Vyšetřování útoku phishing

  • Článek

Tento článek obsahuje pokyny k identifikaci a vyšetřování útoků phishing ve vaší organizaci. Podrobné pokyny vám pomůžou provést požadovanou nápravnou akci k ochraně informací a minimalizaci dalších rizik.

Tento článek obsahuje následující části:

  • Požadavky: Řeší konkrétní požadavky, které je potřeba dokončit před zahájením šetření. Protokolování, které by mělo být zapnuté, role a oprávnění se vyžadují mimo jiné.
  • Pracovní postup: Zobrazuje logický tok, podle kterého byste měli provést toto šetření.
  • Kontrolní seznam: Obsahuje seznam úkolů pro každý z kroků v vývojovém diagramu. Tento kontrolní seznam může být užitečný v vysoce regulovaných prostředích k ověření toho, co jste dokončili, nebo jako kvalitu brány pro sebe.
  • Kroky šetření: Obsahuje podrobné pokyny pro toto konkrétní šetření.

Požadavky

Tady jsou obecná nastavení a konfigurace, které byste měli dokončit před pokračováním v šetření útoku phishing.

Podrobnosti obchodního vztahu

Než budete pokračovat v šetření, doporučujeme, abyste měli uživatelské jméno, hlavní název uživatele (UPN) nebo e-mailovou adresu účtu, u kterého máte podezření, že je ohroženo.

Základní požadavky Microsoftu 365

Ověření nastavení auditování

Spuštěním následujícího příkazu v Prostředí Exchange Online PowerShell ověřte, že je ve výchozím nastavení zapnuté auditování poštovní schránky:

Get-OrganizationConfig | Format-List AuditDisabled

Hodnota False označuje, že auditování poštovní schránky je povolené pro všechny poštovní schránky v organizaci bez ohledu na hodnotu vlastnosti AuditEnabled u jednotlivých poštovních schránek. Další informace najdete v tématu Ověření auditování poštovní schránky ve výchozím nastavení zapnuté.

Trasování zpráv

Protokoly trasování zpráv jsou neocenitelné komponenty, které pomáhají najít původní zdroj zprávy a zamýšlené příjemce. Funkci trasování zpráv můžete použít v Centru pro správu Exchange (EAC) https://admin.exchange.microsoft.com/#/messagetrace nebo pomocí rutiny Get-MessageTrace v Prostředí Exchange Online PowerShell.

Poznámka:

Trasování zpráv je také dostupné na portálu Microsoft Defenderu v https://security.microsoft.com části Trasování zpráv Exchange pro e-mail a spolupráci>, ale to je jenom odkaz na trasování zpráv v EAC.

Několik součástí funkce trasování zpráv je samovysvětlovací, ale ID zprávy je jedinečný identifikátor e-mailové zprávy a vyžaduje důkladné porozumění. Pokud chcete získat ID zprávy pro e-mail, který vás zajímá, musíte si prostudovat nezpracovaná záhlaví e-mailů.

Vyhledáte jednotný protokol auditu a zobrazíte všechny aktivity uživatele a správce ve vaší organizaci Microsoft 365.

Exportují se protokoly přihlášení nebo protokoly auditu do externího systému?

Vzhledem k tomu, že většina přihlašovacích a auditovaných dat Microsoft Entra ID se po 30 nebo 90 dnech přepíše, doporučujeme používat Sentinel, Azure Monitor nebo externí systém pro správu událostí (SIEM).

Požadované role a oprávnění

Oprávnění v Microsoft Entra ID

Pro účet, který provádí šetření, doporučujeme členství v následujících rolích:

Oprávnění v Microsoftu 365

Obecně řečeno, globální čtenář nebo skupiny rolí Čtenář zabezpečení na portálu Microsoft Defender nebo Portál dodržování předpisů Microsoft Purview by vám měly poskytnout dostatečná oprávnění pro vyhledávání příslušných protokolů.

Poznámka:

Účty, které jsou členy skupin rolí Protokoly auditu jen pro zobrazení nebo Protokoly auditu, pouze na portálu Microsoft Defenderu nebo Portál dodržování předpisů Microsoft Purview nebudou moct prohledávat protokol auditu Microsoftu 365. V tomto scénáři musíte přiřadit oprávnění v Exchangi Online. Další informace najdete v tématu Před prohledáváním protokolu auditu.

Pokud si nejste jistí, které skupiny rolí se mají použít, přečtěte si téma Vyhledání oprávnění potřebných ke spuštění jakékoli rutiny Exchange.

Microsoft Defender for Endpoint

Pokud máte Microsoft Defender for Endpoint (MDE), měli byste ho použít pro tento tok. Další informace najdete v tématu Řešení útoků phishing pomocí sdílení signálů a strojového učení.

Systémové požadavky

Požadavky na hardware

Systém by měl být schopný spustit PowerShell.

Požadavky na software

Ke zkoumání cloudového prostředí se vyžadují následující moduly PowerShellu:

Workflow

! [Pracovní postup šetření phishingu]

Můžete také:

  • Stáhněte si pracovní postupy playbooku útoku phishing a další reakce na incidenty jako PDF.
  • Stáhněte si pracovní postupy playbooku útoku phishing a další reakce na incidenty jako soubor Visia.

Kontrolní seznam

Tento kontrolní seznam vám pomůže vyhodnotit proces šetření a ověřit, jestli jste dokončili všechny kroky během šetření:

   
Kontrola počátečních phishingových e-mailů
Získání seznamu uživatelů, kteří dostali tento e-mail
Získání nejnovějších dat, kdy měl uživatel přístup k poštovní schránce
Je v poštovní schránce nakonfigurovaný delegovaný přístup?
Jsou pro poštovní schránku nakonfigurovaná pravidla pro přeposílání?
Kontrola pravidel toku pošty Exchange (pravidla přenosu)
Vyhledání e-mailových zpráv
Přečetl nebo otevřel uživatel e-mail?
Kdo dostal stejný e-mail?
Obsahoval e-mail přílohu?
Byla v příloze datová část?
Kontrola skutečného zdroje odesílatele v záhlaví e-mailu
Ověření IP adres útočníkům nebo kampaním
Vybral uživatel v e-mailu odkazy?
Na jakém koncovém bodu se e-mail otevřel?
Spustila se datová část přílohy?
Došlo k dotyku nebo otevření cílové IP adresy nebo adresy URL?
Byl spuštěn škodlivý kód?
K jakým přihlášením došlo u účtu pro federovaný scénář?
K jakým přihlášením došlo u účtu pro spravovaný scénář?
Prozkoumání zdrojové IP adresy
Prošetření nalezeného ID zařízení
Prozkoumání jednotlivých ID aplikace

Kontrolní seznamy útoku phishing a dalších playbooků incidentů si také můžete stáhnout jako excelový soubor.

Postup prověřování

U tohoto šetření se předpokládá, že máte buď ukázkový phishingový e-mail, nebo jeho části, jako je adresa odesílatele, předmět e-mailu nebo části zprávy, abyste mohli zahájit šetření. Ujistěte se také, že jste dokončili nebo povolili všechna nastavení podle doporučení v části Požadavky .

Tento playbook se vytvoří se záměrem, že ne všichni zákazníci Microsoftu a jejich týmy pro šetření mají k dispozici úplnou sadu licencí Microsoft 365 E5 nebo Microsoft Entra ID P2 nebo nakonfigurovanou v tenantovi, který se prošetřuje. V případě potřeby však zvýrazníme další možnosti automatizace.

