可疑电子邮件转发活动的警报分类

威胁参与者可以将泄露的用户帐户用于多种恶意目的，包括阅读用户收件箱中的电子邮件、将电子邮件转发给外部收件人以及发送钓鱼邮件等。 目标用户可能不知道其电子邮件正在转发。 这是攻击者在用户帐户遭到入侵时使用的常见策略。

电子邮件可以手动转发，也可以使用转发规则自动转发。 可以通过多种方式实现自动转发，例如收件箱规则、Exchange 传输规则 (ETR) 和 SMTP 转发。 虽然手动转发需要用户的直接作，但他们可能不知道所有自动转发的电子邮件。 在 Microsoft 365 中，当用户将电子邮件自动转发到潜在恶意电子邮件地址时，将引发警报。

此 playbook 可帮助你调查可疑Email转发活动警报，并快速将其评级为真 (TP) 或误报 (FP) 。 然后，可以针对 TP 警报采取建议的作来修正攻击。

有关Microsoft Defender for Office 365和Microsoft Defender for Cloud Apps警报分类的概述，请参阅简介文章。

使用此 playbook 的结果如下：

• 可将与自动转发电子邮件关联的警报标识为恶意 (TP) 或良性 (FP) 活动。

  如果存在恶意，则已停止针对受影响邮箱 的电子邮件自动转发 。

• 如果电子邮件被转发到恶意电子邮件地址，你将采取必要的措施。

Email转发规则

Email转发规则允许用户创建规则，将发送到用户邮箱的电子邮件转发到组织内外的另一个用户的邮箱。 某些电子邮件用户（尤其是具有多个邮箱的用户）配置转发规则，将雇主电子邮件移动到其专用电子邮件帐户。 Email转发是一项有用的功能，但也可能会造成安全风险，因为可能会泄露信息。 攻击者可能会使用此信息攻击你的组织或其合作伙伴。

可疑电子邮件转发活动

攻击者可能会设置电子邮件规则，以隐藏受攻击的用户邮箱中的传入电子邮件，以隐藏用户的恶意活动。 他们还可能在泄露的用户邮箱中设置规则，以删除电子邮件、将电子邮件移动到另一个不太明显的文件夹（如 RSS 文件夹）或将电子邮件转发到外部帐户。

某些规则可能会将所有电子邮件移动到另一个文件夹并将其标记为“已读”，而某些规则可能仅移动电子邮件或主题中包含特定关键字的邮件。 例如，收件箱规则可能设置为查找“发票”、“网络钓鱼”、“不答复”、“可疑电子邮件”或“垃圾邮件”等关键字，并将其移动到外部电子邮件帐户。 攻击者还可能使用受攻击的用户邮箱来分发垃圾邮件、网络钓鱼电子邮件或恶意软件。

Microsoft Defender for Office 365可以检测可疑电子邮件转发规则并发出警报，以便查找和删除源中的隐藏规则。

有关详细信息，请参阅以下博客文章：

• 业务Email妥协
• 业务电子邮件泄露的幕后：使用跨域威胁数据来破坏大型 BEC 活动

警报详细信息

若要查看可疑Email转发活动警报，请打开“警报”页以查看“活动列表”部分。 下面是一个示例。

选择“ 活动 ”，在边栏中查看该活动的详细信息。 下面是一个示例。

调查工作流

调查此警报时，必须确定：

• 用户帐户及其邮箱是否遭到入侵？
• 活动是否是恶意活动？

用户帐户及其邮箱是否遭到入侵？

通过查看发件人过去的行为和最近的活动，你应该能够确定是否应将用户帐户视为已泄露。 可以在 Microsoft Defender 门户中查看从用户页面引发的警报的详细信息。

还可以分析受影响的邮箱的以下其他活动：

• 使用威胁资源管理器了解与电子邮件相关的威胁

  • 观察发件人最近发送的电子邮件中有多少被检测为网络钓鱼、垃圾邮件或恶意软件。
  • 观察发送的电子邮件中有多少包含敏感信息。

• 评估Microsoft Azure 门户中存在风险的登录行为。

• 检查用户设备上的任何恶意活动。

活动是否是恶意活动？

调查电子邮件转发活动。 例如，检查电子邮件的类型、此电子邮件的收件人或电子邮件的转发方式。

有关详细信息，请参阅以下文章：

• EAC 中的自动转发消息报告
• EAC 中转发电子邮件见解的新用户
• 响应被盗用的电子邮件帐户
• 在 Outlook 中报告误报和漏报

下面是识别可疑电子邮件转发活动的工作流。

可以根据Microsoft Defender门户中的功能可用性，使用威胁资源管理器或高级搜寻查询调查电子邮件转发警报。 你可以根据需要选择遵循整个过程或过程的一部分。

