Поделиться через

Расследование фишинга

  • Статья

В настоящей статье приводится руководство по выявлению и расследованию фишинговых атак в вашей организации. Пошаговые инструкции помогут вам предпринять необходимые действия по исправлению для защиты информации и минимизации дополнительных рисков.

Эта статья состоит из следующих разделов:

  • Предварительные требования: охватывает перечень конкретных требований, которые необходимо выполнить перед началом расследования. Например, необходимо включить ведение журнала, среди прочего, требуются роли и разрешения.
  • Рабочий процесс: отображает логический процесс, которому необходимо следовать, чтобы провести расследование.
  • Контрольный список: содержит список задач для каждого из этапов блок-схемы. Этот список проверка может быть полезным в строго регулируемых средах, чтобы проверить, что вы выполнили или как качественный шлюз для себя.
  • Этапы расследования: включает подробное пошаговое руководство для целей конкретного расследования.

Необходимые компоненты

Ниже приведены общие настройки и конфигурации, которые необходимо выполнить, прежде чем продолжить расследование фишинга.

Сведения об учетной записи

Прежде чем продолжить расследование, рекомендуется указать имя пользователя, имя участника-пользователя (UPN) или адрес электронной почты учетной записи, которую вы подозреваете.

Базовые требования Microsoft 365

Проверка настроек аудита

Убедитесь, что аудит почтовых ящиков включен по умолчанию , выполнив следующую команду в Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

Значение False указывает, что аудит почтовых ящиков включен для всех почтовых ящиков в организации независимо от значения свойства AuditEnabled в отдельных почтовых ящиках. Дополнительные сведения см. в разделе "Проверка аудита почтовых ящиков по умолчанию".

Трассировка сообщения

Журналы трассировки сообщений — это бесценные компоненты, которые помогают найти исходный источник сообщения и предполагаемых получателей. Вы можете использовать функции трассировки сообщений в Центре администрирования Exchange (EAC) https://admin.exchange.microsoft.com/#/messagetrace или с помощью командлета Get-MessageTrace в Exchange Online PowerShell.

Примечание.

Трассировка сообщений также доступна на портале https://security.microsoft.com Microsoft Defender в разделе "Трассировка сообщений Электронной почты и совместной работы>Exchange", но это просто сквозная ссылка на трассировку сообщений в EAC.

Некоторые компоненты функции трассировки сообщений являются самообязательными, но идентификатор сообщения является уникальным идентификатором для сообщения электронной почты и требует тщательного понимания. Чтобы получить идентификатор сообщения для интересующего сообщения, необходимо проверить необработанные заголовки электронной почты.

Вы ищете единый журнал аудита, чтобы просмотреть все действия пользователя и администратора в организации Microsoft 365.

Экспортируются ли журналы входа и/или журналы аудита во внешнюю систему?

Поскольку большинство данных входа и аудита идентификатора Microsoft Entra будут перезаписаны через 30 или 90 дней, рекомендуется использовать Sentinel, Azure Monitor или внешнюю систему управления безопасностью и событиями (SIEM).

Требование наличия ролей и разрешений

Разрешения в идентификаторе Microsoft Entra

Мы рекомендуем учетную запись, которая выполняет расследование, по крайней мере средством чтения безопасности.

Разрешения в Microsoft 365

Роль читателя безопасности на портале Microsoft Defender или Портал соответствия требованиям Microsoft Purview должна предоставить достаточно разрешений для поиска соответствующих журналов.

Если вы не уверены в используемой роли, ознакомьтесь с разрешениями, необходимыми для выполнения любого командлета Exchange.

Microsoft Defender для конечной точки

Если у вас есть Microsoft Defender для конечной точки (MDE), его следует использовать для этого потока. Дополнительные сведения см. в статье "Устранение фишинга с использованием обмена сигналами и машинного обучения".

Требования к системе

Требования к аппаратному обеспечению

В система должна быть предусмотрена возможность запуска PowerShell.

Требования к программному обеспечению

Для исследования облачной среды необходимы следующие модули PowerShell:

Рабочий процесс

! [Рабочий процесс исследования фишинга]

Кроме того, вы можете сделать следующее:

  • Скачайте рабочие процессы сборника схем со способами реагирования на фишинг и другие инциденты в виде PDF-файла.
  • Скачайте рабочие процессы сборника схем со способами реагирования на фишинг и другие инциденты в виде файла Visio.

Контрольный список

Этот список проверка помогает оценить процесс расследования и проверить, выполнили ли вы все действия во время расследования:

   
Проверьте исходное фишинговое письмо
Составьте список пользователей, получивших данное письмо
Получите последние даты, когда у пользователя был доступ к почтовому ящику
Настроен ли делегированный доступ к почтовому ящику?
Настроены ли правила пересылки в почтовом ящике?
Просмотрите правила потока почты Exchange (правила транспорта)
Поиск сообщений электронной почты
Прочитал или открыл ли письмо пользователь?
Кто еще получил такое же электронное письмо?
Было ли в электронном письме вложение?
Была ли полезные данные в вложении?
Проверьте заголовок электронного письма на предмет истинного источника отправителя
Подтвердите IP-адреса злоумышленникам/кампаниям
Пользователь выбирает ссылки в сообщении электронной почты?
На какой конечной точке было открыто электронное письмо?
Была ли выполнена полезная нагрузка вложения?
Был ли щелкнут или открыт целевой IP- или URL-адрес?
Был выполнен вредоносный код?
Какие входы выполнялись с учетной записью для федеративного сценария?
Какие входы выполнялись с учетной записью для управляемого сценария?
Узнайте исходный IP-адрес
Узнайте идентификатор найденного устройства
Изучите каждый идентификатор приложения

Другие контрольные списки сборника схем со способами реагирования на фишинг и другие инциденты можно также скачать в виде файла Excel.

Шаги для исследования

Для этого исследования предполагается, что у вас есть пример фишинговой почты или части, такие как адрес отправителя, тема сообщения электронной почты или части сообщения, чтобы начать расследование. Кроме того, убедитесь, что вы выполнили или включили все параметры, как рекомендуется в разделе предварительных требований.

Эта сборник схем создается с намерением, чтобы не все клиенты Майкрософт и их команды исследования имели полный набор лицензий Microsoft 365 E5 или Microsoft Entra ID P2, доступный или настроенный в клиенте, который изучается. Однако при необходимости мы рассмотрим другие возможности автоматизации.

Получите список пользователей/личностей, получивших электронное письмо

На первом шаге необходимо получить список пользователей или удостоверений, которые получили фишинговое письмо. Цель этого шага — записать список потенциальных пользователей и удостоверений, которые позже будут использоваться для итерации для выполнения дополнительных действий по расследованию. Ознакомьтесь с разделом "Рабочий процесс" для высокоуровневой схемы потоков действий, которые необходимо выполнить во время этого исследования.

Мы не предоставляем никаких рекомендаций в этом сборнике схем о том, как вы хотите записать этот список потенциальных пользователей или удостоверений. В зависимости от размера исследования можно использовать книгу Excel, CSV-файл или даже базу данных для более крупных расследований. Существует несколько способов получить список удостоверений для данного арендатора, и вот несколько из примеров таких способов.

Создание поиска контента в Портал соответствия требованиям Microsoft Purview

Используйте индикаторы, собранные для создания и запуска поиска контента. Инструкции см. в разделе "Создание поиска контента".

Полный список свойств электронной почты, доступных для поиска, см. в свойствах электронной почты, доступных для поиска.

В следующем примере возвращаются сообщения, полученные пользователями в период с 13 апреля 2022 г. по 14 апреля 2022 г. и содержащие слова "действие" и "обязательные" в строке темы:

(Received:4/13/2022..4/14/2022) AND (Subject:'Action required')

В следующем примере запроса возвращаются сообщения, отправляемые chatsuwloginsset12345@outlook.com и содержащие точную фразу "Обновить сведения об учетной записи" в строке темы.

(From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Дополнительные сведения см. в статье о поиске и удалении сообщений в организации.

Использование командлета Search-Mailbox в Exchange Online PowerShell

Вы также можете использовать командлет Search-Mailbox в Exchange Online PowerShell для выполнения определенного запроса к целевому почтовому ящику, интересующего вас, и скопировать результаты в несвязанный целевой почтовый ящик.

