共用方式為


可疑收件匣轉寄規則的警示分類

適用於:

  • Microsoft Defender XDR

威脅執行者可能會將遭入侵的使用者帳戶用於數個惡意用途,包括讀取使用者收件匣中的電子郵件、建立收件匣規則以將電子郵件轉寄至外部帳戶、傳送網路釣魚郵件等等。 惡意的收件匣規則在商業電子郵件入侵 (BEC) 和網路釣魚活動期間很常見,持續性地監視它們非常重要。

此劇本可協助您調查可疑收件匣轉寄規則的警示,並快速將它們評分為確判 (TP) 或誤判 (FP) 。 然後,您可以針對 TP 警示採取建議的動作,以補救攻擊。

如需適用於 Office 365 和 Microsoft Defender for Cloud Apps 的 Microsoft Defender 警示分類概觀,請參閱 簡介文章

使用此劇本的結果為:

  • 您已將與收件匣轉寄規則相關聯的警示識別為惡意 (TP) 或良性 (FP) 活動。

    若為惡意,表示您已移除了惡意的收件匣轉寄規則。

  • 如果電子郵件已轉寄至惡意電子郵件位址,您已採取必要的動作。

信箱轉寄規則

您可以設定收件匣規則,以根據預先定義的準則自動管理電子郵件訊息。 例如,您可以建立收件匣規則,將來自主管的所有郵件移至另一個資料夾,或將收到的郵件轉寄到其他電子郵件地址。

可疑的收件匣轉寄規則

取得使用者信箱的存取權之後,攻擊者通常會建立收件者規則,讓他們能夠將敏感性資料外洩到外部電子郵件地址,並用於惡意用途。

惡意的收件匣規則會自動化外流程序。 使用特定規則時,目標使用者收件匣中符合規則準則的每封電子郵件都會轉寄至攻擊者的信箱。 例如,攻擊者可能會想要收集與財務相關的敏感性資料。 他們會建立收件匣規則,將主旨或郵件內文中包含關鍵詞的所有電子郵件,例如 'finance' 和 'invoice' 轉寄至其信箱。

可疑的收件匣轉寄規則可能難以偵測,因為維護收件匣規則是用戶常見的工作。 因此,請務必監視警示。

工作流程

以下是識別可疑電子郵件轉寄規則的工作流程。

收件匣轉寄規則的警示調查工作流程

調查步驟

本章節包含詳細的逐步指導,以回應事件並採取建議的步驟來保護貴組織免受進一步的攻擊。

查看已產生的警示

以下是警示佇列中收件匣轉寄規則警示的範例。

警示佇列中的通知範例

以下是由惡意收件匣轉寄規則所觸發之警示的詳細資料範例。

由惡意收件匣轉寄規則所觸發之警示的詳細資料

調查規則參數

此階段的目的是判斷根據特定準則規則是否看起來可疑:

轉寄規則的收件者:

  • 驗證目的地電子郵件位址不是相同用戶所擁有的其他信箱, (避免使用者在個人信箱) 之間自行轉寄電子郵件的情況。
  • 驗證目的地電子郵件位址不是屬於公司的內部位址或子網域。

篩選條件:

  • 如果收件匣規則包含的篩選條件會搜尋電子郵件主旨或本文中的特定關鍵詞,請檢查所提供的關鍵詞,例如財務、認證和網路等,是否與惡意活動有關。 您可以在下列屬性底下找到這些篩選 (會顯示在事件 RawEventData 數據行) :“BodyContainsWords”、“SubjectContainsWords” 或 “SubjectOrBodyContainsWords”
  • 如果攻擊者選擇不要將任何篩選條件設定為郵件,而收件匣規則會將所有信箱專案轉寄至攻擊者的信箱) ,則此行為也是可疑的行為。

調查 IP 位址

檢閱執行規則建立相關事件之 IP 位址的屬性:

  1. 搜尋來自租用戶中相同 IP 的其他可疑雲端活動。 例如,可疑的活動可能是多次失敗的登入嘗試。
  2. 該使用者的 ISP 是否為常見且合理?
  3. 該使用者的位置是否為常見且合理?

在建立規則之前,先調查使用者收件匣的任何可疑活動

您可以在建立規則之前檢閱所有的使用者活動、檢查入侵指標,以及調查似乎可疑的使用者動作。 例如,多次登入失敗。

  • 登入:

    驗證規則建立事件之前的登入活動不是可疑的 (例如一般位置、ISP 或使用者代理程式) 。

  • 其他警示或事件

    • 建立規則之前,使用者是否觸發其他警示。 如果是,這可能表示使用者已遭到入侵。
    • 如果警示與其他警示相互關聯以指出事件,則此事件是否包含其他確判為真的警示?

進階搜捕查詢

進階搜捕是查詢式威脅搜捕工具,可讓您檢查網路中的事件並找出威脅指標。

使用此查詢尋以在特定時間範圍期間尋找所有新的收件匣規則事件。

let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData

RuleConfig 會包含規則設定。

使用此查詢查看使用者歷程記錄,以檢查 ISP 對使用者是否為常見。

let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by ISP

藉由查看使用者的歷程記錄,執行此查詢來檢查使用者是否通用國家/地區。

let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode

執行此查詢查看使用者歷程記錄,以檢查使用者代理程式對使用者是否為常見。

let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp  from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent

執行此查詢以檢查其他使用者是否建立轉寄到相同目的地的規則 (可能表示其他使用者也遭到入侵)。

let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
  1. 停用惡意的收件匣規則。
  2. 重設使用者的帳戶認證。 您也可以使用適用於雲端應用程式的 Microsoft Defender 來確認使用者帳戶是否遭到入侵,這會從 Microsoft Entra ID Protection 取得安全性訊號。
  3. 搜尋由受影響的使用者執行的其他惡意活動。
  4. 檢查來自租用戶的相同 IP 或相同 ISP (若 ISP 為不常見) 的其他可疑活動,以尋找其他遭入侵的使用者帳戶。

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群