Использование MailItemsAccessed для исследования скомпрометированных учетных записей

Статья
06/13/2024

Компрометация учетной записи пользователя (или перехват учетной записи) — это тип атаки, при котором злоумышленник получает доступ к учетной записи пользователя и действует как пользователь. Такие типы атак иногда наносят больший ущерб, чем входило в намерения злоумышленника. При исследовании скомпрометированных учетных записей электронной почты следует предполагать, что скомпрометировано больше данных электронной почты, чем показывает отслеживание фактического присутствия злоумышленника. В зависимости от типа данных в сообщениях электронной почты следует предполагать, что конфиденциальная информация скомпрометирована, или заплатить предписанный штраф, если вы не можете доказать, что конфиденциальные данные не были предоставлены. Например, организации, регулируемые HIPAA, сталкиваются со значительными штрафами, если есть доказательства того, что информация о здоровье пациентов (PHI) была раскрыта. В таких случаях, злоумышленников, скорее всего, не интересуют PHI, тем не менее организации должны сообщать о нарушении безопасности данных, если не могут доказать обратное.

Чтобы помочь вам в исследовании скомпрометированных учетных записей электронной почты, проводится аудит доступа к данным почты со стороны почтовых протоколов и клиентов с использованием действия аудита почтового ящика MailItemsAccessed. Это новое проверенное действие помогает следователям лучше понять утечки данных электронной почты и определить область компрометации определенных почтовых элементов, которые могут быть скомпрометированы. Целью использования этого нового действия аудита является защита от судебной экспертизы, которая помогает утверждать, что определенный фрагмент данных почты не был скомпрометирован. Если злоумышленник получил доступ к определенному фрагменту почты, Exchange Online выполняет аудит события, даже если нет никаких признаков того, что почтовый элемент был прочитан.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Действие аудита почтового ящика MailItemsAccessed

Действие MailItemsAccessed является частью функции аудита (стандартный). Он является частью аудита почтовых ящиков Exchange и включен по умолчанию для пользователей, которым назначена лицензия Office 365 E3/E5 или Microsoft 365 E3/E5.

Действие аудита почтового ящика MailItemsAccessed применимо ко всем почтовым протоколам: POP, IMAP, MAPI, EWS, Exchange ActiveSync и REST. Его используют при обоих типах доступа к почте: для синхронизации и для привязки.

Аудит доступа для синхронизации

Операции синхронизации записываются только в том случае, если доступ к почтовому ящику осуществляется с помощью классической версии клиента Outlook для Windows или Mac. В процессе синхронизации такие клиенты обычно загружают большой набор элементов почты из облака на локальный компьютер. Объем аудита для операций синхронизации значительный. Поэтому вместо создания записи аудита для каждого синхронизированного элемента почты создается событие аудита для папки почты, содержащей синхронизированные элементы, и предполагается, что все элементы почты в синхронизированной папке скомпрометированы. Тип доступа записывается в поле OperationProperties записи аудита.

Пример доступа для синхронизации, указанного в записи аудита, см. в шаге 2 в разделе Использование записей аудита о MailItemsAccessed для экспертных исследований.

Аудит доступа для привязки

Операция привязки обеспечивает индивидуальный доступ к сообщению электронной почты. Для доступа к привязке InternetMessageId отдельных сообщений записывается в запись аудита. Действие аудита MailItemsAccessed записывает операции привязки, а затем объединяет их в одну запись аудита. Все операции привязки, которые выполняются в течение 2 минут, собираются в одну запись аудита в поле "Папки" в свойстве AuditData. Каждое сообщение, к которому был получен доступ, идентифицируется его InternetMessageId. Количество операций связывания, которые были агрегированы в записи, отображается в поле OperationCount свойства AuditData.

Пример доступа для привязки, указанного в записи аудита, см. в шаге 4 в разделе Использование записей аудита о MailItemsAccessed для экспертных исследований.

Регулирование записей аудита о MailItemsAccessed

Если менее чем за 24 часа создается более 1000 записей аудита MailItemsAccessed, Exchange Online прекращает создание записей аудита для действия MailItemsAccessed. При регулировании почтового ящика действие MailItemsAccessed не регистрируется в течение 24 часов после регулирования почтового ящика. Если почтовый ящик регулируется, существует вероятность компрометации почтового ящика в течение этого периода. Запись действия MailItemsAccessed будет возобновлена через 24 часа.

Некоторые важные замечания о регулировании

Регулируется менее 1% всех почтовых ящиков в Exchange Online
При регулировании почтового ящика аудит не выполняется только для записей аудита о действии MailItemsAccessed. Другие действия аудита почтового ящика не затрагиваются.
Регулирование почтовых ящиков осуществляется только в отношении операций привязки. К записям аудита для операций синхронизации регулирование не применяется.
Если почтовый ящик отрегулирован, можно предположить наличие действия MailItemsAccessed, которое не было внесено в журналы аудита.

Пример свойства IsThrottled, указанного в записи аудита, см. в шаге 1 в разделе Использование записей аудита о MailItemsAccessed для экспертных исследований.

Использование записей аудита о MailItemsAccessed для экспертных исследований

В процессе аудита почтовых ящиков создаются записи аудита для доступа к сообщениям электронной почты, чтобы можно было убедиться, что эти сообщения не скомпрометированы. В то же время, если мы не уверены в том, что к некоторым данным осуществлялся доступ, предполагается, что он осуществлялся, и записываются все действия доступа к почте.

Записи аудита о MailItemsAccessed обычно используются в целях судебной экспертизы после устранения нарушения безопасности данных и исключения злоумышленника. Чтобы начать расследование, следует определить набор скомпрометированных почтовых ящиков и определить сроки доступа злоумышленника к почтовым ящикам в вашей организации. Затем можно использовать командлет Search-UnifiedAuditLog или Search-MailboxAuditLog в Exchange Online PowerShell для поиска записей аудита, связанных с нарушением безопасности данных.

Для поиска записей аудита о MailItemsAccessed можно выполнить одну из следующих команд:

Единый журнал аудита:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000

Журнал аудита почтового ящика:

Search-MailboxAuditLog -Identity <user> -StartDate 01/06/2020 -EndDate 01/20/2020 -Operations MailItemsAccessed -ResultSize 1000 -ShowDetails

Совет

Основное различие между этими двумя командлетами в заключается в том, что командлет Search-UnifiedAuditLog можно использовать для поиска записей аудита о действиях, выполняемых одним или несколькими пользователями. Это связано с тем, что UserIds — многозначный параметр. Командлет Search-MailboxAuditLog выполняет поиск в журнале аудита почтового ящика для одного пользователя.

Ниже описаны шаги по использованию записей аудита о MailItemsAccessed для исследования компрометирующей пользователя атаки. Каждый шаг содержит синтаксис команды для командлета Search-UnifiedAuditLog или Search-MailboxAuditLog.

Проверьте, был ли отрегулирован почтовый ящик. Если это так, это означает, что некоторые записи аудита почтовых ящиков не были зарегистрированы. В случае, если в записях аудита имеется значение "IsThrottled" имеет значение True, следует предположить, что в течение 24-часового периода после создания этой записи любой доступ к почтовому ящику не подвергался аудиту и что все почтовые данные были скомпрометированы.

Чтобы найти записи о MailItemsAccessed, относящиеся к регулировке почтового ящика, выполните следующую команду:

Единый журнал аудита:
```
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL
```
Журнал аудита почтового ящика:
```
Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*IsThrottled:True*"} | FL
```
Проверьте наличие действий синхронизации. Если злоумышленник использует клиент электронной почты для скачивания сообщений в почтовом ящике, можно отключить компьютер от Интернета и осуществлять доступ к сообщениям локально, не взаимодействуя с сервером. В этом случае аудит почтовых ящиков не сможет выполнять аудит этих действий.

Чтобы найти записи о MailItemsAccessed, связанные с доступом к элементам почты с помощью операции синхронизации, выполните следующую команду:

Единый журнал аудита:
```
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FL
```
Журнал аудита почтового ящика:
```
Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*MailAccessType:Sync*"} | FL
```
Проверьте действия синхронизации, чтобы определить, не возникли ли они в том же контексте, что и действие, использованное злоумышленником для доступа к почтовому ящику. Контекст определяется и отличается от других IP-адресом клиентского компьютера, используемого для доступа к почтовому ящику, и почтовым протоколом. Дополнительные сведения см. в разделе Определение контекста доступа для различных записей аудита.

Для исследования используйте свойства, перечисленные ниже. Эти свойства находятся в AuditData или OperationProperties. Если операция синхронизации возникает в том же контексте, что и действие злоумышленника, можно предположить, что злоумышленник синхронизировал все элементы почты со своим клиентом. Это означает, что, скорее всего, скомпрометирован весь почтовый ящик.

Свойство	Описание
ClientInfoString	Описание протокола, клиента (включая версию)
ClientIPAddress	IP-адрес клиентского компьютера.
SessionId	ИД сеанса помогает различать действия злоумышленника и повседневные действия пользователя с одной и той же учетной записью (удобно для скомпрометированных учетных записей)
UserId	Имя участника-пользователя, читающего сообщение.