В следующем примере запроса выполняется поиск в почтовом ящике Jane Smith электронного письма, содержащего фразу "Invoice" в теме, и копирование результатов в IRMailbox в папку с именем Investigation.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

В данном примере команды запрос ищет во всех почтовых ящиках клиентов электронное письмо, содержащее фразу «InvoiceUrgent» в теме, и копирует результаты в IRMailbox в папке с именем «Investigation».

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Подробные сведения о синтаксисе и параметрах см. в разделе Search-Mailbox.

Настроен ли делегированный доступ к почтовому ящику?

Используйте следующий сценарий, чтобы проверка, настроен ли делегированный доступ в почтовом ящике: https://github.com/OfficeDev/O365-InvestigationTooling/blob/master/DumpDelegatesandForwardingRules.ps1

Для создания отчета запустите небольшой сценарий PowerShell, который получает список всех ваших пользователей. Далее воспользуйтесь командлетом Get-MailboxPermission, чтобы создать CSV-файл всех делегатов почтовых ящиков в вашей клиентской среде.

В процессе поиска обращайте внимание на необычные имена или разрешения. Если вы видите что-то необычное, обратитесь к владельцу почтового ящика, чтобы проверка, является ли это законным.

Настроены ли правила пересылки для почтового ящика?

Необходимо проверка каждый определенный почтовый ящик для пересылки почтовых ящиков (также известный как пересылка SMTP) или правила папки "Входящие", которые перенаправляет сообщения электронной почты внешним получателям (как правило, только что созданные правила папки "Входящие").

  • Чтобы проверка всех почтовых ящиков для пересылки почтовых ящиков, выполните следующую команду в Exchange Online PowerShell:

    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited | Format-Table -Auto MicrosoftOnlineServicesID,ForwardingSmtpAddress,DeliverToMailboxAndForward | Export-csv C:\Temp\Forwarding.csv -NoTypeInformation

  • Чтобы проверка для правил папки "Входящие", созданных в почтовых ящиках между указанными датами, выполните следующую команду в Exchange Online PowerShell:

    Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -ResultSize 5000 -RecordType exchangeadmin -Operations New-InboxRule | Export-csv NoTypeInformation -Path c:\temp\Inboxrulesoutput.csv

  • Вы также можете использовать отчет об автоматически перенаправленных сообщениях в Центре администрирования Exchange (EAC). Инструкции см . в отчете об автоматическом пересылке сообщений в Exchange Online.

    Примечания:

    • В процессе поиска обращайте внимание на необычные целевые местоположения или любые внешние адресации.
    • Найдите правила пересылки с необычными ключевыми словами в таких критериях, как все сообщения со словом счетом в теме. Обратитесь к владельцу почтового ящика, чтобы проверка, является ли это законным.

Проверка правил папки "Входящие"

Проверьте удаление правил папки "Входящие", учитывая метки времени в близости от исследования. В качестве примера используйте следующую команду в Exchange Online PowerShell:

Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -Operations Remove-InboxRule | Export-CSV NoTypeInformation -Path c:\temp\removedInboxRules.csv

Проверка правил потока почты Exchange (правила транспорта)

В организации можно получить список правил потока обработки почты Exchange (также известных как правила транспорта).

  1. В Центре администрирования Exchange или Exchange Online PowerShell. Инструкции см. в разделе "Просмотр" или изменение правила потока обработки почты.
  2. Отчет о правиле транспорта Exchange в Центре администрирования Exchange. Инструкции см . в отчете о правиле транспорта Exchange в Exchange Online.

Ищите новые правила или правила, которые были изменены для перенаправления почты на внешние домены. Количество правил должно быть известно и относительно небольшое. Вы можете выполнить поиск в журнале аудита, чтобы определить, кто создал правило и откуда он был создан. Если вы видите что-то необычное, свяжитесь с автором, чтобы провести проверку на предмет законности.

Получите последние даты, когда у пользователя был доступ к почтовому ящику

В центре безопасности и соответствия требованиям Microsoft 365 перейдите к единому журналу аудита. В раскрывающемся списке Действия вы можете отфильтровать по Действиям с почтовым ящиком Exchange.

