Şüpheli gelen kutusu işleme kuralları için uyarı sınıflandırması
Şunlar için geçerlidir:
- Microsoft Defender XDR
Tehdit aktörleri, bir kullanıcının gelen kutusundaki e-postaları okuma, e-postaları dış hesaplara iletmek için gelen kutusu kuralları oluşturma, izlemeleri silme ve kimlik avı postaları gönderme gibi birçok kötü amaçlı amaçla güvenliği aşılmış kullanıcı hesaplarını kullanabilir. Kötü amaçlı gelen kutusu kuralları, iş e-posta güvenliğinin aşılması (BEC) ve kimlik avı kampanyaları sırasında yaygındır ve bunları tutarlı bir şekilde izlemek önemlidir.
Bu playbook, saldırganlar tarafından yapılandırılan şüpheli gelen kutusu işleme kurallarıyla ilgili tüm olayları araştırmanıza ve saldırıyı düzeltmek ve ağınızı korumak için önerilen eylemleri gerçekleştirmenize yardımcı olur. Bu playbook, güvenlik operasyonları merkezi (SOC) analistleri ve uyarıları inceleyen, araştıran ve not veren BT yöneticileri de dahil olmak üzere güvenlik ekiplerine yöneliktir. Uyarıları hızlı bir şekilde gerçek pozitif (TP) veya hatalı pozitif (TP) olarak notlayabilir ve TP uyarılarının saldırıyı düzeltmesi için önerilen eylemleri gerçekleştirebilirsiniz.
Bu playbook'u kullanmanın sonuçları şunlardır:
Gelen kutusu işleme kurallarıyla ilişkili uyarıları kötü amaçlı (TP) veya zararsız (FP) etkinlikler olarak tanımlarsınız.
Kötü amaçlıysa, kötü amaçlı gelen kutusu işleme kurallarını kaldırırsınız.
E-postalar kötü amaçlı bir e-posta adresine iletildiyse gerekli eylemi gerçekleştirin.
Gelen kutusu işleme kuralları
Gelen kutusu kuralları, önceden tanımlanmış ölçütlere göre e-posta iletilerini otomatik olarak yönetecek şekilde ayarlanır. Örneğin, yöneticinizden gelen tüm iletileri başka bir klasöre taşımak veya aldığınız iletileri başka bir e-posta adresine iletmek için bir gelen kutusu kuralı oluşturabilirsiniz.
Kötü amaçlı gelen kutusu işleme kuralları
Saldırganlar, kullanıcıdan gelen kötü amaçlı etkinliklerini gizlemek için güvenliği aşılmış kullanıcı posta kutusundaki gelen e-postaları gizlemek için e-posta kuralları ayarlayabilir. Ayrıca, güvenliği aşılmış kullanıcı posta kutusunda e-postaları silmek, e-postaları daha az fark edilebilir başka bir klasöre (RSS gibi) taşımak veya postaları bir dış hesaba iletmek için kurallar da ayarlayabilir. Bazı kurallar tüm e-postaları başka bir klasöre taşıyabilir ve bunları "okundu" olarak işaretleyebilirken, bazı kurallar yalnızca e-posta iletisinde veya konuda belirli anahtar sözcükler içeren postaları taşıyabilir.
Örneğin, gelen kutusu kuralı diğerlerinin yanı sıra "fatura", "kimlik avı", "yanıtlama", "şüpheli e-posta" veya "istenmeyen posta" gibi anahtar sözcükleri aramak ve bunları bir dış e-posta hesabına taşımak üzere ayarlanabilir. Saldırganlar istenmeyen postaları, kimlik avı e-postalarını veya kötü amaçlı yazılımları dağıtmak için güvenliği aşılmış kullanıcı posta kutusunu da kullanabilir.
Iş akışı
Şüpheli gelen kutusu işleme kuralı etkinliklerini tanımlamaya yönelik iş akışı aşağıdadır.
Araştırma adımları
Bu bölüm, olaya yanıt vermek ve kuruluşunuzu başka saldırılara karşı korumak için önerilen adımları uygulamak için ayrıntılı adım adım yönergeler içerir.
1. Uyarıları gözden geçirin
Aşağıda, uyarı kuyruğundaki gelen kutusu işleme kuralı uyarısının bir örneği verilmiş.
Burada, kötü amaçlı gelen kutusu işleme kuralı tarafından tetiklenen bir uyarının ayrıntılarına bir örnek verilmiştir.
2. Gelen kutusu işleme kuralı parametrelerini araştırma
Kuralların aşağıdaki kural parametrelerine veya ölçütlerine göre şüpheli görünerek görünmediğini belirleyin:
Anahtar Sözcükler
Saldırgan, düzenleme kuralını yalnızca belirli sözcükleri içeren e-postalara uygulayabilir. Bu anahtar sözcükleri şu öznitelikler altında bulabilirsiniz: "BodyContainsWords," "SubjectContainsWords" veya "SubjectOrBodyContainsWords."
