Usar a Auditoria do Microsoft Purview (Premium) para investigar contas comprometidas
Uma conta de usuário comprometida (também chamada de tomada de controle da conta) é um tipo de ataque quando um invasor obtém acesso a uma conta de usuário e opera como o usuário. Esses tipos de ataques, às vezes, causam mais danos do que o invasor planejou. Ao investigar contas de email comprometidas, você deve supor que mais dados de email foram comprometidos do que foi indicado ao rastrear a presença real do invasor. Dependendo do tipo de dados nas mensagens de email, você deve supor que as informações confidenciais foram comprometidas ou pagar multas regulatórias, a menos que seja possível provar que as informações confidenciais não tenham sido expostas. Por exemplo, as organizações regulamentadas pelo HIPAA terão de pagar multas significativas se houver evidências de que informações de saúde do paciente (PHI) tenham sido expostas. Nesses casos, os invasores provavelmente não têm interesse nas PHI, mas as organizações ainda devem relatar violações de dados, a menos que possam provar o contrário.
Para ajudar você a investigar contas de email de comprometimento, agora estamos auditando acessos de dados de email por protocolos de email e clientes com a ação de auditoria de caixa de correio MailItemsAccessed. Essa nova ação auditada ajuda os investigadores a entender melhor as violações de dados de email e ajudar você a identificar o escopo de compromissos com itens de email específicos que podem ter sido comprometidos. O objetivo de usar essa nova ação de auditoria é a defensibilidade forense para ajudar a afirmar que uma parte específica dos dados de email não foi comprometida. Se um invasor tiver acesso a um email específico, Exchange Online auditará o evento, embora não haja nenhuma indicação de que o item de email foi lido.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
A ação de auditoria de caixa de correio MailItemsAccessed
A nova ação MailItemsAccessed faz parte da nova funcionalidade de Auditoria (Premium ). Faz parte da auditoria de caixa de email do Exchange e é habilitada por padrão para os usuários que recebem uma licença do Office 365 ou Microsoft 365 E5 ou para organizações com uma assinatura complementar da Conformidade do Microsoft 365 E5.
A ação de auditoria de caixa de correio MailItemsAccessed abrange todos os protocolos de email: POP, IMAP, MAPI, EWS, Exchange ActiveSync e REST. Ela também aborda os dois tipos de acesso a email: sincronização e vinculação.
Auditoria do acesso de sincronização
As operações de sincronização só são registradas quando uma caixa de correio é acessada por uma versão de área de trabalho do cliente do Outlook para Windows ou Mac. Durante a operação de sincronização, esses clientes geralmente baixam um grande conjunto de itens de email da nuvem para um computador local. O volume de auditoria para operações de sincronização é enorme. Portanto, em vez de gerar um registro de auditoria para cada item de correio sincronizado, geramos um evento de auditoria para a pasta de correio que contém os itens que foram sincronizados e presumimos que todos os itens de correio na pasta sincronizada foram comprometidos. O tipo de acesso é registrado no campo OperationProperties do registro de auditoria.
Confira a etapa 2 na seção Usar os registros de auditoria MailItemsAccessed para investigações de perícia para obter um exemplo de como exibir o tipo de acesso de sincronização em um registro de auditoria.
Auditoria do acesso de vinculação
Uma operação de vinculação é um acesso individual a uma mensagem de email. Para o acesso de vinculação, o InternetMessageId das mensagens individuais será gravado no registro de auditoria. A ação de auditoria MailItemsAccessed registra as operações de vinculação e, em seguida, agrega-as em um único registro de auditoria. Todas as operações de vinculação que ocorrem em um intervalo de 2 minutos são agregadas em um único registro de auditoria no campo Pastas dentro da propriedade AuditData. Cada mensagem acessada é identificada por seu InternetMessageId. O número de operações de ligação que foram agregadas no registro é exibido no campo OperationCount na propriedade AuditData.
Confira a etapa 4 na seção Usar os registros de auditoria MailItemsAccessed para investigações forenses para obter um exemplo de como exibir o tipo de acesso de vinculação em um registro de auditoria.
Limitação de registros de auditoria MailItemsAccessed
Se mais de 1.000 registros de auditoria mailItemsAccessed forem gerados em menos de 24 horas, Exchange Online parar de gerar registros de auditoria para a atividade MailItemsAccessed. Quando uma caixa de correio é limitada, a atividade MailItemsAccessed não será registrada por 24 horas após a limitação da caixa de correio. Se a caixa de correio foi limitada, há um potencial de que a caixa de correio tenha sido comprometida durante esse período. A gravação da atividade MailItemsAccessed será retomada após um período de 24 horas.
Aqui estão alguns pontos para lembrar sobre a limitação:
- Menos de 1% de todas as caixas de correio no Exchange Online são limitadas.
- Quando uma caixa de correio é limitada, apenas os registros de auditoria para a atividade MailItemsAccessed não são auditados. Outras ações de auditoria da caixa de correio não são afetadas.
- As caixas de correio são limitadas apenas para operações de vinculação. Os registros de auditoria para operações de sincronização não são limitados.
- Se uma caixa de correio for limitada, você poderá supor que havia uma atividade MailItemsAccessed que não foi gravada no logs de auditoria.
Confira a etapa 1 na seção Usar registros de auditoria MailItemsAccessed para investigações de perícia para obter um exemplo de como exibir a propriedade IsThrottled em um registro de auditoria.
Use os registros de auditoria MailItemsAccessed para investigações de perícia
A auditoria de caixa de correio gera registros de auditoria para acesso a mensagens de email para que você tenha certeza de que as mensagens de email não foram comprometidas. Por esse motivo, em situações em que não sabemos que alguns dados foram acessados, supomos que foram acessados gravando todas as atividades de acesso ao email.
Geralmente usa-se os registros de auditoria MailItemsAccessed para fins de perícia após uma violação de dados ser resolvida e o invasor ser removido. Para iniciar sua investigação, você deve identificar o conjunto de caixas de correio que foram comprometidas e determinar o período em que o invasor teve acesso às caixas de correio em sua organização. Em seguida, você pode usar os cmdlets Search-UnifiedAuditLog ou Search-MailboxAuditLog no PowerShell do Exchange Online para pesquisar registros de auditoria que correspondem à violação de dados.
Você pode executar um dos seguintes comandos para pesquisar registros de auditoria MailItemsAccessed:
Log de auditoria unificado:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000
Log de auditória de caixa de correio:
Search-MailboxAuditLog -Identity <user> -StartDate 01/06/2020 -EndDate 01/20/2020 -Operations MailItemsAccessed -ResultSize 1000 -ShowDetails
Dica
Uma grande diferença entre esses dois cmdlets é que você pode usar o cmdlet Search-UnifiedAuditLog para pesquisar em registros de auditoria atividades realizadas por um ou mais usuários. Isso ocorre porque UserIds é um parâmetro de vários valores. O cmdlet Search-MailboxAuditLog pesquisa o log de auditoria da caixa de correio para um único usuário.
Estas são as etapas para usar os registros de auditoria MailItemsAccessed para investigar uma invasão a um usuário comprometido. Cada etapa mostra a sintaxe de comando para os cmdlets Search-UnifiedAuditLog ou Search-MailboxAuditLog.
Verifique se a caixa de correio foi limitada. Se assim for, isso significaria que alguns registros de auditoria de caixa de correio não teriam sido registrados. No caso de qualquer registro de auditoria ter o "IsThrottled" for "True", você deve assumir que por um período de 24 horas depois esse registro foi gerado, que qualquer acesso à caixa de correio não foi auditado e que todos os dados de email foram comprometidos.
Para procurar registros MailItemsAccessed em que a caixa de correio foi limitada, execute o seguinte comando:
Log de auditoria unificado:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FLLog de auditória de caixa de correio:
Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*IsThrottled:True*"} | FLVerifique se há atividades de sincronização. Se um invasor usa um cliente de email para baixar mensagens em uma caixa de correio, ele pode desconectar o computador da Internet e acessar as mensagens localmente sem interagir com o servidor. Nesse caso, a auditoria de caixa de correio não seria capaz de auditar essas atividades.
Para procurar registros MailItemsAccessed em que os itens de email foram acessados por uma operação de sincronização, execute o seguinte comando:
Log de auditoria unificado:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FLLog de auditória de caixa de correio:
Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*MailAccessType:Sync*"} | FLVerifique as atividades de sincronização para determinar se alguma delas ocorreu no mesmo contexto que aquele usado pelo invasor para acessar a caixa de correio. O contexto é identificado e diferenciado pelo endereço IP do computador cliente usado para acessar a caixa de correio e o protocolo de email. Para obter mais informações, confira a seção Identificar os contextos de acesso de diferentes registros de auditoria.
Use as propriedades listadas abaixo para investigar. Essas propriedades estão localizadas na propriedade AuditData ou OperationProperties. Se qualquer uma das sincronizações ocorrer no mesmo contexto da atividade do invasor, suponha que o invasor sincronizou todos os itens de email com seu cliente, o que significa que a caixa de correio inteira provavelmente foi comprometida.
| Propriedade | Descrição |
|---|---|
| ClientInfoString | Descreve protocolo, cliente (inclui versão) |
| ClientIPAddress | Endereço IP do computador cliente. |
| SessionId | A ID da sessão ajuda a diferenciar as ações do invasor versus as atividades diárias do usuário na mesma conta (útil para contas comprometidas) |
| UserId | UPN do usuário que está lendo a mensagem. |
Verifique as atividades de vinculação. Depois de realizar as etapas 2 e 3, você pode ter certeza de que todo o acesso a mensagens de email por meio do invasor será capturado nos registros de auditoria MailItemsAccessed que têm uma propriedade MailAccessType com um valor de “Vinculação”.
Para procurar registros MailItemsAccessed em que os itens de email foram acessados por uma operação de vinculação, execute o seguinte comando.
Log de auditoria unificado:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FLLog de auditória de caixa de correio:
Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*MailAccessType:Bind*"} | FLAs mensagens de email que foram acessadas são identificadas pelos seus ID de mensagem de internet. Você também pode verificar se algum registro de auditoria tem o mesmo contexto que os de outras atividades do invasor. Para obter mais informações, confira a seção Identificar os contextos de acesso de diferentes registros de auditoria.
Você pode usar os dados de auditoria para operações de vinculação de duas maneiras diferentes:
- Acesse ou colete todas as mensagens de e-mail acessadas pelo invasor usando o InternetMessageId para localizá-las e verifique se alguma dessas mensagens contém informações confidenciais.
- Use o InternetMessageId para pesquisar registros de auditoria relacionados a um conjunto de mensagens de e-mail potencialmente sensíveis. Isso será útil se você estiver preocupado apenas com algumas mensagens.
Filtragem de registros de auditoria duplicados
Os registros de auditoria duplicados para as mesma operações de vinculação que ocorrem dentro de uma hora entre si são filtrados para remover o ruído de auditoria. As operações de sincronização também são filtradas em intervalos de uma hora. A exceção para esse processo de deduplicação ocorre se, para o mesmo InternetMessageId, uma das propriedades descritas na tabela a seguir for diferente. Se uma dessas propriedades for diferente em uma operação duplicada, um novo registro de auditoria será gerado. Esse processo é descrito em mais detalhes na próxima seção.
| Propriedade | Descrição |
|---|---|
| ClientIPAddress | O endereço IP do computador cliente. |
| ClientInfoString | O protocolo cliente, o cliente usado para acessar a caixa de correio. |
| ParentFolder | O caminho completo da pasta do item de email que foi acessado. |
| Logon_type | O tipo de logon do usuário que realizou a ação. Os tipos de logon (e seu valor de enumeração correspondente) são Proprietário (0), Administrador (1), ou Delegado (2). |
| MailAccessType | Se o acesso é uma operação de vinculação ou de sincronização. |
| MailboxUPN | O UPN da caixa de correio na qual a mensagem que está sendo lida está localizada. |
| Usuário | O UPN do usuário lendo a mensagem. |
| SessionId | O Session ID ajuda a diferenciar as ações do invasor e as atividades diárias do usuário na mesma caixa de correio (no caso de uma conta comprometida). Para saber mais sobre sessões, confira Contextualizar a atividade do invasor dentro de sessões do Exchange Online. |
Identificar os contextos de acesso de registros de auditoria diferentes
É comum que um invasor possa acessar uma caixa de correio ao mesmo tempo que o proprietário da caixa de correio está acessando. Para diferenciar o acesso do invasor do acesso do proprietário da caixa de correio, há propriedades de registro de auditoria que definem o contexto do acesso. Como explicado anteriormente, quando os valores dessas propriedades forem diferentes, mesmo quando a atividade ocorrer dentro do intervalo de agregação, os registros de auditoria separados serão gerados. No exemplo a seguir, há três registros de auditoria diferentes. Cada um é diferenciado pelas propriedades Session ID e ClientIPAddress. As mensagens que foram acessadas também são identificadas.
| Registro de auditoria 1 | Registro de auditoria 2 | Registro de auditoria 3 |
|---|---|---|
| ClientIPAddress1 SessionId2 |
ClientIPAddress2 SessionId2 |
ClientIPAddress1 SessionId3 |
| InternetMessageIdA InternetMessageIdD InternetMessageIdE InternetMessageIdF |
InternetMessageIdA InternetMessageIdC |
InternetMessageIdB |
Se alguma das propriedades listadas na tabela na seção anterior forem diferentes, um registro de auditoria separado será gerado para controlar o novo contexto. Os acessos serão classificados nos registros de auditoria separados, dependendo do contexto em que a atividade ocorreu.
Por exemplo, nos registros de auditoria mostrados na captura de tela a seguir, embora estejamos acessando emails de EWSEditor e OWA simultaneamente, a atividade de acesso é agrupada em diferentes registros de auditoria, dependendo do contexto em que o acesso ocorreu. Neste caso, o contexto é definido pelo valores diferentes para a propriedade ClientInfoString.
Aqui está a sintaxe do comando mostrado na captura de tela anterior:
Search-MailboxAuditLog -Identity admin -ShowDetails -Operations MailItemsAccessed -ResultSize 2000 | Select LastAccessed,Operation,AuditOperationsCountInAggregatedRecord,ClientInfoString
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de