Partilhar via


Utilizar MailItemsAccessed para investigar contas comprometidas

Uma conta de usuário comprometida (também chamada de tomada de controle da conta) é um tipo de ataque quando um invasor obtém acesso a uma conta de usuário e opera como o usuário. Esses tipos de ataques, às vezes, causam mais danos do que o invasor planejou. Ao investigar contas de email comprometidas, você deve supor que mais dados de email foram comprometidos do que foi indicado ao rastrear a presença real do invasor. Dependendo do tipo de dados nas mensagens de email, você deve supor que as informações confidenciais foram comprometidas ou pagar multas regulatórias, a menos que seja possível provar que as informações confidenciais não tenham sido expostas. Por exemplo, as organizações regulamentadas pelo HIPAA terão de pagar multas significativas se houver evidências de que informações de saúde do paciente (PHI) tenham sido expostas. Nesses casos, os invasores provavelmente não têm interesse nas PHI, mas as organizações ainda devem relatar violações de dados, a menos que possam provar o contrário.

Para ajudar você a investigar contas de email de comprometimento, agora estamos auditando acessos de dados de email por protocolos de email e clientes com a ação de auditoria de caixa de correio MailItemsAccessed. Esta nova ação auditada ajuda os investigadores a compreender melhor as violações de dados de e-mail e ajuda-o a identificar o âmbito dos compromissos para itens de correio específicos que podem ter sido comprometidos. O objetivo de utilizar esta nova ação de auditoria é a defensibilidade forense para ajudar a afirmar que uma parte específica dos dados de correio não foi comprometida. Se um atacante tiver obtido acesso a uma parte específica do e-mail, o Exchange Online faz uma auditoria ao evento, embora não exista indicação de que o item de correio foi lido.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

A ação de auditoria de caixa de correio MailItemsAccessed

A ação MailItemsAccessed faz parte da funcionalidade Auditoria (Standard ). Faz parte da auditoria da caixa de correio do Exchange e está ativada por predefinição para os utilizadores a quem foi atribuída uma licença do Office 365 E3/E5 ou do Microsoft 365 E3/E5.

A ação de auditoria de caixa de correio MailItemsAccessed abrange todos os protocolos de email: POP, IMAP, MAPI, EWS, Exchange ActiveSync e REST. Ela também aborda os dois tipos de acesso a email: sincronização e vinculação.

Auditoria do acesso de sincronização

As operações de sincronização só são registradas quando uma caixa de correio é acessada por uma versão de área de trabalho do cliente do Outlook para Windows ou Mac. Durante a operação de sincronização, esses clientes geralmente baixam um grande conjunto de itens de email da nuvem para um computador local. O volume de auditoria para operações de sincronização é enorme. Portanto, em vez de gerar um registro de auditoria para cada item de correio sincronizado, geramos um evento de auditoria para a pasta de correio que contém os itens que foram sincronizados e presumimos que todos os itens de correio na pasta sincronizada foram comprometidos. O tipo de acesso é registrado no campo OperationProperties do registro de auditoria.

Confira a etapa 2 na seção Usar os registros de auditoria MailItemsAccessed para investigações de perícia para obter um exemplo de como exibir o tipo de acesso de sincronização em um registro de auditoria.

Auditoria do acesso de vinculação

Uma operação de vinculação é um acesso individual a uma mensagem de email. Para acesso ao enlace, o InternetMessageId de mensagens individuais é registado no registo de auditoria. A ação de auditoria MailItemsAccessed registra as operações de vinculação e, em seguida, agrega-as em um único registro de auditoria. Todas as operações de vinculação que ocorrem em um intervalo de 2 minutos são agregadas em um único registro de auditoria no campo Pastas dentro da propriedade AuditData. Cada mensagem acessada é identificada por seu InternetMessageId. O número de operações de ligação que foram agregadas no registro é exibido no campo OperationCount na propriedade AuditData.

Confira a etapa 4 na seção Usar os registros de auditoria MailItemsAccessed para investigações forenses para obter um exemplo de como exibir o tipo de acesso de vinculação em um registro de auditoria.

Limitação de registros de auditoria MailItemsAccessed

Se forem gerados mais de 1000 registos de auditoria MailItemsAccessed em menos de 24 horas, o Exchange Online deixa de gerar registos de auditoria para a atividade MailItemsAccessed. Quando uma caixa de correio é limitada, a atividade MailItemsAccessed não será registada durante 24 horas após a limitação da caixa de correio. Se a caixa de correio foi limitada, há um potencial de que a caixa de correio tenha sido comprometida durante esse período. A gravação da atividade MailItemsAccessed será retomada após um período de 24 horas.

