Oto przykład:

Get-MgApplication -Filter "AppId eq '00001111-aaaa-2222-bbbb-3333cccc4444'"

Id                                       AppId                                    DisplayName

3af6dc4e-b0e5-45ec-8272-56f3f3f875ad     00001111-aaaa-2222-bbbb-3333cccc4444     Claims X-Ray

Dzięki tym informacjom można wyszukiwać w portalu aplikacji dla przedsiębiorstw. Przejdź do pozycji Wszystkie aplikacje i wyszukaj określony identyfikator AppID.

Zrzut ekranu przedstawiający przykład identyfikatora aplikacji.

Dodatkowe scenariusze działań w odpowiedzi na incydenty

Zapoznaj się ze wskazówkami dotyczącymi identyfikowania i badania innych typów ataków:

Zasoby reagowania na zdarzenia