Возможность составить список скомпрометированных пользователей доступна в Центре безопасности и соответствия требованиям Microsoft 365.

В данном отчете показаны действия, которые могут указывать на незаконный доступ к почтовому ящику. Сюда входят созданные или полученные сообщения, перемещенные или удаленные сообщения, скопированные или очищенные сообщения, отправленные сообщения с использованием функции «Отправить от имени» или «Отправить от имени» и все входы в почтовый ящик. Данные включают дату, IP-адрес, пользователя, выполненное действие, затронутый элемент, а также любые дополнительные сведения.

Примечание.

Для записи данных необходимо включить параметр аудита почтового ящика.

Объем включенных здесь данных может быть очень значительным, поэтому следует сосредоточиться на поиске пользователей, нарушение которых может оказать серьезное влияние. Ищите необычные шаблоны, такие как нечетное время дня или необычные IP-адреса, и ищите шаблоны, такие как большие объемы перемещений, чисток или удалений.

Прочитал/открыл ли письмо пользователь?

Здесь имеет место два основных случая:

  • Почтовый ящик находится в Exchange Online.
  • Почтовый ящик находится в локальной среде Exchange (гибридная среда Exchange).

Пользователь Exchange Online открыл сообщение электронной почты

Используйте командлет Search-Mailbox в Exchange Online PowerShell, чтобы выполнить определенный поисковый запрос к целевому почтовому ящику, интересующим вас, и скопировать результаты в не связанный почтовый ящик назначения.

В следующем примере запроса выполняется поиск почтового ящика Джейнс Смита для сообщения электронной почты, содержащего фразу Счет в теме, и копирует результаты в IRMailbox в папку с именем "Исследование".

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Следующий пример запроса выполняет поиск во всех почтовых ящиках клиентов сообщения электронной почты, содержащего фразу InvoiceUrgent в теме, и копирует результаты в IRMailbox в папке с именем Investigation.

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Пользователь открыл электронную почту в гибридной среде Exchange

Используйте командлет Get-MessageTrackingLog для поиска сведений о доставке сообщений, хранящихся в журнале отслеживания сообщений. Приведем пример:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2022 09:00:00" -End "03/15/2022 17:00:00" -Sender "john@contoso.com"

Подробные сведения о синтаксисе и параметрах см. в разделе Get-MessageTrackingLog.

Кто еще получил такое же электронное письмо?

Здесь имеет место два основных случая:

  • Почтовый ящик находится в Exchange Online.
  • Почтовый ящик находится в локальной среде Exchange (гибридная среда Exchange).

Рабочий процесс по сути совпадает с описанием в списке пользователей и удостоверений, которые получили раздел электронной почты ранее в этой статье.

Поиск электронной почты в Exchange Online

Используйте командлет Search-Mailbox для выполнения определенного поискового запроса к целевому почтовому ящику, интересующего вас, и скопируйте результаты в несвязанный целевой почтовый ящик.

Данный пример запроса ищет во всех почтовых ящиках клиентов сообщение электронной почты, которое содержит тему InvoiceUrgent в теме, и копирует результаты в IRMailbox в папке с именем Investigation.

Get-Mailbox | Search-Mailbox -SearchQuery "Subject:InvoiceUrgent" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Поиск электронной почты в локальной среде Exchange

Используйте командлет Get-MessageTrackingLog для поиска сведений о доставке сообщений, хранящихся в журнале отслеживания сообщений. Приведем пример:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -MessageSubject "InvoiceUrgent"

Подробные сведения о синтаксисе и параметрах см. в разделе Get-MessageTrackingLog.

Было ли в электронном письме вложение?

Здесь имеет место два основных случая:

  • Почтовый ящик находится в Exchange Online.
  • Почтовый ящик находится в локальной среде Exchange (гибридная среда Exchange).