Anahtar sözcüklere göre filtreleme varsa, anahtar sözcüklerin size şüpheli görünip görünmediğini denetleyin (yaygın senaryolar, saldırgan etkinlikleriyle ilgili "kimlik avı", "istenmeyen posta" ve "yanıt verme" gibi e-postaları filtrelemektir).
Hiç filtre yoksa, bu da şüpheli olabilir.
Hedef klasör
Saldırgan, güvenlik algılamasını azaltmak için e-postaları daha az fark edilebilir bir klasöre taşıyabilir ve e-postaları okundu olarak işaretleyebilir (örneğin, "RSS" klasörü). Saldırgan "MoveToFolder" ve "MarkAsRead" eylemi uygularsa, şüpheli görünip görünmediğine karar vermek için hedef klasörün kuraldaki anahtar sözcüklerle bir şekilde ilişkili olup olmadığını denetleyin.
Tümünü sil
Bazı saldırganlar etkinliklerini gizlemek için yalnızca gelen tüm e-postaları siler. Çoğunlukla, anahtar sözcüklerle filtrelemeden "tüm gelen e-postaları sil" kuralı kötü amaçlı etkinliklerin bir göstergesidir.
aşağıda, ilgili olay günlüğünün "tüm gelen e-postaları sil" kural yapılandırmasına (RawEventData.Parameters'da görüldüğü gibi) bir örnek verilmiştir.
3. IP adresini araştırma
Kural oluşturma işleminin ilgili olayını gerçekleştiren IP adresinin özniteliklerini gözden geçirin:
- Kiracıdaki aynı IP'den kaynaklanan diğer şüpheli bulut etkinlikleri için Arama. Örneğin, şüpheli etkinlik birden çok başarısız oturum açma girişimi olabilir.
- ISS bu kullanıcı için ortak ve makul mü?
- Konum bu kullanıcı için ortak ve makul mü?
4. Kuralları oluşturmadan önce kullanıcının şüpheli etkinliğini araştırma
Kurallar oluşturulmadan önce tüm kullanıcı etkinliklerini gözden geçirebilir, risk göstergelerini denetleyebilir ve şüpheli görünen kullanıcı eylemlerini araştırabilirsiniz.
Örneğin, birden çok başarısız oturum açma için şunları inceleyin:
Oturum açma etkinliği
Kural oluşturmadan önceki oturum açma etkinliğinin şüpheli olmadığını doğrulayın. (ortak konum / ISS / kullanıcı aracısı).
Uyarılar
Kullanıcının kuralları oluşturmadan önce uyarı alıp almadığını denetleyin. Bu, kullanıcı hesabının gizliliğinin tehlikeye girmiş olabileceğini gösterebilir. Örneğin, imkansız seyahat uyarısı, seyrek ülke/bölge, diğerleri arasında birden fazla başarısız oturum açma.)
Olay
Uyarının bir olayı gösteren diğer uyarılarla ilişkili olup olmadığını denetleyin. Öyleyse, olayın diğer gerçek pozitif uyarılar içerip içermediğini denetleyin.
Gelişmiş tehdit avcılığı sorguları
Gelişmiş Tehdit Avcılığı , tehdit göstergelerini bulmak için ağınızdaki olayları incelemenize olanak tanıyan sorgu tabanlı bir tehdit avcılığı aracıdır.
Belirli bir zaman penceresindeki tüm yeni gelen kutusu kuralı olaylarını bulmak için bu sorguyu kullanın.
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule", "UpdateInboxRules") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
RuleConfig sütunu yeni gelen kutusu kuralı yapılandırmasını sağlar.
Kullanıcının geçmişine bakarak ISS'nin kullanıcı için ortak olup olmadığını denetlemek için bu sorguyu kullanın.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
Kullanıcının geçmişine bakarak ülkenin/bölgenin kullanıcı için ortak olup olmadığını denetlemek için bu sorguyu kullanın.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
Kullanıcının geçmişine bakarak kullanıcı aracısının kullanıcı için ortak olup olmadığını denetlemek için bu sorguyu kullanın.
let alert_date = now(); //enter alert date
let timeback = 60d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
Önerilen eylemler
- Kötü amaçlı gelen kutusu kuralını devre dışı bırakın.
- Kullanıcı hesabının kimlik bilgilerini sıfırlayın. Ayrıca Microsoft Entra ID Koruması güvenlik sinyallerini alan Microsoft Defender for Cloud Apps ile kullanıcı hesabının gizliliğinin ihlal edildiğini de doğrulayabilirsiniz.
- Etkilenen kullanıcı hesabı tarafından gerçekleştirilen diğer kötü amaçlı etkinlikler için Arama.
- Diğer güvenliği aşılmış kullanıcı hesaplarını bulmak için kiracıda aynı IP'den veya aynı ISS'den (ISS yaygın değilse) kaynaklanan diğer şüpheli etkinlikleri denetleyin.
Ayrıca bkz.
- Uyarı sınıflandırmasına genel bakış
- Şüpheli e-posta iletme etkinliği
- Şüpheli gelen kutusu iletme kuralları
- Uyarıları araştırın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin