Classificação de alerta para regras suspeitas de manipulação de caixa de entrada
Aplica-se a:
- Microsoft Defender XDR
Os atores de ameaça podem usar contas de usuário comprometidas para muitos fins mal-intencionados, incluindo ler emails na caixa de entrada de um usuário, criar regras de caixa de entrada para encaminhar emails para contas externas, excluir rastreamentos e enviar emails de phishing. Regras de caixa de entrada mal-intencionadas são comuns durante as campanhas de compromisso de email comercial (BEC) e phishing e é importante monitorar para elas de forma consistente.
Este guia estratégico ajuda você a investigar qualquer incidente relacionado a regras suspeitas de manipulação de caixa de entrada configuradas pelos invasores e tomar ações recomendadas para corrigir o ataque e proteger sua rede. Essa cartilha é para equipes de segurança, incluindo analistas do SOC (Centro de Operações de Segurança) e administradores de TI que analisam, investigam e classificam os alertas. Você pode classificar rapidamente alertas como um TP (verdadeiro positivo) ou um TP (falso positivo) e tomar ações recomendadas para os alertas de TP para corrigir o ataque.
Os resultados do uso deste guia estratégico são:
Você identifica os alertas associados às regras de manipulação de caixa de entrada como atividades mal-intencionadas (TP) ou benignas (FP).
Se mal-intencionado, você removerá regras de manipulação de caixa de entrada mal-intencionadas.
Você tomará a ação necessária se os emails forem encaminhados para um endereço de email mal-intencionado.
Regras de manipulação de caixa de entrada
As regras da caixa de entrada são definidas para gerenciar automaticamente mensagens de email com base em critérios predefinidos. Por exemplo, você pode criar uma regra de caixa de entrada para mover todas as mensagens do seu gerente para outra pasta ou encaminhar mensagens recebidas para outro endereço de email.
Regras de manipulação de caixa de entrada mal-intencionadas
Os invasores podem configurar regras de email para ocultar emails de entrada na caixa de correio do usuário comprometida para obscurecer suas atividades mal-intencionadas do usuário. Eles também podem definir regras na caixa de correio do usuário comprometida para excluir emails, mover os emails para outra pasta menos perceptível (como RSS) ou encaminhar emails para uma conta externa. Algumas regras podem mover todos os emails para outra pasta e marcá-los como "leitura", enquanto algumas regras podem mover apenas emails que contêm palavras-chave específicas na mensagem de email ou assunto.
Por exemplo, a regra da caixa de entrada pode ser definida para procurar palavras-chave como "fatura", "phish", "não responder", "email suspeito" ou "spam", entre outras, e movê-las para uma conta de email externa. Os invasores também podem usar a caixa de correio de usuário comprometida para distribuir spam, emails de phishing ou malware.
Fluxo de trabalho
Aqui está o fluxo de trabalho para identificar atividades suspeitas de regra de manipulação de caixa de entrada.
Etapas de investigação
Esta seção contém diretrizes detalhadas passo a passo para responder ao incidente e tomar as medidas recomendadas para proteger sua organização contra novos ataques.
1. Examine os alertas
Aqui está um exemplo de um alerta de regra de manipulação de caixa de entrada na fila de alertas.
Aqui está um exemplo dos detalhes de um alerta que foi disparado por uma regra de manipulação de caixa de entrada mal-intencionada.
2. Investigar parâmetros de regra de manipulação de caixa de entrada
Determine se as regras parecem suspeitas de acordo com os seguintes parâmetros ou critérios de regra:
Palavras-chave
O invasor pode aplicar a regra de manipulação apenas a emails que contêm determinadas palavras. Você pode encontrar essas palavras-chave em determinados atributos, como: "BodyContainsWords", "SubjectContainsWords" ou "SubjectOrBodyContainsWords".
Se houver filtragem por palavras-chave, marcar se as palavras-chave parecem suspeitas para você (cenários comuns são filtrar emails relacionados às atividades de invasor, como "phish", "spam" e "não responder", entre outros).
Se não houver nenhum filtro, também pode ser suspeito.
Pasta de destino
Para evitar a detecção de segurança, o invasor pode mover os emails para uma pasta menos perceptível e marcar os emails como leitura (por exemplo, pasta "RSS"). Se o invasor aplicar a ação "MoveToFolder" e "MarkAsRead", marcar se a pasta de destino está de alguma forma relacionada às palavras-chave na regra para decidir se parece suspeita ou não.
Excluir tudo
Alguns invasores simplesmente excluirão todos os emails de entrada para ocultar suas atividades. Principalmente, uma regra de "excluir todos os emails de entrada" sem filtrar com palavras-chave é um indicador de atividade mal-intencionada.
Aqui está um exemplo de uma configuração de regra "excluir todos os emails de entrada" (como visto em RawEventData.Parameters) do log de eventos relevante.
3. Investigue o endereço IP
Examine os atributos do endereço IP que realizou o evento relevante da criação de regra:
- Pesquisa para outras atividades suspeitas de nuvem que se originaram do mesmo IP no locatário. Por exemplo, atividade suspeita pode ser várias tentativas de logon com falha.
- O ISP é comum e razoável para esse usuário?
- O local é comum e razoável para esse usuário?
4. Investigue a atividade suspeita pelo usuário antes de criar as regras
Você pode examinar todas as atividades do usuário antes da criação de regras, marcar para indicadores de comprometimento e investigar ações de usuário que parecem suspeitas.
Por exemplo, para vários logons com falha, examine:
Atividade de logon
Valide se a atividade de logon antes da criação da regra não é suspeita. (local comum / ISP /user-agent).
Alertas
Verifique se o usuário recebeu alertas antes de criar as regras. Isso pode indicar que a conta de usuário pode estar comprometida. Por exemplo, alerta de viagem impossível, país/região pouco frequentes, vários logons com falha, entre outros.)
Incidente
Verifique se o alerta está associado a outros alertas que indicam um incidente. Em seguida, marcar se o incidente contém outros alertas verdadeiros positivos.
Consultas de caça avançadas
A Caça Avançada é uma ferramenta de busca de ameaças baseada em consulta que permite inspecionar eventos em sua rede para localizar indicadores de ameaça.
Use essa consulta para localizar todos os novos eventos de regra de caixa de entrada durante a janela de tempo específica.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule", "UpdateInboxRules") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
A coluna RuleConfig fornecerá a nova configuração de regra de caixa de entrada.
Use essa consulta para marcar se o ISP é comum para o usuário examinando o histórico do usuário.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
Use essa consulta para marcar se o país/região é comum para o usuário examinando o histórico do usuário.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
Use essa consulta para marcar se o agente de usuário é comum para o usuário examinando o histórico do usuário.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
Ações recomendadas
- Desabilite a regra de caixa de entrada mal-intencionada.
- Redefinir as credenciais da conta de usuário. Você também pode verificar se a conta de usuário foi comprometida com Microsoft Defender para Aplicativos de Nuvem, que obtém sinais de segurança de Microsoft Entra ID Protection.
- Pesquisa para outras atividades mal-intencionadas executadas pela conta de usuário afetada.
- Verifique se há outra atividade suspeita no locatário que se originou do mesmo IP ou do mesmo ISP (se o ISP é incomum) para encontrar outras contas de usuário comprometidas.
Confira também
- Visão geral da classificação de alerta
- Atividade suspeita do encaminhamento de email
- Encaminhamento suspeito da caixa de entrada regras
- Investigar alertas
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.