Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule przedstawiono podręcznik wyłudzania informacji. Jest to część podręcznika reagowania na zdarzenia w dziedzinie Operacje zabezpieczeń (SecOps).
Ten podręcznik jest przeznaczony dla wszystkich ról odpowiedzialnych za tworzenie lub wykonywanie podręczników reagowania na zdarzenia, w tym analityków SecOps, osób reagująjących na zdarzenia, administratorów tożsamości i pracowników operacyjnych IT.
Ataki phishingowe są jedną z najczęstszych technik początkowego dostępu stosowanych przez atakujących. Skuteczny atak phishingowy może prowadzić do przejęcia poświadczeń, uruchomienia złośliwego oprogramowania, eksfiltracji danych i ruchu bocznego w środowiskach tożsamości, poczty e-mail i punktów końcowych.
Wskazówki zawarte w tym artykule opisują, co należy zbadać i dlaczego. Przykłady specyficzne dla produktu (takie jak Microsoft Defender XDR lub Microsoft Sentinel) są dostarczane jako implementacje referencyjne.
Zanim zaczniesz
Przed rozpoczęciem dochodzenia w sprawie phishingu upewnij się, że wdrożono następujące podstawowe wymagania dotyczące gotowości. Te wymagania wstępne należy wykonać przed wystąpieniem zdarzenia w ramach planowania reagowania na zdarzenia.
| Area | Wymaganie | Szczegóły |
|---|---|---|
| Informacje o koncie | Mieć co najmniej jeden identyfikator podejrzanego użytkownika docelowego | Identyfikatory mogą być: główna nazwa użytkownika (UPN), adres e-mail lub nazwa użytkownika/alias. Te informacje są wymagane do korelowania działań poczty e-mail, logowań i akcji podrzędnych. |
| Microsoft 365 inspekcja/rejestrowanie | Inspekcja skrzynki pocztowej powinna być włączona w całej organizacji, aby zapewnić rejestrowanie dostępu do skrzynki pocztowej i akcji. | Sprawdź, czy inspekcja skrzynki pocztowej jest domyślnie włączona, uruchamiając następujące polecenie w programie Exchange Online PowerShell: Get-OrganizationConfig | Format-List AuditDisable/. Wartość False wskazuje, że inspekcja skrzynki pocztowej jest włączona dla wszystkich skrzynek pocztowych. |
| Microsoft 365 inspekcja/rejestrowanie | Dzienniki śledzenia wiadomości są wymagane do zidentyfikowania oryginalnej wiadomości phishingowej, stanu dostarczenia, wszystkich adresatów oraz szczegółów trasowania wiadomości. | Śledzenie wiadomości jest dostępne w Exchange Admin Center oraz w portalu Microsoft Defender (Poczta e-mail i współpraca > śledzenie wiadomości w usłudze Exchange). Aby efektywnie pracować z danymi śledzenia wiadomości, śledczy muszą mieć możliwość pobierania i interpretowania wartości identyfikatora wiadomości, które są uzyskiwane z nieprzetworzonych nagłówków wiadomości e-mail. |
| Microsoft 365 inspekcja/rejestrowanie | Ujednolicone dzienniki inspekcji są wymagane do przeglądu aktywności użytkowników i działań administracyjnych w różnych usługach Microsoft 365. | Upewnij się, że osoby prowadzące dochodzenie mogą przeszukiwać ujednolicony dziennik audytu, aby sprawdzać działania, takie jak dostęp do skrzynki pocztowej, działania na elementach poczty, zmiany administracyjne i zdarzenia związane z logowaniem. |
| Dzienniki firmy Microsoft Entra | Dzienniki logowania i inspekcji usługi Microsoft Entra ID są przechowywane przez ograniczony czas (30 lub 90 dni, w zależności od posiadanej licencji). | Aby obsługiwać badania, analizę historyczną i przegląd po zdarzeniu, wyeksportuj dzienniki do długoterminowego repozytorium, takiego jak Microsoft Sentinel, Azure Monitor lub rozwiązanie SIEM innej firmy. |
| Uprawnienia | Upewnij się, że śledczy mają wystarczające uprawnienia dostępu do wymaganych danych bez nadmiernego uprawnień do kont. | Microsoft Entra ID: minimalną zalecaną rolą jest Czytelnik zabezpieczeń. portal Defender i portal zgodności Microsoft: Czytelnik zabezpieczeń. Te role zapewniają dostęp tylko do odczytu do poczty e-mail, alertów i danych inspekcji. |
| Widoczność punktu końcowego | Usługa Microsoft Defender dla punktu końcowego | Jeśli Defender for Endpoint jest zainstalowany, użyj go do: — Sprawdź, czy użytkownicy weszli w interakcję z treściami phishingowymi. — Identyfikować uruchomienie ładunku. — Korelowanie aktywności punktu końcowego ze zdarzeniami poczty e-mail. |
| Sprzęt | System zdolny do uruchamiania programu PowerShell. | |
| Oprogramowanie | Te moduły programu PowerShell są często używane podczas badania wyłudzania informacji | Zestaw SDK programu PowerShell dla Microsoft Graph Exchange Online moduł programu PowerShell Moduł programu PowerShell do reagowania na incydenty Microsoft Entra. Upewnij się, że wszystkie moduły są zainstalowane i aktualne. |
Workflow
Proces dochodzenia w sprawie phishingu obejmuje następujące główne etapy:
- Zidentyfikuj i potwierdź komunikat wyłudzania informacji.
