Classificação de alertas para regras suspeitas de manipulação de caixas de entrada
Aplica-se a:
- Microsoft Defender XDR
Os atores de ameaças podem utilizar contas de utilizador comprometidas para muitos fins maliciosos, incluindo ler e-mails na caixa de entrada de um utilizador, criar regras de caixa de entrada para reencaminhar e-mails para contas externas, eliminar rastreios e enviar e-mails de phishing. As regras de caixa de entrada maliciosas são comuns durante campanhas de comprometimento de e-mail empresarial (BEC) e phishing e é importante monitorizá-las de forma consistente.
Este manual de procedimentos ajuda-o a investigar qualquer incidente relacionado com regras suspeitas de manipulação de caixas de entrada configuradas pelos atacantes e a tomar medidas recomendadas para remediar o ataque e proteger a sua rede. Este manual de procedimentos destina-se a equipas de segurança, incluindo analistas do centro de operações de segurança (SOC) e administradores de TI que analisam, investigam e classificam os alertas. Pode classificar rapidamente os alertas como um verdadeiro positivo (TP) ou um falso positivo (TP) e tomar medidas recomendadas para os alertas de TP remediarem o ataque.
Os resultados da utilização deste manual de procedimentos são:
Identifica os alertas associados às regras de manipulação da caixa de entrada como atividades maliciosas (TP) ou benignas (FP).
Se for malicioso, remove regras de manipulação de caixa de entrada maliciosas.
Tomará as medidas necessárias se os e-mails forem reencaminhados para um endereço de e-mail malicioso.
Regras de manipulação da caixa de entrada
As regras da caixa de entrada são definidas para gerir automaticamente mensagens de e-mail com base em critérios predefinidos. Por exemplo, pode criar uma regra de caixa de entrada para mover todas as mensagens do seu gestor para outra pasta ou reencaminhar mensagens que recebe para outro endereço de e-mail.
Regras de manipulação de caixas de entrada maliciosas
Os atacantes podem configurar regras de e-mail para ocultar e-mails recebidos na caixa de correio de utilizador comprometida para ocultar as atividades maliciosas do utilizador. Também podem definir regras na caixa de correio de utilizador comprometida para eliminar e-mails, mover os e-mails para outra pasta menos percetível (como RSS) ou reencaminhar e-mails para uma conta externa. Algumas regras podem mover todos os e-mails para outra pasta e marcá-los como "lidos", enquanto algumas regras podem mover apenas e-mails que contenham palavras-chave específicas na mensagem de e-mail ou assunto.
Por exemplo, a regra da caixa de entrada pode estar definida para procurar palavras-chave como "fatura", "phish", "não responder", "e-mail suspeito" ou "spam", entre outras, e movê-las para uma conta de e-mail externa. Os atacantes também podem utilizar a caixa de correio de utilizador comprometida para distribuir spam, e-mails de phishing ou software maligno.
Fluxo de trabalho
Eis o fluxo de trabalho para identificar atividades suspeitas de regras de manipulação de caixa de entrada.
Passos de investigação
Esta secção contém orientações passo a passo detalhadas para responder ao incidente e tomar as medidas recomendadas para proteger a sua organização de ataques adicionais.
1. Reveja os alertas
Eis um exemplo de um alerta de regra de manipulação de caixa de entrada na fila de alertas.
Eis um exemplo dos detalhes de um alerta que foi acionado por uma regra de manipulação de caixa de entrada maliciosa.
2. Investigar parâmetros de regras de manipulação de caixa de entrada
Determine se as regras parecem suspeitas de acordo com os seguintes parâmetros ou critérios de regra:
Palavras-chave
O atacante pode aplicar a regra de manipulação apenas a e-mails que contenham determinadas palavras. Pode encontrar estas palavras-chave em determinados atributos, tais como: "BodyContainsWords", "SubjectContainsWords" ou "SubjectOrBodyContainsWords".
