威脅行為者可能利用被入侵的使用者帳號進行多種惡意目的,包括閱讀使用者收件匣中的電子郵件、建立將郵件轉寄至外部帳號的收件匣規則、發送釣魚郵件等。 惡意的收件匣規則在商業電子郵件入侵 (BEC) 和網路釣魚活動期間很常見,持續性地監視它們非常重要。 這本手冊幫助你調查可疑的收件匣轉寄規則,並迅速將它們評定為真陽性 (TP) 或假陽性 (FP) 。 然後,您可以針對 TP 警示採取建議的動作,以補救攻擊。
關於 Microsoft Defender for Office 365 及 Microsoft Defender for Cloud Apps 的警報分類概述,請參閱介紹文章。
使用此劇本的結果為:
你已經辨識出與收件匣轉發規則相關的警示是惡意 (TP) ,或是良性 (FP) 活動。
若為惡意,表示您已移除了惡意的收件匣轉寄規則。
如果郵件被轉寄到惡意電子郵件地址,你已經採取了必要的行動。
信箱轉寄規則
您可以設定收件匣規則,以根據預先定義的準則自動管理電子郵件訊息。 例如,您可以建立收件匣規則,將來自主管的所有郵件移至另一個資料夾,或將收到的郵件轉寄到其他電子郵件地址。
可疑的收件匣轉寄規則
取得使用者信箱的存取權之後,攻擊者通常會建立收件者規則,讓他們能夠將敏感性資料外洩到外部電子郵件地址,並用於惡意用途。
惡意的收件匣規則會自動化外流程序。 透過特定規則,目標使用者收件匣中符合規則條件的每封電子郵件都會被轉發到攻擊者的信箱。 例如,攻擊者可能會想要收集與財務相關的敏感性資料。 他們會建立一個收件匣規則,將所有主旨或訊息內容中包含關鍵字(如「finance」和「invoice」)的電子郵件轉寄到他們的信箱。
可疑的收件匣轉寄規則可能難以被偵測,因為使用者經常會維護收件匣規則。 因此,監控警示非常重要。
工作流程
以下是辨識可疑郵件轉寄規則的工作流程。
調查步驟
本章節包含詳細的逐步指導,以回應事件並採取建議的步驟來保護貴組織免受進一步的攻擊。
查看已產生的警示
以下是警示佇列中收件匣轉寄規則警示的範例。
以下是由惡意收件匣轉寄規則所觸發之警示的詳細資料範例。
調查規則參數
此階段的目的是判斷根據特定準則規則是否看起來可疑:
轉寄規則的收件者:
- 驗證目的地電子郵件地址並非同一使用者擁有的額外信箱, (避免使用者在個人信箱間自行轉寄郵件的情況) 。
- 確認目的地電子郵件地址不是公司內部的地址或子網域。
篩選條件:
- 如果收件匣規則包含篩選器,搜尋郵件主旨或主文中的特定關鍵字,請檢查所提供的關鍵字,如財務、憑證和人脈等,是否與惡意活動有關。 你可以在以下屬性 (找到這些篩選器,這些屬性會出現在事件 RawEventData 欄位) :「BodyContainsWords」、「SubjectContainsWords」或「SubjectOrBodyContainsWords」
- 如果攻擊者選擇不設定任何過濾器,而是用收件匣規則將所有信箱項目轉寄到攻擊者的信箱) ,那麼這種行為同樣可疑。
調查 IP 位址
檢閱執行規則建立相關事件之 IP 位址的屬性:
- 搜尋來自租用戶中相同 IP 的其他可疑雲端活動。 例如,可疑的活動可能是多次失敗的登入嘗試。
- 該使用者的 ISP 是否為常見且合理?
- 該使用者的位置是否為常見且合理?
在建立規則之前,先調查使用者收件匣的任何可疑活動
您可以在建立規則之前檢閱所有的使用者活動、檢查入侵指標,以及調查似乎可疑的使用者動作。 例如,多次登入失敗。
登入:
確認規則建立事件前的登入活動不具可疑 (,例如共用位置、ISP 或使用者代理) 。
其他警示或事件
- 建立規則之前,使用者是否觸發其他警示。 如果是,這可能表示使用者已遭到入侵。
- 如果警示與其他警示相互關聯以指出事件,則此事件是否包含其他確判為真的警示?
進階搜捕查詢
進階搜捕是查詢式威脅搜捕工具,可讓您檢查網路中的事件並找出威脅指標。
使用此查詢尋以在特定時間範圍期間尋找所有新的收件匣規則事件。
let start_date = now(-10h);
let end_date = now();
let user_id = ""; // enter here the user id
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where AccountObjectId == user_id
| where Application == @"Microsoft Exchange Online"
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
RuleConfig 會包含規則設定。
使用此查詢查看使用者歷程記錄,以檢查 ISP 對使用者是否為常見。
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by ISP
執行此查詢,透過查看使用者的歷史,確認該國家/地區是否對使用者有共通性。
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by CountryCode
執行此查詢查看使用者歷程記錄,以檢查使用者代理程式對使用者是否為常見。
let alert_date = now(); //enter alert date
let timeback = 30d;
let userid = ""; //enter here user id
CloudAppEvents
| where Timestamp between ((alert_date-timeback)..(alert_date-1h))
| where AccountObjectId == userid
| make-series ActivityCount = count() default = 0 on Timestamp from (alert_date-timeback) to (alert_date-1h) step 12h by UserAgent
執行此查詢以檢查其他使用者是否建立轉寄到相同目的地的規則 (可能表示其他使用者也遭到入侵)。
let start_date = now(-10h);
let end_date = now();
let dest_email = ""; // enter here destination email as seen in the alert
CloudAppEvents
| where Timestamp between (start_date .. end_date)
| where ActionType in ("Set-Mailbox", "New-InboxRule", "Set-InboxRule") //set new inbox rule related operations
| project Timestamp, ActionType, CountryCode, City, ISP, IPAddress, RuleConfig = RawEventData.Parameters, RawEventData
| where RuleConfig has dest_email
建議的動作
- 停用惡意的收件匣規則。
- 重置使用者的帳號憑證。 你也可以透過 Microsoft Defender for Cloud Apps 確認使用者帳號是否遭到入侵,該軟體會從 Microsoft Entra ID Protection 獲得安全訊號。
- 搜尋由受影響的使用者執行的其他惡意活動。
- 檢查來自租用戶的相同 IP 或相同 ISP (若 ISP 為不常見) 的其他可疑活動,以尋找其他遭入侵的使用者帳戶。
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。