Classificação de alertas para regras de reencaminhamento de caixas de entrada suspeitas
Aplica-se a:
- Microsoft Defender XDR
Os atores de ameaças podem utilizar contas de utilizador comprometidas para vários fins maliciosos, incluindo ler e-mails na caixa de entrada de um utilizador, criar regras de caixa de entrada para reencaminhar e-mails para contas externas, enviar e-mails de phishing, entre outros. As regras de caixa de entrada maliciosas são amplamente comuns durante campanhas de comprometimento de e-mail empresarial (BEC) e phishing e é importante monitorizá-las de forma consistente.
Este manual de procedimentos ajuda-o a investigar alertas relativos a regras suspeitas de reencaminhamento de caixas de entrada e classifica-os rapidamente como um verdadeiro positivo (TP) ou um falso positivo (FP). Em seguida, pode efetuar ações recomendadas para os alertas de TP para remediar o ataque.
Para obter uma descrição geral da classificação de alertas do Microsoft Defender para Office 365 e do Microsoft Defender para Cloud Apps, consulte o artigo de introdução.
Os resultados da utilização deste manual de procedimentos são:
Identificou os alertas associados às regras de reencaminhamento de caixas de entrada como atividades maliciosas (TP) ou benignas (FP).
Se for malicioso, removeu regras de reencaminhamento de caixas de entrada maliciosas.
Tomou a ação necessária se os e-mails tiverem sido reencaminhados para um endereço de e-mail malicioso.
Regras de reencaminhamento de caixa de entrada
Pode configurar regras de caixa de entrada para gerir automaticamente mensagens de e-mail com base em critérios predefinidos. Por exemplo, pode criar uma regra de caixa de entrada para mover todas as mensagens do seu gestor para outra pasta ou reencaminhar mensagens que recebe para outro endereço de e-mail.
Regras de reencaminhamento de caixa de entrada suspeitas
Depois de obter acesso às caixas de correio dos utilizadores, os atacantes criam frequentemente uma regra de caixa de entrada que lhes permite filtrar dados confidenciais para um endereço de e-mail externo e utilizá-los para fins maliciosos.
As regras de caixa de entrada maliciosas automatizam o processo de transferência de exfiltração. Com regras específicas, todos os e-mails na caixa de entrada do utilizador de destino que correspondam aos critérios da regra serão reencaminhados para a caixa de correio do atacante. Por exemplo, um atacante poderá querer recolher dados confidenciais relacionados com finanças. Criam uma regra de caixa de entrada para reencaminhar todos os e-mails que contêm palavras-chave, como "finanças" e "fatura" no assunto ou corpo da mensagem, para a respetiva caixa de correio.
As regras de reencaminhamento de caixas de entrada suspeitas podem ser difíceis de detetar porque a manutenção das regras da caixa de entrada é tarefa comum feita pelos utilizadores. Por conseguinte, é importante monitorizar os alertas.
Fluxo de trabalho
Eis o fluxo de trabalho para identificar regras de reencaminhamento de e-mail suspeitas.
Passos de investigação
Esta secção contém orientações passo a passo detalhadas para responder ao incidente e tomar as medidas recomendadas para proteger a sua organização de ataques adicionais.
Rever alertas gerados
Eis um exemplo de um alerta de regra de reencaminhamento de caixa de entrada na fila de alertas.
Eis um exemplo dos detalhes do alerta que foi acionado por uma regra de reencaminhamento de caixa de entrada maliciosa.
Investigar parâmetros de regras
O objetivo desta fase é determinar se as regras parecem suspeitas por determinados critérios:
Destinatários da regra de reencaminhamento:
- Validar o endereço de e-mail de destino não é uma caixa de correio adicional que pertence ao mesmo utilizador (evitando casos em que o utilizador reencaminha e-mails entre caixas de correio pessoais).
- Valide se o endereço de e-mail de destino não é um endereço interno ou subdomínio que pertence à empresa.
Filtros:
- Se a regra da caixa de entrada contiver filtros, que procuram palavras-chave específicas no assunto ou corpo do e-mail, verifique se as palavras-chave fornecidas, como finanças, credenciais e redes, entre outras, parecem estar relacionadas com atividades maliciosas. Pode encontrar estes filtros nos seguintes atributos (que aparecem na coluna do evento RawEventData): "BodyContainsWords", "SubjectContainsWords" ou "SubjectOrBodyContainsWords"
- Se o atacante optar por não definir nenhum filtro para os e-mails e, em vez disso, a regra da caixa de entrada reencaminhar todos os itens da caixa de correio para a caixa de correio do atacante, este comportamento também é suspeito.
Investigar o endereço IP
Reveja os atributos relacionados com o endereço IP que efetuou o evento relevante de criação de regras:
- Procure outras atividades suspeitas na cloud que tenham origem no mesmo IP no inquilino. Por exemplo, a atividade suspeita pode ser múltiplas tentativas de início de sessão falhadas.
- O ISP é comum e razoável para este utilizador?
- A localização é comum e razoável para este utilizador?
Investigar qualquer atividade suspeita com a caixa de entrada do utilizador antes de criar regras
Pode rever todas as atividades do utilizador antes de criar regras, verificar se existem indicadores de comprometimento e investigar as ações do utilizador que parecem suspeitas. Por exemplo, vários inícios de sessão falhados.
Inícios de sessão:
Confirme que a atividade de início de sessão antes do evento de criação da regra não é suspeita (como a localização comum, o ISP ou o agente de utilizador).
Outros alertas ou incidentes
- Foram acionados outros alertas para o utilizador antes da criação da regra. Se for o caso, isto poderá indicar que o utilizador ficou comprometido.
- Se o alerta estiver correlacionado com outros alertas para indicar um incidente, o incidente contém outros alertas positivos verdadeiros?
Consultas de investigação avançadas
A Investigação Avançada é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite inspecionar eventos na sua rede e localizar indicadores de ameaças.
Execute esta consulta para localizar todos os novos eventos de regras de caixa de entrada durante um período de tempo específico.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
RuleConfig irá conter a configuração da regra.
Execute esta consulta para verificar se o ISP é comum para o utilizador ao observar o histórico do utilizador.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
Execute esta consulta para verificar se o país/região é comum para o utilizador ao observar o histórico do utilizador.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
Execute esta consulta para verificar se o user-agent é comum para o utilizador ao observar o histórico do utilizador.
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
Execute esta consulta para verificar se outros utilizadores criaram uma regra de reencaminhamento para o mesmo destino (pode indicar que outros utilizadores também estão comprometidos).
let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
Ações recomendadas
- Desative a regra de caixa de entrada maliciosa.
- Reponha as credenciais da conta do utilizador. Também pode verificar se a conta de utilizador foi comprometida com o Microsoft Defender para Cloud Apps, que obtém sinais de segurança da Proteção do Microsoft Entra ID.
- Procure outras atividades maliciosas realizadas pelo utilizador afetado.
- Verifique se existem outras atividades suspeitas no inquilino provenientes do mesmo IP ou do mesmo ISP (se o ISP for incomum) para encontrar outros utilizadores comprometidos.
Consulte também
- Descrição geral da classificação de alertas
- Atividade suspeita de reencaminhamento de e-mail
- Regras de manipulação de caixa de entrada suspeitas
- Investigar alertas
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.