Проверьте наличие действий привязки. После выполнения шагов 2 и 3 вы можете быть уверены в том, что все остальные попытки злоумышленника осуществить доступ к сообщениям электронной почты будут регистрироваться в записях аудита о MailItemsAccessed, в которых свойство MailAccessType имеет значение "Bind".

Чтобы найти записи о MailItemsAccessed, связанные с доступом к элементам почты с помощью операции привязки, выполните следующую команду:

Единый журнал аудита:
```
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FL
```
Журнал аудита почтового ящика:
```
Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*MailAccessType:Bind*"} | FL
```
Сообщения электронной почты, к которым был предоставлен доступ, идентифицируются по идентификатору сообщения в Интернете. Вы также можете проверить, имеют ли какие-либо записи аудита тот же контекст, что и записи для других действий злоумышленников. Дополнительные сведения см. в разделе Определение контекста доступа для различных записей аудита.

Данные аудита для операций привязки можно использовать двумя различными способами:
- Получите доступ или соберите все сообщения электронной почты, к которым злоумышленник получил доступ, используя InternetMessageId, чтобы найти их, а затем проверив, содержит ли какое-либо из этих сообщений конфиденциальную информацию.
- Используйте InternetMessageId для поиска записей аудита, связанных с набором потенциально конфиденциальных сообщений электронной почты. Это удобно, если вас беспокоит лишь несколько сообщений.

Фильтрация повторяющихся записей аудита

Повторяющиеся записи аудита для одних и тех же операций привязки, выполняющихся в течение часа, отфильтровываются, чтобы избежать "шума" в аудите. Операции синхронизации также отфильтровываются с интервалом в один час. Исключение из этого процесса дедупликации возникает, если для того же InternetMessageId какие-либо свойства, описанные в следующей таблице, отличаются. Если при операции дублирования какое-либо из этих свойств отличается, создается новая запись аудита. Этот процесс описан подробнее в следующем разделе.

Свойство	Описание
ClientIPAddress	IP-адрес клиентского компьютера.
ClientInfoString	Протокол клиента, клиент, используемый для доступа к почтовому ящику.
ParentFolder	Полный путь к папке элемента почты, к которому осуществлялся доступ.
Logon_type	Тип входа пользователя, выполнившего действие. Типы входа (и соответствующие им значения перечисления): владелец (0), администратор (1) или представитель (2).
MailAccessType	Доступ с помощью операции привязки или синхронизации.
MailboxUPN	Имя участника-пользователя почтового ящика, в котором находится читаемое сообщение.
User	Имя участника-пользователя, читающего сообщение.
SessionId	ИД сеанса помогает различать действия злоумышленника и повседневные действия пользователя в одном и том же почтовом ящике (если учетная запись скомпрометирована). Дополнительные сведения о сеансах см. в статье Контекст действий злоумышленника в сеансах в Exchange Online.

Определение контекста доступа для различных записей аудита

Как правило, злоумышленник осуществляет доступ к почтовому ящику одновременно с его владельцем. Отличить доступ злоумышленника от доступа владельца почтового ящика можно с помощью свойств записи аудита, определяющих контекст доступа. Как рассматривалось выше, если значения этих свойств отличаются, создаются отдельные записи аудита, даже если действие выполняется в интервале агрегирования. Приведенный ниже пример содержит три разные записи аудита. Каждая из них имеет свои свойства SessionId и ClientIPAddress. Также определены сообщения, к которым осуществлялся доступ.

Запись аудита 1	Запись аудита 2	Запись аудита 3
ClientIPAddress1 SessionId2	ClientIPAddress2 SessionId2	ClientIPAddress1 SessionId3
InternetMessageIdA InternetMessageIdD InternetMessageIdE InternetMessageIdF	InternetMessageIdA InternetMessageIdC	InternetMessageIdB

Если какое-либо из свойств, приведенных в таблице в предыдущем разделе, отличается, для отслеживания нового контекста создается отдельная запись аудита. В зависимости от контекста, в котором выполняется действие, доступ будет отсортирован по разным записям аудита.

Например, в записях аудита, показанных на следующем снимке экрана, несмотря на одновременный доступ к почте из EWSEditor и OWA, действия доступа сопоставляются в разных записях аудита в зависимости от контекста, в котором осуществляется доступ. В этом случае контекст определяется разными значениями свойства ClientInfoString.

Различные записи аудита в зависимости от контекста.

Ниже приведен синтаксис команды, показанной на предыдущем снимке экрана:

Search-MailboxAuditLog -Identity admin -ShowDetails -Operations MailItemsAccessed -ResultSize 2000 | Select LastAccessed,Operation,AuditOperationsCountInAggregatedRecord,ClientInfoString

Поделиться через