Aqui estão alguns pontos para lembrar sobre a limitação:

  • Menos de 1% de todas as caixas de correio no Exchange Online são limitadas.
  • Quando uma caixa de correio é limitada, apenas os registros de auditoria para a atividade MailItemsAccessed não são auditados. Outras ações de auditoria da caixa de correio não são afetadas.
  • As caixas de correio são limitadas apenas para operações de vinculação. Os registros de auditoria para operações de sincronização não são limitados.
  • Se uma caixa de correio for limitada, você poderá supor que havia uma atividade MailItemsAccessed que não foi gravada no logs de auditoria.

Confira a etapa 1 na seção Usar registros de auditoria MailItemsAccessed para investigações de perícia para obter um exemplo de como exibir a propriedade IsThrottled em um registro de auditoria.

Use os registros de auditoria MailItemsAccessed para investigações de perícia

A auditoria de caixa de correio gera registros de auditoria para acesso a mensagens de email para que você tenha certeza de que as mensagens de email não foram comprometidas. Por esse motivo, em situações em que não sabemos que alguns dados foram acessados, supomos que foram acessados gravando todas as atividades de acesso ao email.

Geralmente usa-se os registros de auditoria MailItemsAccessed para fins de perícia após uma violação de dados ser resolvida e o invasor ser removido. Para iniciar a investigação, deve identificar o conjunto de caixas de correio que foram comprometidas e determinar o período de tempo em que o atacante teve acesso às caixas de correio na sua organização. Em seguida, você pode usar os cmdlets Search-UnifiedAuditLog ou Search-MailboxAuditLog no PowerShell do Exchange Online para pesquisar registros de auditoria que correspondem à violação de dados.

Você pode executar um dos seguintes comandos para pesquisar registros de auditoria MailItemsAccessed:

Log de auditoria unificado:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000

Log de auditória de caixa de correio:

Search-MailboxAuditLog -Identity <user> -StartDate 01/06/2020 -EndDate 01/20/2020 -Operations MailItemsAccessed -ResultSize 1000 -ShowDetails

Dica

Uma grande diferença entre esses dois cmdlets é que você pode usar o cmdlet Search-UnifiedAuditLog para pesquisar em registros de auditoria atividades realizadas por um ou mais usuários. Isso ocorre porque UserIds é um parâmetro de vários valores. O cmdlet Search-MailboxAuditLog pesquisa o log de auditoria da caixa de correio para um único usuário.

Estas são as etapas para usar os registros de auditoria MailItemsAccessed para investigar uma invasão a um usuário comprometido. Cada etapa mostra a sintaxe de comando para os cmdlets Search-UnifiedAuditLog ou Search-MailboxAuditLog.

  1. Verifique se a caixa de correio foi limitada. Em caso afirmativo, tal significaria que alguns registos de auditoria de caixas de correio não teriam sido registados. No caso de os registos de auditoria terem "IsThrottled" como "Verdadeiro", deve assumir que, durante um período de 24 horas depois, esse registo foi gerado, que qualquer acesso à caixa de correio não foi auditado e que todos os dados de correio foram comprometidos.

    Para procurar registros MailItemsAccessed em que a caixa de correio foi limitada, execute o seguinte comando:

    Log de auditoria unificado:

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL
    

    Log de auditória de caixa de correio:

    Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*IsThrottled:True*"} | FL
    
  2. Verifique se há atividades de sincronização. Se um invasor usa um cliente de email para baixar mensagens em uma caixa de correio, ele pode desconectar o computador da Internet e acessar as mensagens localmente sem interagir com o servidor. Nesse caso, a auditoria de caixa de correio não seria capaz de auditar essas atividades.

    Para procurar registros MailItemsAccessed em que os itens de email foram acessados por uma operação de sincronização, execute o seguinte comando:

    Log de auditoria unificado:

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FL
    

    Log de auditória de caixa de correio:

    Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*MailAccessType:Sync*"} | FL
    
  3. Verifique as atividades de sincronização para determinar se alguma delas ocorreu no mesmo contexto que aquele usado pelo invasor para acessar a caixa de correio. O contexto é identificado e diferenciado pelo endereço IP do computador cliente usado para acessar a caixa de correio e o protocolo de email. Para obter mais informações, confira a seção Identificar os contextos de acesso de diferentes registros de auditoria.

    Use as propriedades listadas abaixo para investigar. Essas propriedades estão localizadas na propriedade AuditData ou OperationProperties. Se qualquer uma das sincronizações ocorrer no mesmo contexto da atividade do invasor, suponha que o invasor sincronizou todos os itens de email com seu cliente, o que significa que a caixa de correio inteira provavelmente foi comprometida.



Propriedade Descrição
ClientInfoString Descreve protocolo, cliente (inclui versão)
ClientIPAddress Endereço IP do computador cliente.
SessionId A ID da sessão ajuda a diferenciar as ações do invasor versus as atividades diárias do usuário na mesma conta (útil para contas comprometidas)
UserId UPN do usuário que está lendo a mensagem.
  1. Verifique as atividades de vinculação. Depois de realizar as etapas 2 e 3, você pode ter certeza de que todo o acesso a mensagens de email por meio do invasor será capturado nos registros de auditoria MailItemsAccessed que têm uma propriedade MailAccessType com um valor de “Vinculação”.

    Para procurar registros MailItemsAccessed em que os itens de email foram acessados por uma operação de vinculação, execute o seguinte comando.

    Log de auditoria unificado:

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FL
    

    Log de auditória de caixa de correio:

    Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*MailAccessType:Bind*"} | FL
    

    As mensagens de email que foram acessadas são identificadas pelos seus ID de mensagem de internet. Você também pode verificar se algum registro de auditoria tem o mesmo contexto que os de outras atividades do invasor. Para obter mais informações, confira a seção Identificar os contextos de acesso de diferentes registros de auditoria.

    Você pode usar os dados de auditoria para operações de vinculação de duas maneiras diferentes:

    • Acesse ou colete todas as mensagens de e-mail acessadas pelo invasor usando o InternetMessageId para localizá-las e verifique se alguma dessas mensagens contém informações confidenciais.
    • Use o InternetMessageId para pesquisar registros de auditoria relacionados a um conjunto de mensagens de e-mail potencialmente sensíveis. Isso será útil se você estiver preocupado apenas com algumas mensagens.

Filtragem de registros de auditoria duplicados

Os registros de auditoria duplicados para as mesma operações de vinculação que ocorrem dentro de uma hora entre si são filtrados para remover o ruído de auditoria. As operações de sincronização também são filtradas em intervalos de uma hora. A exceção a este processo de eliminação de duplicados ocorre se, para o mesmo InternetMessageId, qualquer uma das propriedades descritas na tabela seguinte for diferente. Se uma dessas propriedades for diferente em uma operação duplicada, um novo registro de auditoria será gerado. Esse processo é descrito em mais detalhes na próxima seção.



Propriedade Descrição
ClientIPAddress O endereço IP do computador cliente.
ClientInfoString O protocolo cliente, o cliente usado para acessar a caixa de correio.
ParentFolder O caminho completo da pasta do item de email que foi acessado.
Logon_type O tipo de logon do usuário que realizou a ação. Os tipos de logon (e seu valor de enumeração correspondente) são Proprietário (0), Administrador (1), ou Delegado (2).
MailAccessType Se o acesso é uma operação de vinculação ou de sincronização.
MailboxUPN O UPN da caixa de correio na qual a mensagem que está sendo lida está localizada.
Usuário O UPN do usuário lendo a mensagem.
SessionId O Session ID ajuda a diferenciar as ações do invasor e as atividades diárias do usuário na mesma caixa de correio (no caso de uma conta comprometida). Para saber mais sobre sessões, confira Contextualizar a atividade do invasor dentro de sessões do Exchange Online.

Identificar os contextos de acesso de registros de auditoria diferentes

É comum que um invasor possa acessar uma caixa de correio ao mesmo tempo que o proprietário da caixa de correio está acessando. Para diferenciar o acesso do invasor do acesso do proprietário da caixa de correio, há propriedades de registro de auditoria que definem o contexto do acesso. Como explicado anteriormente, quando os valores dessas propriedades forem diferentes, mesmo quando a atividade ocorrer dentro do intervalo de agregação, os registros de auditoria separados serão gerados. No exemplo a seguir, há três registros de auditoria diferentes. Cada um é diferenciado pelas propriedades Session ID e ClientIPAddress. As mensagens que foram acessadas também são identificadas.



Registro de auditoria 1 Registro de auditoria 2 Registro de auditoria 3
ClientIPAddress1
SessionId2
ClientIPAddress2
SessionId2
ClientIPAddress1
SessionId3
InternetMessageIdA
InternetMessageIdD
InternetMessageIdE
InternetMessageIdF
InternetMessageIdA
InternetMessageIdC
InternetMessageIdB

Se alguma das propriedades listadas na tabela na seção anterior forem diferentes, um registro de auditoria separado será gerado para controlar o novo contexto. Os acessos serão classificados nos registros de auditoria separados, dependendo do contexto em que a atividade ocorreu.

Por exemplo, nos registos de auditoria apresentados na captura de ecrã seguinte, embora estejamos a aceder ao e-mail do EWSEditor e do OWA em simultâneo, a atividade de acesso é agrupada em registos de auditoria diferentes, consoante o contexto em que o acesso ocorreu. Neste caso, o contexto é definido pelo valores diferentes para a propriedade ClientInfoString.

Registos de auditoria diferentes com base no contexto.

Eis a sintaxe do comando apresentado na captura de ecrã anterior:

Search-MailboxAuditLog -Identity admin -ShowDetails -Operations MailItemsAccessed -ResultSize 2000 | Select LastAccessed,Operation,AuditOperationsCountInAggregatedRecord,ClientInfoString