Získání seznamu uživatelů nebo identit, kteří dostali e-mail

V prvním kroku potřebujete získat seznam uživatelů a identit, kteří dostali phishingový e-mail. Cílem tohoto kroku je zaznamenat seznam potenciálních uživatelů a identit, které později použijete k iteraci pro další kroky šetření. V části Pracovní postup najdete diagram toku vysoké úrovně kroků, které je potřeba provést během tohoto šetření.

V tomto playbooku nedáváme žádná doporučení, jak chcete zaznamenat tento seznam potenciálních uživatelů nebo identit. V závislosti na velikosti šetření můžete pro větší šetření použít excelovou knihu, soubor CSV nebo dokonce databázi. Seznam identit v daném tenantovi můžete získat několika způsoby a tady je několik příkladů.

Vytvoření vyhledávání obsahu v Portál dodržování předpisů Microsoft Purview

Pomocí indikátorů, které jste shromáždili, můžete vytvořit a spustit vyhledávání obsahu. Pokyny najdete v tématu Vytvoření vyhledávání obsahu.

Úplný seznam prohledávatelných vlastností e-mailu najdete ve vlastnostech prohledávatelného e-mailu.

Následující příklad vrátí zprávy, které uživatelé obdrželi od 13. dubna 2022 do 14. dubna 2022 a které obsahují slova "akce" a "povinné" v řádku předmětu:

(Received:4/13/2022..4/14/2022) AND (Subject:'Action required')

Následující příklad dotazu vrátí zprávy, které byly odeslány chatsuwloginsset12345@outlook.com a které obsahují přesnou frázi "Aktualizovat informace o vašem účtu" v řádku předmětu.

(From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Další informace najdete v tématu hledání a odstraňování zpráv ve vaší organizaci.

Použití rutiny Search-Mailbox v Exchange Online PowerShellu

Pomocí rutiny Search-Mailbox v Prostředí Exchange Online PowerShell můžete také provést konkrétní dotaz na cílovou poštovní schránku, která vás zajímá, a zkopírovat výsledky do nesouvisející cílové poštovní schránky.

Následující příklad dotazu vyhledá poštovní schránku Jane Smith pro e-mail, který obsahuje frázi Faktura v předmětu a zkopíruje výsledky do složky IRMailbox ve složce s názvem Šetření.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

V tomto příkladu dotaz prohledá všechny poštovní schránky tenanta e-mail obsahující frázi InvoiceUrgent v předmětu a zkopíruje výsledky do složky IRMailbox ve složce "Šetření".

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Podrobné informace o syntaxiach

Je v poštovní schránce nakonfigurovaný delegovaný přístup?

Pomocí následujícího skriptu zkontrolujte, jestli je v poštovní schránce nakonfigurovaný delegovaný přístup: https://github.com/OfficeDev/O365-InvestigationTooling/blob/master/DumpDelegatesandForwardingRules.ps1.

Pokud chcete vytvořit tuto sestavu, spusťte malý skript PowerShellu, který získá seznam všech uživatelů. Potom pomocí rutiny Get-MailboxPermission vytvořte soubor CSV všech delegátů poštovní schránky ve vaší tenantské tenantce.

Hledejte neobvyklé názvy nebo udělení oprávnění. Pokud se zobrazí něco neobvyklého, obraťte se na vlastníka poštovní schránky a zkontrolujte, jestli je legitimní.

Jsou pro poštovní schránku nakonfigurovaná pravidla předávání?

Je potřeba zkontrolovat každou identifikovanou poštovní schránku pro přeposílání poštovní schránky (označovanou také jako přesměrování SMTP) nebo pravidla doručené pošty, která předávají e-mailové zprávy externím příjemcům (obvykle nově vytvořená pravidla doručené pošty).

  • Pokud chcete zkontrolovat všechny poštovní schránky pro přeposílání poštovních schránek, spusťte v Exchange Online PowerShellu následující příkaz:

    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited | Format-Table -Auto MicrosoftOnlineServicesID,ForwardingSmtpAddress,DeliverToMailboxAndForward | Export-csv C:\Temp\Forwarding.csv -NoTypeInformation

  • Pokud chcete zkontrolovat pravidla doručené pošty vytvořená v poštovních schránkách mezi zadanými daty, spusťte v Prostředí Exchange Online PowerShell následující příkaz:

    Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -ResultSize 5000 -RecordType exchangeadmin -Operations New-InboxRule | Export-csv NoTypeInformation -Path c:\temp\Inboxrulesoutput.csv

  • Můžete také použít sestavu automaticky přeposlaných zpráv v Centru pro správu Exchange (EAC). Pokyny najdete v tématu Sestava automaticky přeposlaných zpráv v Exchangi Online.

    Poznámky:

    • Hledejte neobvyklá cílová umístění nebo jakýkoli druh externího adresování.
    • Hledejte pravidla přeposílání s neobvyklými klíčovými slovy v kritériích, jako je například všechna pošta s textovou fakturou v předmětu. Obraťte se na vlastníka poštovní schránky a zkontrolujte, jestli je legitimní.

Kontrola pravidel doručené pošty

Zkontrolujte odebrání pravidel doručené pošty vzhledem k časovým razítkům v blízkosti vašeho šetření. Jako příklad použijte v Prostředí Exchange Online PowerShell následující příkaz:

Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -Operations Remove-InboxRule | Export-CSV NoTypeInformation -Path c:\temp\removedInboxRules.csv

Kontrola pravidel toku pošty Exchange (pravidla přenosu)

Seznam pravidel toku pošty Exchange (označovaných také jako pravidla přenosu) ve vaší organizaci můžete získat dvěma způsoby:

  1. V Centru pro správu Exchange nebo Exchange Online PowerShellu. Pokyny najdete v tématu Zobrazení nebo úprava pravidla toku pošty.
  2. Sestava pravidla přenosu Exchange v Centru pro správu Exchange. Pokyny najdete v tématu Sestava pravidla přenosu Exchange v Exchangi Online.

Hledejte nová pravidla nebo pravidla upravená tak, aby se pošta přesměrovala na externí domény. Počet pravidel by měl být známý a relativně malý. Můžete provést prohledávání protokolu auditu a určit, kdo pravidlo vytvořil a odkud ho vytvořil. Pokud se zobrazí něco neobvyklého, obraťte se na autora a zjistěte, jestli je legitimní.

Získání nejnovějších dat, kdy měl uživatel přístup k poštovní schránce

V Centru zabezpečení a dodržování předpisů Microsoftu 365 přejděte do sjednoceného protokolu auditu. V části Aktivity v rozevíracím seznamu můžete filtrovat podle aktivit poštovní schránky Exchange.

Možnost vypsat ohrožené uživatele je dostupná v Centru zabezpečení a dodržování předpisů Microsoftu 365.

Tato sestava ukazuje aktivity, které by mohly znamenat, že poštovní schránka je neoprávněně přístupná. Zahrnuje vytvořené nebo přijaté zprávy, přesunuté nebo odstraněné zprávy, zkopírované nebo vymazané zprávy, odeslané zprávy jménem nebo odeslání jako a všechna přihlášení poštovní schránky. Mezi data patří datum, IP adresa, uživatel, provedená aktivita, ovlivněná položka a všechny rozšířené podrobnosti.

Poznámka:

Aby se tato data zaznamenala, musíte povolit možnost auditování poštovní schránky.

Objem dat zahrnutých zde může být velmi podstatný, takže se zaměřte na vyhledávání na uživatele, kteří by v případě porušení zabezpečení měli velký dopad. Hledejte neobvyklé vzory, jako jsou liché časy dne nebo neobvyklé IP adresy, a hledejte vzory, jako jsou velké objemy přesunů, vyprázdnění nebo odstranění.

Přečetl /otevřel uživatel e-mail?

Existují dva hlavní případy:

  • Poštovní schránka je v Exchangi Online.
  • Poštovní schránka je v místním Exchangi (hybridní Exchange).

Otevřel uživatel Exchange Online e-mail.

Pomocí rutiny Search-Mailbox v Prostředí Exchange Online PowerShell proveďte konkrétní vyhledávací dotaz na cílovou poštovní schránku, která je zajímají, a zkopírujte výsledky do nesouvisející cílové poštovní schránky.

Následující příklad dotazu prohledá poštovní schránku Janes Smith pro e-mail, který obsahuje frázi Faktura v předmětu a zkopíruje výsledky do irMailbox ve složce s názvem Šetření.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Následující ukázkový dotaz vyhledá ve všech poštovních schránkách tenanta e-mail obsahující frázi InvoiceUrgent v předmětu a zkopíruje výsledky do složky IRMailbox ve složce Šetření.

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Otevřel uživatel e-mail v hybridním Exchangi.

Pomocí rutiny Get-MessageTrackingLog vyhledejte informace o doručení zpráv uložené v protokolu sledování zpráv. Tady je příklad:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2022 09:00:00" -End "03/15/2022 17:00:00" -Sender "john@contoso.com"

Podrobné informace o syntaxi a parametrech naleznete v tématu Get-MessageTrackingLog.

Kdo dostal stejný e-mail?

Existují dva hlavní případy:

  • Poštovní schránka je v Exchangi Online.
  • Poštovní schránka je v místním Exchangi (hybridní Exchange).

Pracovní postup je v podstatě stejný, jak je vysvětleno v části Získání seznamu uživatelů a identit, kteří dostali e-mailovou část dříve v tomto článku.

Vyhledání e-mailu v Exchangi Online

Použijte rutinu Search-Mailbox k provedení konkrétního vyhledávacího dotazu na cílovou poštovní schránku, kterou zajímá, a zkopírujte výsledky do nesouvisející cílové poštovní schránky.

Tento ukázkový dotaz vyhledá ve všech poštovních schránkách tenanta e-mail, který obsahuje předmět InvoiceUrgent v předmětu, a zkopíruje výsledky do složky IRMailbox ve složce s názvem Šetření.

Get-Mailbox | Search-Mailbox -SearchQuery "Subject:InvoiceUrgent" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Vyhledání e-mailu v místním Exchangi

Pomocí rutiny Get-MessageTrackingLog vyhledejte informace o doručení zpráv uložené v protokolu sledování zpráv. Tady je příklad:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -MessageSubject "InvoiceUrgent"

Podrobné informace o syntaxi a parametrech naleznete v tématu Get-MessageTrackingLog.

Obsahoval e-mail přílohu?

Existují dva hlavní případy:

  • Poštovní schránka je v Exchangi Online.
  • Poštovní schránka je v místním Exchangi (hybridní Exchange).

Zjištění, jestli zpráva obsahovala přílohu v Exchangi Online

Pokud je poštovní schránka v Exchangi Online, máte dvě možnosti:

  • Použití klasické rutiny Search-Mailbox
  • Použití rutiny New-ComplianceSearch

Použijte rutinu Search-Mailbox k provedení konkrétního vyhledávacího dotazu na cílovou poštovní schránku, kterou zajímá, a zkopírujte výsledky do nesouvisející cílové poštovní schránky. Tady je příklad:

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Podrobné informace o syntaxiach

Druhou možností je použít rutinu New-ComplianceSearch . Tady je příklad:

New-ComplianceSearch -Name "Investigation" -ExchangeLocation "Research Department" -ContentMatchQuery "from:pilar@contoso.com AND hasattachment:true"

Podrobné informace o syntaxi a parametrech najdete v tématu New-ComplianceSearch.

Zjistěte, jestli zpráva obsahovala přílohu v místním Exchangi.

Poznámka:

V Systému Exchange Server 2013 vyžaduje tento postup kumulativní aktualizaci 12 (CU12) nebo novější. Další informace najdete v tomto článku.

Pomocí rutiny Search-Mailbox vyhledejte informace o doručení zpráv uložené v protokolu sledování zpráv. Tady je příklad:

Search-Mailbox -Identity "Jane Smith"-SearchQuery AttachmentNames:attachment_name -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Podrobné informace o syntaxiach

Byla v příloze datová část?

Vyhledejte potenciální škodlivý obsah v příloze. Například soubory PDF, obfuskované PowerShell nebo jiné kódy skriptů.

Zobrazení dat podle malwaru e-mailu > v sestavě stavu Ochrany před hrozbami zobrazuje počet příchozích a odchozích zpráv, které byly zjištěny jako obsahující malware pro vaši organizaci. Další informace najdete v tématu Sestava stavu ochrany před hrozbami: Zobrazení dat podle malwaru e-mailu>.

Kontrola skutečného zdroje odesílatele v záhlaví e-mailu

Mnoho součástí funkce trasování zpráv je samovysvětlované, ale potřebujete důkladně porozumět ID zprávy. ID zprávy je jedinečný identifikátor e-mailové zprávy.

Pokud chcete získat ID zprávy pro e-mail, který vás zajímá, je potřeba zkontrolovat nezpracovaná záhlaví e-mailu. Pokyny k tomu, jak to udělat v Microsoft Outlooku nebo Outlooku na webu (dříve Označované jako Outlook Web App nebo OWA) najdete v tématu Zobrazení záhlaví internetových zpráv v Outlooku.

Při prohlížení záhlaví e-mailu se doporučuje zkopírovat a vložit informace záhlaví do analyzátoru záhlaví e-mailu, který poskytuje MXToolbox nebo Azure , aby byly čitelné.

  • Informace o směrování hlaviček: Informace o směrování poskytují trasu e-mailu při přenosu mezi počítači.

  • SPF (Sender Policy Framework): Ověření e-mailu, které pomáhá zabránit nebo zjistit falšování identity. V záznamu SPF můžete určit, které IP adresy a domény můžou posílat e-maily jménem domény.

  • SPF = Pass: Záznam SPF TXT určil, že odesílatel může odesílat jménem domény.

    • SPF = neutrální
    • SPF = Selhání: Konfigurace zásad určuje výsledek IP adresy odesílatele zprávy.
    • Pošta SMTP: Ověřte, jestli se jedná o legitimní doménu.

    Další informace o SPF najdete v tématu Jak Microsoft 365 používá SPF k prevenci falšování identity.

  • Běžné hodnoty: Tady je rozpis nejčastěji používaných a zobrazených hlaviček a jejich hodnot. Jedná se o cenné informace a můžete je použít v vyhledávacích polích v Průzkumníku hrozeb.

    • Adresa odesílatele
    • Předmět
    • ID zprávy
    • Adresa
    • Adresa zpáteční cesty

  • Výsledky ověřování: Můžete zjistit, co váš e-mailový klient ověřil při odeslání e-mailu. Poskytne vám ověřování SPF a DKIM.

  • Původní IP adresa: Původní IP adresu lze použít k určení, jestli je IP adresa zablokovaná, a získat geografické umístění.

  • Úroveň spolehlivosti spamu (SCL): Určuje pravděpodobnost příchozího e-mailu jako spam.

    • -1: Obejití většiny filtrování spamu od bezpečného odesílatele, bezpečného příjemce nebo bezpečné ip adresy uvedené v seznamu (důvěryhodný partner)
    • 0, 1: Spam, protože zpráva byla zkontrolována a určena k vyčištění
    • 5, 6: Spam
    • 7, 8, 9: Vysoká spolehlivost spamu

Záznam SPF je uložený v databázi DNS a je součástí informací o vyhledávání DNS. Záznam SPF (Sender Policy Framework) pro doménu můžete ručně zkontrolovat pomocí příkazu nslookup :

  1. Otevřete příkazový řádek (Spustit > příkaz > cmd).

  2. Zadejte příkaz jako: nslookup -type=txt" mezeru a pak název domény nebo hostitele. Příklad:

     nslookup -type=txt domainname.com

Poznámka:

-all (odmítnout nebo je selhat – neodručujte e-mail, pokud se něco neshoduje), doporučujeme.

Zkontrolujte, jestli je ve vašich vlastních doménách v Microsoftu 365 povolený DKIM.

Musíte publikovat dva záznamy CNAME pro každou doménu, do které chtějí přidat identifikovanou poštu (DKIM). Zjistěte, jak pomocí DKIM ověřit odchozí e-maily odeslané z vaší vlastní domény.

Kontrola ověřování zpráv založených na doméně, vytváření sestav a souladu (DMARC)

Pomocí této funkce můžete ověřit odchozí e-maily v Microsoftu 365.

Ověření IP adres útočníkům nebo kampaním

Pokud chcete ověřit nebo prozkoumat IP adresy, které byly identifikovány z předchozích kroků šetření, můžete použít některou z těchto možností:

  • Virustotal
  • Microsoft Defender for Endpoint
  • Veřejné zdroje:
    • Ipinfo.io – má bezplatnou možnost získat geografickou polohu
    • Censys.io - Má bezplatnou možnost získat informace o tom, co jejich pasivní skenování z internetu znají
    • AbuseIPDB.com – má bezplatnou možnost, která poskytuje určitou geografickou polohu.
    • Zeptejte se Bingu a Googlu – Vyhledávání na IP adrese

Reputace adresy URL

Můžete použít libovolné zařízení s Windows 10 a prohlížeč Microsoft Edge, který využívá technologii SmartScreen .

Tady je několik příkladů reputace adresy URL třetích stran.

Při zkoumání IP adres a adres URL vyhledejte a korelujte IP adresy s indikátory ohrožení zabezpečení (IOC) nebo jiných indikátorů v závislosti na výstupu nebo výsledcích a přidejte je do seznamu zdrojů od nežádoucího uživatele.

Pokud uživatel kliknul na odkaz v e-mailu (účelově nebo ne), pak tato akce obvykle vede k vytvoření nového procesu na samotném zařízení. V závislosti na zařízení, které bylo provedeno, potřebujete provést šetření specifická pro zařízení. Například Windows vs. Android vs. iOS. V tomto článku jsme popsali obecný přístup spolu s některými podrobnostmi o zařízeních s Windows. Pokud používáte Microsoft Defender for Endpoint (MDE), můžete ho také využít pro iOS a brzy Android.

Tyto události můžete prozkoumat pomocí programu Microsoft Defender for Endpoint.

  1. Protokoly VPN/proxy serveru v závislosti na dodavateli proxy serveru a řešení VPN je potřeba zkontrolovat příslušné protokoly. V ideálním případě události předáváte do systému SIEM nebo Microsoft Sentinelu.

  2. Použití programu Microsoft Defender for Endpoint Toto je nejlepší scénář, protože můžete použít naši analýzu hrozeb a automatizovanou analýzu, která vám pomůže prozkoumat. Další podrobnosti najdete v tématu zkoumání výstrah v programu Microsoft Defender for Endpoint.

    Strom procesu výstrahy provádí třídění výstrah a šetření na další úrovni, zobrazuje agregované výstrahy a okolní důkazy, ke kterým došlo ve stejném kontextu spuštění a časovém období. Example of the alert process tree

  3. Na klientských zařízeních s Windows se ujistěte, že jste povolili možnost Události vytváření procesů. V ideálním případě byste také měli povolit události trasování příkazového řádku.

    Na klientech Windows, kteří mají před šetřením povolené výše uvedené události auditu, můžete zkontrolovat událost auditování 4688 a určit čas doručení e-mailu uživateli:

    Example of Audit Event 4688

    Another example of Audit Event 4688

Na jakém koncovém bodu se e-mail otevřel?