Se houver filtragem por palavras-chave, verifique se as palavras-chave parecem suspeitas para si (os cenários comuns são filtrar e-mails relacionados com as atividades do atacante, como "phish", "spam" e "não responder", entre outros).
Se não existir nenhum filtro, também poderá ser suspeito.
Pasta de destino
Para evitar a deteção de segurança, o atacante pode mover os e-mails para uma pasta menos percetível e marcar os e-mails como lidos (por exemplo, pasta "RSS"). Se o atacante aplicar a ação "MoveToFolder" e "MarkAsRead", verifique se a pasta de destino está de alguma forma relacionada com as palavras-chave na regra para decidir se parece suspeita ou não.
Eliminar tudo
Alguns atacantes irão simplesmente eliminar todos os e-mails recebidos para ocultar a respetiva atividade. Principalmente, uma regra de "eliminar todos os e-mails recebidos" sem os filtrar com palavras-chave é um indicador de atividade maliciosa.
Eis um exemplo de uma configuração de regra "eliminar todos os e-mails recebidos" (conforme visto em RawEventData.Parameters) do registo de eventos relevante.
3. Investigar o endereço IP
Reveja os atributos do endereço IP que efetuou o evento relevante de criação de regras:
- Pesquisa para outras atividades suspeitas na cloud que tiveram origem no mesmo IP no inquilino. Por exemplo, a atividade suspeita pode ser múltiplas tentativas de início de sessão falhadas.
- O ISP é comum e razoável para este utilizador?
- A localização é comum e razoável para este utilizador?
4. Investigar atividades suspeitas por parte do utilizador antes de criar as regras
Pode rever todas as atividades de utilizador antes de as regras serem criadas, verificar se existem indicadores de comprometimento e investigar as ações do utilizador que parecem suspeitas.
Por exemplo, para vários inícios de sessão falhados, examine:
Atividade de início de sessão
Confirme que a atividade de início de sessão antes da criação da regra não é suspeita. (localização comum/ISP/user-agent).
Alertas
Verifique se o utilizador recebeu alertas antes de criar as regras. Isto pode indicar que a conta de utilizador pode estar comprometida. Por exemplo, alerta de viagem impossível, país/região pouco frequente, vários inícios de sessão falhados, entre outros.)
Incidente
Verifique se o alerta está associado a outros alertas que indicam um incidente. Em caso afirmativo, verifique se o incidente contém outros alertas positivos verdadeiros.
Consultas de investigação avançadas
A Investigação Avançada é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite inspecionar eventos na sua rede para localizar indicadores de ameaças.
Utilize esta consulta para localizar todos os novos eventos de regras de caixa de entrada durante um período de tempo específico.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule", "UpdateInboxRules") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
A coluna RuleConfig irá fornecer a nova configuração da regra de caixa de entrada.
Utilize esta consulta para verificar se o ISP é comum para o utilizador ao observar o histórico do utilizador.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
Utilize esta consulta para verificar se o país/região é comum para o utilizador ao observar o histórico do utilizador.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
Utilize esta consulta para verificar se o agente de utilizador é comum para o utilizador ao observar o histórico do utilizador.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
Ações recomendadas
- Desative a regra de caixa de entrada maliciosa.
- Reponha as credenciais da conta de utilizador. Também pode verificar se a conta de utilizador foi comprometida com Microsoft Defender for Cloud Apps, que obtém sinais de segurança de Microsoft Entra ID Protection.
- Pesquisa para outras atividades maliciosas executadas pela conta de utilizador afetada.
- Verifique se existe outra atividade suspeita no inquilino que tenha origem no mesmo IP ou no mesmo ISP (se o ISP for incomum) para encontrar outras contas de utilizador comprometidas.
Consulte também
- Descrição geral da classificação de alertas
- Atividade suspeita de reencaminhamento de e-mail
- Regras de reencaminhamento de caixa de entrada suspeitas
- Investigar alertas
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.