使用威胁资源管理器

威胁资源管理器为电子邮件相关威胁提供交互式调查体验，以确定此活动是否可疑。 可以从警报信息中使用以下指示器：

• SRL/RL：使用 (可疑) 收件人列表 (SRL) 查找以下详细信息：

  

  • 还有谁向这些收件人转发了电子邮件？
  • 已转发给这些收件人多少封电子邮件？
  • 电子邮件转发给这些收件人的频率如何？

• MTI：使用消息跟踪 ID/网络消息 ID 查找以下详细信息：

  

  • 此电子邮件还提供了哪些其他详细信息？ 例如：主题、返回路径和时间戳。
  • 此电子邮件的来源是什么？ 是否有类似的电子邮件？
  • 此电子邮件是否包含任何 URL？ URL 是否指向任何敏感数据？
  • 电子邮件是否包含任何附件？ 附件是否包含敏感信息？
  • 对电子邮件执行的作是什么？ 是否已将其删除、标记为已读或移动到另一个文件夹？
  • 是否存在与此电子邮件相关的任何威胁？ 此电子邮件是否属于任何市场活动？

根据这些问题的答案，你应该能够确定电子邮件是恶意的还是良性的。

高级搜寻查询

若要使用 高级搜寻 查询收集与警报相关的信息，并确定活动是否可疑，请确保有权访问下表：

• EmailEvents - 包含与电子邮件流相关的信息。

• EmailUrlInfo - 包含与电子邮件中的 URL 相关的信息。

• CloudAppEvents - 包含用户活动的审核日志。

• IdentityLogonEvents - 包含所有用户的登录信息。

注意

某些参数对组织或网络是唯一的。 按照每个查询中的说明填写这些特定参数。

运行此查询，找出哪些收件人 (SRL/RL) 转发了电子邮件。

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| distinct SenderDisplayName, SenderFromAddress, SenderObjectId

运行此查询，了解转发给这些收件人的电子邮件数。

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress

运行此查询，了解转发给这些收件人的电子邮件的频率。

let srl=pack_array("{SRL}"); //Put values from SRL here.
EmailEvents
| where RecipientEmailAddress in (srl)
| summarize Count=dcount(NetworkMessageId) by RecipientEmailAddress, bin(Timestamp, 1d)

运行此查询，了解电子邮件是否包含任何 URL。

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailUrlInfo
| where NetworkMessageId == mti

运行此查询，了解电子邮件是否包含任何附件。

let mti='{MTI}'; //Replace {MTI} with MTI from alert
EmailAttachmentInfo
| where NetworkMessageId == mti

运行此查询，了解转发器 (发件人) 是否创建了任何新规则。

let sender = "{SENDER}"; //Replace {SENDER} with display name of Forwarder
let action_types = pack_array(
    "New-InboxRule",
    "UpdateInboxRules",
    "Set-InboxRule",
    "Set-Mailbox",
    "New-TransportRule",
    "Set-TransportRule");
CloudAppEvents
| where AccountDisplayName == sender
| where ActionType in (action_types)

运行此查询，了解此用户是否存在任何异常登录事件。 例如：未知 IP、新应用程序、不常见的国家/地区、多个 LogonFailed 事件。

let sender = "{SENDER}"; //Replace {SENDER} with email of the Forwarder
IdentityLogonEvents
| where AccountUpn == sender

调查转发规则

还可以根据警报) 中的规则类型 (FT 值，使用 Exchange 管理中心查找可疑转发规则。

• ETR

  Exchange 传输规则在 “规则” 部分中列出。 验证所有规则是否都按预期进行。

• SMTP

  可以通过选择发件人>邮箱管理邮件流设置>Email转发编辑来查看邮箱转发>规则。

• InboxRule

  使用电子邮件客户端配置收件箱规则。 可以使用 Get-InboxRule PowerShell cmdlet 列出用户创建的收件箱规则。

其他调查

除了到目前为止发现的证据，还可以确定是否正在创建新的转发规则。 调查与规则关联的 IP 地址。 确保它不是异常的 IP 地址，并且与用户执行的常见活动一致。

建议的操作

确定关联的活动使此警报为“真正”后，对警报进行分类并执行以下作进行修正：

1. 禁用并删除收件箱转发规则。

2. 对于 InboxRule 转发类型，请重置用户的帐户凭据。

3. 对于 SMTP 或 ETR 转发类型，请调查创建警报的用户帐户的活动。

   • 调查任何其他可疑的管理员活动。

   • 重置用户帐户的凭据。

4. 检查其他活动是否源自受影响的帐户、IP 地址和可疑发件人。

另请参阅

• 警报分类概述
• 可疑的收件箱转发规则
• 可疑的收件箱操作规则
• 调查警报

提示

想要了解更多信息？ 请在我们的技术社区中与 Microsoft 安全社区互动：Microsoft Defender XDR 技术社区。