Classificação de alerta para atividade de encaminhamento de email suspeita

Aplica-se a:

• Microsoft Defender XDR

Os atores de ameaça podem usar contas de usuário comprometidas para vários fins mal-intencionados, incluindo ler emails na caixa de entrada de um usuário, encaminhar emails para destinatários externos e enviar emails de phishing, entre outros. O usuário alvo pode não saber que seus emails estão sendo encaminhados. Essa é uma tática comum que os invasores usam quando as contas de usuário são comprometidas.

Os emails podem ser encaminhados manualmente ou automaticamente usando regras de encaminhamento. O encaminhamento automático pode ser implementado de várias maneiras, como Regras de Caixa de Entrada, ETR (Regra de Transporte do Exchange) e Encaminhamento SMTP. Embora o encaminhamento manual exija ação direta dos usuários, eles podem não estar cientes de todos os emails enviados automaticamente. No Microsoft 365, um alerta é gerado quando um usuário desvia automaticamente um email para um endereço de email potencialmente mal-intencionado.

Este guia estratégico ajuda você a investigar alertas suspeitos de atividade de encaminhamento de Email e classificá-los rapidamente como um TP (verdadeiro positivo) ou um FP (falso positivo). Em seguida, você pode tomar ações recomendadas para os alertas TP para corrigir o ataque.

Para obter uma visão geral das classificações de alerta para Microsoft Defender para Office 365 e Microsoft Defender para Aplicativos de Nuvem, consulte o artigo de introdução.

Os resultados do uso deste guia estratégico são:

• Você identifica os alertas associados a emails autoforwarded como atividades mal-intencionadas (TP) ou benignas (FP).

  Se for mal-intencionado, você interromperá o envio automático de email para as caixas de correio afetadas.

• Você tomará a ação necessária se os emails forem encaminhados para um endereço de email mal-intencionado.

Email regras de encaminhamento

Email regras de encaminhamento permitem que os usuários criem uma regra para encaminhar mensagens de email enviadas à caixa de correio de um usuário para a caixa de correio de outro usuário dentro ou fora da organização. Alguns usuários de email, particularmente aqueles com várias caixas de correio, configuram regras de encaminhamento para mover emails do empregador para suas contas de email privadas. Email encaminhamento é um recurso útil, mas também pode representar um risco de segurança devido à possível divulgação de informações. Os invasores podem usar essas informações para atacar sua organização ou seus parceiros.

Atividade suspeita do encaminhamento de email

Os invasores podem configurar regras de email para ocultar emails de entrada na caixa de correio do usuário comprometida para obscurecer suas atividades mal-intencionadas do usuário. Eles também podem definir regras na caixa de correio do usuário comprometida para excluir emails, mover os emails para outra pasta menos perceptível, como uma pasta RSS, ou encaminhar emails para uma conta externa.

Algumas regras podem mover todos os emails para outra pasta e marcá-los como "leitura", enquanto algumas regras podem mover apenas emails que contêm palavras-chave específicas na mensagem de email ou assunto. Por exemplo, a regra da caixa de entrada pode ser definida para procurar palavras-chave como "fatura", "phish", "não responder", "email suspeito" ou "spam", entre outras, e movê-las para uma conta de email externa. Os invasores também podem usar a caixa de correio de usuário comprometida para distribuir spam, emails de phishing ou malware.

Microsoft Defender para Office 365 pode detectar e alertar sobre regras suspeitas de encaminhamento de email, permitindo que você encontre e exclua regras ocultas na origem.

Para obter mais informações, confira estas postagens no blog:

• Compromisso de Email comercial
• Bastidores do compromisso de email comercial: usando dados de ameaças entre domínios para interromper uma grande campanha do BEC

Detalhes do alerta

Para examinar o alerta atividade de encaminhamento de Email suspeito, abra a página Alertas para ver a seção Lista de atividades. Veja um exemplo.

Selecione Atividade para exibir os detalhes dessa atividade na barra lateral. Veja um exemplo.

Fluxo de trabalho de investigação

Ao investigar este alerta, você deve determinar:

• A conta de usuário e sua caixa de correio estão comprometidas?
• As atividades são mal-intencionadas?

A conta de usuário e sua caixa de correio estão comprometidas?

Ao examinar o comportamento passado do remetente e as atividades recentes, você deve ser capaz de determinar se a conta do usuário deve ser considerada comprometida ou não. Você pode ver os detalhes dos alertas gerados da página do usuário no portal Microsoft Defender.

Você também pode analisar essas outras atividades para a caixa de correio afetada:

• Usar Explorer de ameaças para entender ameaças relacionadas a email

  • Observe quantos dos emails recentes enviados pelo remetente são detectados como phish, spam ou malware.
  • Observe quantos dos emails enviados contêm informações confidenciais.

• Avalie o comportamento de entrada arriscado no microsoft portal do Azure.

• Verifique se há atividades mal-intencionadas no dispositivo do usuário.

As atividades são mal-intencionadas?

Investigue a atividade de encaminhamento de email. Por exemplo, marcar o tipo de email, o destinatário deste email ou a maneira como o email é encaminhado.

Para saber mais, confira os seguintes artigos:

• Relatório de mensagens de transferência automática no EAC
• Novos usuários encaminhando insights de email no EAC
• Responder a uma Conta de Email Comprometida
• Relatar falsos positivos e falsos negativos no Outlook

Aqui está o fluxo de trabalho para identificar atividades suspeitas de encaminhamento de email.