Узнайте, содержит ли сообщение вложение в Exchange Online

Если почтовый ящик находится в Exchange Online, у вас есть два варианта:

  • Использование классического командлета Search-Mailbox
  • Использование командлета New-ComplianceSearch

Используйте командлет Search-Mailbox для выполнения определенного поискового запроса к целевому почтовому ящику, интересующего вас, и скопируйте результаты в несвязанный целевой почтовый ящик. Приведем пример:

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Подробные сведения о синтаксисе и параметрах см. в разделе Search-Mailbox.

Другой вариант — использовать командлет New-ComplianceSearch . Приведем пример:

New-ComplianceSearch -Name "Investigation" -ExchangeLocation "Research Department" -ContentMatchQuery "from:pilar@contoso.com AND hasattachment:true"

Подробные сведения о синтаксисе и параметрах см. в статье New-ComplianceSearch.

Узнайте, содержит ли сообщение вложение в локальной среде Exchange.

Примечание.

В Exchange Server 2013 эта процедура требует накопительного обновления 12 (CU12) или более поздней версии. Дополнительные сведения см. в этой статье.

Используйте командлет Search-Mailbox для поиска сведений о доставке сообщений, хранящихся в журнале отслеживания сообщений. Приведем пример:

Search-Mailbox -Identity "Jane Smith"-SearchQuery AttachmentNames:attachment_name -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Подробные сведения о синтаксисе и параметрах см. в разделе Search-Mailbox.

Была ли полезные данные в вложении?

Найдите потенциальное вредоносное содержимое в вложение. Например, PDF-файлы, запутаны PowerShell или другие коды скриптов.

В представлении "Просмотр данных по электронной почте > " в отчете о состоянии защиты от угроз отображается количество входящих и исходящих сообщений, обнаруженных как содержащих вредоносные программы для вашей организации. Дополнительные сведения см. в отчете о состоянии защиты от угроз: просмотр данных по электронной почте>.

Проверьте заголовок электронного письма на предмет истинного источника отправителя

Многие из компонентов функции трассировки сообщений говорят сами за себя, но вам необходимо хорошо разбираться в Message-ID. Message-ID представляет собой уникальный идентификатор сообщения электронной почты.

Чтобы получить идентификатор сообщения для интересующего сообщения электронной почты, вам необходимо изучить необработанные заголовки электронной почты. Инструкции по выполнению этого в Microsoft Outlook или Outlook в Интернете (ранее известном как Outlook Web App или OWA) см. в статье Просмотр заголовков сообщений в Интернете в Outlook

При просмотре заголовка электронной почты рекомендуется скопировать и вставить информацию заголовка в анализатор заголовка электронной почты, предоставляемый MXToolbox или Azure для удобства чтения.

  • Заголовки Маршрутная информация: Маршрутная информация предоставляет маршрут электронной почты, передаваемой между компьютерами.

  • Sender Policy Framework (SPF): проверка электронной почты для предотвращения/обнаружения спуфинга. В записи SPF можно определить, какие IP-адреса и домены могут отправлять сообщения электронной почты от имени домена.

  • SPF = Pass: TXT-запись SPF определила, что отправителю разрешено отправлять сообщения от имени домена.

    • SPF = нейтральный
    • SPF = сбой: конфигурация политики определяет результат IP-адреса отправителя сообщения
    • SMTP-почта: проверьте, является ли домен законным

    Дополнительные сведения о SPF см. в статье о том, как Microsoft 365 использует SPF для предотвращения спуфингов

  • Общие значения. Ниже приводится разбивка наиболее часто используемых и просматриваемых заголовков и их значений. Это ценная информация, и вы можете использовать ее в полях Поиск в Threat Explorer.

    • Адрес отправителя
    • Тема
    • Идентификатор сообщения
    • Принять меры
    • Обратный адрес

  • Authentication-Results: вы можете узнать, что при отправке письма провел проверку подлинности вашего почтового клиента. Он предоставит вам проверку подлинности SPF и DKIM.

  • Исходный IP-адрес: исходный IP-адрес может использоваться для определения того, включен ли IP-адрес в черный список, и для получения географического местоположения.

  • Вероятность нежелательной почты (SCL): определяет вероятность того, что входящее письмо является спамом.

    • -1. Обход большинства фильтров нежелательной почты от безопасного отправителя, безопасного получателя или безопасного IP-адреса (доверенный партнер)
    • 0, 1: не является спамом, поскольку сообщение было просканировано и определено как чистое
    • 5, 6: Спам
    • 7, 8, 9: спам с высоким уровнем вероятности

Запись SPF хранится в базе данных DNS и связана с поисковой информацией DNS. Вы можете вручную проверить запись Sender Policy Framework (SPF) для домена с помощью команды nslookup:

  1. Откройте командную строку (запуск >> cmd).

  2. Введите команду как nslookup -type=txt" пробел, а затем имя домена или узла. Рассмотрим пример.

     nslookup -type=txt domainname.com

Примечание.

-all (отклонить или отказаться - не доставлять электронное письмо, если что-то не соответствует), данный вариант является рекомендуемым.

Проверьте, включена ли DKIM в пользовательских доменах в Microsoft 365

Вам необходимо опубликовать две записи CNAME для каждого домена, в который они хотят добавить почту с указанием ключей домена (DKIM). Узнайте, как использовать DKIM для проверки исходящей электронной почты, отправленной из вашего личного домена .

Проверка подлинности сообщений, отчетности и соответствия на основе домена (DMARC)

Эту функцию можно использовать для проверки исходящей электронной почты в Microsoft 365.

Подтвердите IP-адреса злоумышленникам/кампаниям

Чтобы проверить или исследовать IP-адреса, которые были идентифицированы на предыдущих этапах расследования, вы можете использовать любой из этих вариантов:

  • VirusTotal
  • Microsoft Defender для конечной точки
  • Общедоступные источники:
    • Ipinfo.io - имеет бесплатную встроенную функцию получения геолокации
    • Censys.io - имеет функцию бесплатного варианта получения информации о том, что известно при пассивном сканировании Интернета
    • AbuseIPDB.com — имеет бесплатную функцию с возможностью геолокации.
    • Запрос в Bing и Google - поиск по IP-адресу

Репутация URL

Вы можете использовать любое устройство с Windows 10 и браузер Microsoft Edge, в котором используется технология SmartScreen.

Вот несколько примеров репутации сторонних URL

В процессе исследования IP- и URL-адресов, ищите и соотносите IP-адреса с индикаторами взлома (IOC) или другими индикаторами, в зависимости от выходных данных или результатов, и добавляйте их в список источников от злоумышленника.

Если пользователь щелкнул ссылку в электронном письме (намеренно или нет), то это действие, как правило приводит к созданию нового процесса на самом устройстве. В зависимости от устройства, на котором было выполнено действие, вам необходимо выполнить исследование для конкретного устройства. Например, Windows vs Android vs iOS. В данной статье мы описали общий подход и некоторые детали для устройств на базе Windows. Если вы используете Microsoft Defender for Endpoint (MDE), вы также можете использовать его для iOS, а в скором времени и для Android.

Вы можете исследовать эти события с помощью Microsoft Defender for Endpoint.

  1. Журналы VPN/прокси в зависимости от поставщика решений прокси-сервера и VPN необходимо проверка соответствующие журналы. В идеале вы пересылаете события в SIEM или в Microsoft Sentinel.

  2. Использование Microsoft Defender для конечной точки это лучший сценарий, так как вы можете использовать нашу аналитику угроз и автоматизированный анализ, чтобы помочь вашему расследованию. Для получения дополнительных сведений см. как исследовать предупреждения в Microsoft Defender для конечных точек.

    Дерево процессов предупреждений переводит сортировку предупреждений и исследование на следующий уровень, отображая агрегированные предупреждения и сопутствующие свидетельства, которые произошли в одном контексте выполнения и в один и тот же период времени. Пример дерева процесса оповещения

  3. Клиентские устройства под управлением Windows убедитесь, что вы включили параметр "События создания процесса". В идеале вам также необходимо включить события трассировки командной строки.

    В клиентах Windows, в которых до начала расследования включены вышеупомянутые события аудита, вы можете проверить событие аудита 4688 и определить время, когда электронное письмо было доставлено пользователю:

    Пример события аудита 4688

    Другой пример события аудита 4688

На какой конечной точке было открыто электронное письмо?

Ниже приведены задачи, аналогичные предыдущему шагу исследования: пользователь щелкает ссылки в сообщении электронной почты?

Была ли выполнена прикрепленная полезная нагрузка?

Ниже приведены задачи, аналогичные предыдущему шагу исследования: пользователь щелкает ссылки в сообщении электронной почты?

Был ли затронут или открыт целевой IP/URL?

Ниже приведены задачи, аналогичные предыдущему шагу исследования: пользователь щелкает ссылки в сообщении электронной почты?

Был выполнен вредоносный код?

Ниже приведены задачи, аналогичные предыдущему шагу исследования: пользователь щелкает ссылки в сообщении электронной почты?

Какие операции входа произошли с учетной записью?

Проверьте различные входы, которые произошли с учетной записью.

Федеративный сценарий

Параметры и события журнала аудита различаются в зависимости от уровня операционной системы (ОС) и версии сервера служб федерации Active Directory (ADFS).

Для получения информации о различных версиях сервера см. следующие разделы.

Server 2012 R2

По умолчанию события безопасности не проверяются на сервере 2012 R2. Вам необходимо включить данную функцию на каждом сервере ADFS в ферме. В консоли управления ADFS выберите пункт Изменить свойства службы федерации.

federatedproperties

Вам также необходимо включить Политику аудита ОС.

Откройте командную строку и выполните следующую команду от имени администратора.

auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

Для получения дополнительных сведений см. как настроить серверы ADFS для устранения неполадок.

Вы также можете загрузить модули ADFS PowerShell посредством:

Server 2016 и более новых версий

По умолчанию в ADFS в Windows Server 2016 включена функция базового аудита. При базовом аудите администраторы могут видеть пять или меньше событий для одного запроса. Тем не менее, вы можете повысить или понизить уровень аудита посредством данной команды:

Set-AdfsProperties -AuditLevel Verbose

Дополнительные сведения см. в разделе Улучшения аудита ADFS на сервере Windows.

Если у вас установлен компонент Microsoft Entra Подключение Health, вы также должны ознакомиться с отчетом о рискованных IP-адресах. IP-адреса клиентов с ошибкой входа в систему собираются через прокси-серверы веб-приложений. В каждом элементе отчета «Рискованный IP-адрес» отображается агрегированная информация о неудачных действиях входа в AD FS, которые превышают установленный порог.

Пример отчета о рискованном IP

Дополнительные сведения см. в разделе Отчет о рисках IP.

Server 2012 R2

Событие с кодом 342 – «Имя пользователя или пароль неверны» в журналах администратора ADFS.

Что касается фактических событий аудита, вам необходимо просмотреть журналы событий безопасности и найти события с идентификатором события 411 для Classic Audit Failure с источником как ADFS Auditing. Также при успешной проверке подлинности необходимо выполнить поиск события с кодом 412.

Событие с кодом 411 - SecurityTokenValidationFailureAudit Token не прошла проверку. Подробнее см. в разделе «Внутреннее исключение».

Пример события 411

Пример события 412

Возможно, вам потребуется сопоставить событие с соответствующим идентификатором события 501.

Server 2016 и более новых версий

Для фактических событий аудита необходимо просмотреть журналы событий безопасности, при этом необходимо выполнить поиск событий с идентификатором события 1202 для успешных событий проверки подлинности и 1203 для сбоев

Пример для события ID1202:

Идентификатор события 1202 FreshCredentialSuccessAudit службы федерации проверил новые учетные данные. Дополнительные сведения см. в ФОРМАТЕ XML.

Пример для события с кодом 1203:

Идентификатор события 1203 FreshCredentialFailureAudit Службе федерации не удалось проверить новые учетные данные. Сведения о сбое см. в ФОРМАТЕ XML.

Пример события 1203

Пример события 4624

Для получения полного списка идентификаторов событий ADFS для каждого уровня ОС см. GetADFSEventList.

Управляемый сценарий

Проверьте журналы входа Microsoft Entra для пользователей, которые вы изучаете.

В Центре администрирования Microsoft Entra перейдите на экран входа и добавьте или измените фильтр отображения для интервала времени, который вы нашли в предыдущих шагах исследования, а также добавьте имя пользователя в качестве фильтра, как показано на этом рисунке.