- Określanie zakresu wpływu i użytkowników, których dotyczy problem.
- Ocena interakcji użytkownika i ujawnienia poświadczeń.
- Zidentyfikuj aktywność podrzędną.
- Powstrzymaj zagrożenie i zapobiegaj jego nawrotom
Ten przepływ pracy ułatwia reagowaniom przejście od wykrywania do powstrzymania bez pomijania krytycznych kroków weryfikacji.
Co należy sprawdzić?
Użyj tej listy kontrolnej jako bramy jakości podczas badania.
- Zidentyfikuj wiadomość phishingową i oryginalny identyfikator Message-ID
- Określanie wszystkich adresatów i stanu dostawy
- Określanie, czy użytkownicy wchodzili w interakcję z komunikatem
- Ocena naruszenia zabezpieczeń poświadczeń lub wykonania złośliwego oprogramowania
- Identyfikuj działania boczne lub następczą aktywność
- Usuwanie złośliwych wiadomości ze skrzynek pocztowych
- Resetowanie lub zabezpieczanie kont, których to dotyczy
- Ulepszanie kontrolek wykrywania i zapobiegania
Kroki badania
Krok 1. Identyfikowanie komunikatu wyłudzania informacji
Uzyskaj podejrzaną wiadomość phishingową.
Wyodrębnij identyfikator wiadomości z nagłówków wiadomości e-mail.
Użyj śledzenia komunikatów, aby określić:
- Gdy wiadomość została odebrana
- Którzy użytkownicy go otrzymali
- Niezależnie od tego, czy został dostarczony, zablokowany, czy poddany kwarantannie
Krok 2. Zakres użytkowników, których dotyczy problem
- Identyfikowanie wszystkich adresatów wiadomości
- Potwierdź, czy wiadomość ominęła filtry
- Określanie, czy podobne wiadomości zostały wysłane przy użyciu wariantów tej samej kampanii
Krok 3. Ocena interakcji użytkownika
Dla każdego użytkownika, którego dotyczy problem, określ, czy:
- Otwarto wiadomość e-mail
- Kliknięte linki
- Otwarte załączniki
- Przesłane dane logowania
Skorelowanie działań poczty e-mail z:
- dzienniki logowań Microsoft Entra
- Dzienniki inspekcji
- Działanie punktu końcowego (jeśli jest dostępne)
Krok 4: Identyfikowanie kolejnych działań
Jeśli poświadczenia mogły zostać ujawnione, zbadaj następujące elementy:
- Podejrzane logowania
- Aktywność związana z rozpylaniem haseł lub atakiem metodą brute force
- Udzielanie zgody OAuth
- Nadużywanie tokenów
- Nietypowa skrzynka pocztowa lub działanie współpracy
Jeśli załączniki zostały otwarte, sprawdź, czy jakiekolwiek złośliwe oprogramowanie zostało wykonane w punktach końcowych.
Krok 5: Powstrzymanie i usuwanie skutków
Na podstawie ustaleń:
- Usuń wiadomości phishingowe ze wszystkich skrzynek pocztowych. Wyłącz lub zresetuj.
- naruszone konta.
- Odwoływanie aktywnych sesji i tokenów.
- Blokuj złośliwych nadawców, domeny i adresy URL.
- Izolowanie lub korygowanie punktów końcowych, których dotyczy problem.
Krok 6. Odzyskiwanie
Po opanowaniu sytuacji skup się na przywróceniu normalnego działania i ograniczeniu ryzyka ponownego wystąpienia.
Akcje odzyskiwania mogą obejmować:
- Wymuszanie resetowania poświadczeń i uwierzytelniania wieloskładnikowego
- Przeglądanie reguł skrzynki pocztowej i ustawień przesyłania dalej
- Ulepszanie zasad filtrowania wiadomości e-mail i ochrony przed wyłudzaniem informacji
- Aktualizowanie wykrywania i alertów
- Aktualizacja lub doskonalenie procedur reagowania na phishing
Następne kroki
Dowiedz się więcej o dyscyplinie SecOps.