Você pode investigar um alerta de encaminhamento de email usando Explorer de ameaças ou com consultas de caça avançadas, com base na disponibilidade de recursos no portal Microsoft Defender. Você pode optar por seguir todo o processo ou uma parte do processo, conforme necessário.

Usando Explorer de ameaças

O Explorer de ameaças fornece uma experiência interativa de investigação para ameaças relacionadas a email para determinar se essa atividade é suspeita ou não. Você pode usar os seguintes indicadores das informações de alerta:

• SRL/RL: use a SRL (Lista de Destinatários Suspeitos) para localizar estes detalhes:

  

  • Quem mais encaminhou emails para esses destinatários?
  • Quantos emails foram encaminhados para esses destinatários?
  • Com que frequência os emails são encaminhados para esses destinatários?

• MTI: use a ID de Rastreamento de Mensagem/ID de Mensagem de Rede para encontrar esses detalhes:

  

  • Quais outros detalhes estão disponíveis para este email? Por exemplo: assunto, caminho de retorno e carimbo de data/hora.
  • Qual é a origem desse email? Há emails semelhantes?
  • Esse email contém URLs? A URL aponta para dados confidenciais?
  • O email contém anexos? Os anexos contêm informações confidenciais?
  • Qual foi a ação tomada no email? Foi excluído, marcado como lido ou movido para outra pasta?
  • Há alguma ameaça associada a este email? Esse email faz parte de alguma campanha?

Com base em respostas a essas perguntas, você deve ser capaz de determinar se um email é mal-intencionado ou benigno.

Consultas de caça avançadas

Para usar consultas avançadas de caça para coletar informações relacionadas a um alerta e determinar se a atividade é suspeita ou não, verifique se você tem acesso às seguintes tabelas:

• EmailEvents – Contém informações relacionadas ao fluxo de email.

• EmailUrlInfo – Contém informações relacionadas a URLs em emails.

• CloudAppEvents -Contém o log de auditoria das atividades do usuário.

• IdentityLogonEvents – Contém informações de entrada para todos os usuários.

Observação

Determinados parâmetros são exclusivos da sua organização ou rede. Preencha esses parâmetros específicos conforme instruído em cada consulta.

Execute essa consulta para descobrir quem mais encaminhou emails para esses destinatários (SRL/RL).

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| distinct SenderDisplayName, SenderFromAddress, SenderObjectId

Execute essa consulta para descobrir quantos emails foram encaminhados para esses destinatários.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress

Execute essa consulta para descobrir com que frequência os emails são encaminhados para esses destinatários.

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress, bin(Timestamp, 1d)

Execute essa consulta para descobrir se o email contém URLs.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailUrlInfo
| where NetworkMessageId == mti

Execute essa consulta para descobrir se o email contém anexos.

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailAttachmentInfo
| where NetworkMessageId == mti

Execute essa consulta para descobrir se o encaminhador (remetente) criou novas regras.

let sender = "{SENDER}"; //Replace {SENDER} with display name of Forwarder
let action_types = pack_array(
    "New-InboxRule",
    "UpdateInboxRules",
    "Set-InboxRule",
    "Set-Mailbox",
    "New-TransportRule",
    "Set-TransportRule");
CloudAppEvents
| where AccountDisplayName == sender
| where ActionType in (action_types)

Execute essa consulta para descobrir se houve eventos de entrada anômalos desse usuário. Por exemplo: IPs desconhecidos, novos aplicativos, países/regiões incomuns, vários eventos logonFailed.

let sender = "{SENDER}"; //Replace {SENDER} with email of the Forwarder
IdentityLogonEvents
| where AccountUpn == sender

Investigando regras de encaminhamento

Você também pode encontrar regras de encaminhamento suspeitas usando o centro de administração do Exchange, com base no tipo de regra (o valor FT no alerta).

• ETR

  As regras de transporte de troca estão listadas na seção Regras . Verifique se todas as regras são conforme o esperado.

• SMTP

  Você pode ver as regras de encaminhamento de caixa de correio selecionando a caixa > de correio do remetente Gerenciar configurações > de fluxo de email Email encaminhar Editar>.

• Inboxrule

  As regras da caixa de entrada são configuradas com o cliente de email. Você pode usar o cmdlet Get-InboxRule PowerShell para listar as regras de caixa de entrada criadas pelos usuários.

Investigação adicional

Junto com as evidências descobertas até agora, você pode determinar se há novas regras de encaminhamento sendo criadas. Investigue o endereço IP associado à regra. Verifique se ele não é um endereço IP anômômal e é consistente com as atividades habituais executadas pelo usuário.

Ações recomendadas

Depois de determinar que as atividades associadas tornam esse alerta um True Positive, classifique o alerta e tome estas ações para correção:

1. Desabilite e exclua a regra de encaminhamento da caixa de entrada.

2. Para o tipo de encaminhamento InboxRule, redefina as credenciais da conta do usuário.

3. Para o tipo de encaminhamento SMTP ou ETR, investigue as atividades da conta de usuário que criou o alerta.

   • Investigue qualquer outra atividade de administrador suspeita.

   • Redefinir as credenciais da conta de usuário.

4. Verifique se há outras atividades originadas de contas afetadas, endereços IP e remetentes suspeitos.

Confira também

• Visão geral da classificação de alerta
• Encaminhamento suspeito da caixa de entrada regras
• Regras de manipulação de caixa de entrada suspeita
• Investigar alertas

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.