Пример фильтра отображения

Вы также можете выполнять поиск с помощью Graph API. Например, отфильтруйте свойства пользователя и получите вместе с ним lastSignInDate. Найдите конкретного пользователя, чтобы узнать дату последнего входа для данного пользователя. Например: https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'Dhanyah')&$select=displayName,signInActivity

Вы также можете использовать команду PowerShell Get-AzureADUserLastSignInActivity, чтобы получить последнее интерактивное действие входа для пользователя, на которое нацелено его идентификатор объекта. В данном примере результат записывается в CSV-файл с меткой даты и времени в каталоге выполнения.

Get-AzureADUserLastSignInActivity -TenantId 536279f6-1234-2567-be2d-61e352b51eef -UserObjectId 69447235-0974-4af6-bfa3-d0e922a92048 -CsvOutput

Вы также можете использовать эту команду из модуля AzureADIncidentResponse PowerShell:

Get-AzureADIRSignInDetail -UserId johcast@Contoso.com -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3

Узнайте исходный IP-адрес

На основе исходных IP-адресов, найденных в журналах входа Microsoft Entra или файлах журналов ADFS/Federation Server, изучите дополнительные сведения о том, откуда произошел трафик.

Управляемый пользователь

Для управляемого сценария вам следует начать просматривать журналы входа и фильтровать их по исходному IP-адресу:

Пример IP-адреса управляемого пользователя]

Вы также можете использовать эту команду из модуля AzureADIncidentResponse PowerShell:

Get-AzureADIRSignInDetail -IpAddress 1.2.3.4 -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3 -OutGridView

При просмотре списка результатов перейдите на вкладку сведений об устройстве. В зависимости от используемого устройства вы получите различные выходные данные. Вот несколько таких случаев.

  • Пример 1 - Неуправляемое устройство (BYOD):

    Пример неуправляемого устройства

  • Пример 2. Управляемое устройство (присоединение к Microsoft Entra или гибридное соединение Microsoft Entra):

    Пример управляемого устройства

Проверьте DeviceID при наличии такового. Также следует искать ОС и браузер или строку UserAgent.

Пример идентификатора устройства

Запишите CorrelationID, идентификатор запроса и отметку времени. Для сопоставления результатов с другими событиями необходимо использовать CorrelationID и временную метку.

Федеративный пользователь/приложение

Выполните ту же процедуру, что и для сценария федеративного входа.

Найдите и запишите идентификатор устройства, уровень ОС, идентификатор корреляции, идентификатор запроса.

Изучите идентифицированный DeviceID

Этот шаг относится только к тем устройствам, которые известны идентификатору Microsoft Entra. К примеру, в контексте предыдущих шагов, если вы нашли один или несколько потенциальных идентификаторов устройства, вы можете продолжить изучение данного устройства. Найдите и запишите DeviceID и владельца устройства.

Изучите каждый AppID

Отправной точкой здесь являются журналы входа и конфигурация приложения клиента или конфигурация серверов федерации.

Управляемый сценарий

Из ранее найденных данных журнала входа проверьте Идентификатор приложения на вкладке Основная информация:

managedscenario

Обратите внимание на различия между приложением (и идентификатором) и ресурсом (и идентификатором). Приложение является клиентским компонентом, а ресурс — это служба или приложение в идентификаторе Microsoft Entra.

Теперь, при помощи данного AppID, вы можете проводить исследования в клиенте. Приведем пример:

Get-MgApplication -Filter "AppId eq '30d4cbf1-c561-454e-bf01-528cd5eafd58'"

Id                                       AppId                                    DisplayName

3af6dc4e-b0e5-45ec-8272-56f3f3f875ad     30d4cbf1-c561-454e-bf01-528cd5eafd58     Claims X-Ray

С помощью данной информации вы можете выполнять поиск на портале корпоративных приложений. Перейдите в раздел Все приложения и найдите конкретный AppID.

Пример идентификатора приложения

Дополнительные инструкции по реагированию на инциденты

Изучите руководство по выявлению и расследованию этих дополнительных типов атак:

Ресурсы по реагированию на инциденты