Tady jsou úlohy podobné předchozímu kroku šetření: Klikl uživatel v e-mailu na odkazy?

Spustila se připojená datová část?

Tady jsou úlohy podobné předchozímu kroku šetření: Klikl uživatel v e-mailu na odkazy?

Došlo k dotyku cílové IP adresy nebo adresy URL?

Tady jsou úlohy podobné předchozímu kroku šetření: Klikl uživatel v e-mailu na odkazy?

Byl spuštěn škodlivý kód?

Tady jsou úlohy podobné předchozímu kroku šetření: Klikl uživatel v e-mailu na odkazy?

K jakým přihlášením došlo u účtu?

Zkontrolujte různé přihlášení, ke kterým došlo u účtu.

Federovaný scénář

Nastavení protokolu auditu a události se liší na základě úrovně operačního systému (OS) a verze serveru Active Directory Federation Services (AD FS) (ADFS).

V následujících částech najdete různé verze serveru.

Server 2012 R2

Ve výchozím nastavení nejsou události zabezpečení auditovány na Serveru 2012 R2. Tuto funkci musíte povolit na každém serveru služby AD FS ve farmě. V konzole pro správu ADFS vyberte Upravit vlastnosti služby FS.

federatedproperties

Musíte také povolit zásady auditování operačního systému.

Otevřete příkazový řádek a spusťte následující příkaz jako správce.

auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

Další podrobnosti najdete v tématu konfigurace serverů ADFS pro řešení potíží.

Moduly ADFS PowerShellu si můžete také stáhnout z:

Server 2016 a novější

Ve výchozím nastavení má ADFS ve Windows Serveru 2016 povolené základní auditování. Při základním auditování můžou správci zobrazit pět nebo méně událostí pro jeden požadavek. Úroveň auditování ale můžete zvýšit nebo snížit pomocí tohoto příkazu:

Set-AdfsProperties -AuditLevel Verbose

Další podrobnosti najdete v tématu Vylepšení auditování ADFS na Windows Serveru.

Pokud máte nainstalovaný Microsoft Entra Připojení Health, měli byste se také podívat na sestavu rizikových IP adres. IP adresy klienta neúspěšné přihlašovací aktivity se agregují prostřednictvím proxy serverů webových aplikací. Každá položka v sestavě rizikových IP adres zobrazuje agregované informace o neúspěšných aktivitách přihlášení služby AD FS, které překračují určenou prahovou hodnotu.

Example of the risky IP report

Další podrobnosti najdete v tématu Sestava rizikových IP adres.

Server 2012 R2

ID události 342 – Uživatelské jméno nebo heslo jsou v protokolech správce ADFS nesprávné.

U skutečných událostí auditu se musíte podívat na protokoly událostí zabezpečení a měli byste hledat události s ID události 411 pro klasické selhání auditu se zdrojem jako auditování ADFS. Vyhledejte také ID události 412 při úspěšném ověření.

Ověření tokenu Event ID 411 - SecurityTokenValidationFailureAudit se nezdařilo. Další podrobnosti najdete ve vnitřní výjimce.

Example of an event 411

Example of an event 412

Možná budete muset korelovat událost s odpovídajícím ID události 501.

Server 2016 a novější

U skutečných událostí auditu se potřebujete podívat na protokoly událostí zabezpečení a měli byste vyhledat události s ID události 1202 pro úspěšné události ověřování a 1203 v případě selhání.

Příklad události s ID 1202:

ID události 1202 FreshCredentialSuccessAudit Federační služba ověřila nové přihlašovací údaje. Podrobnosti najdete v souboru XML.

Příklad pro ID události 1203:

Id události 1203 FreshCredentialFailureAudit Federační služba se nepodařilo ověřit nové přihlašovací údaje. Podrobnosti o selhání najdete v souboru XML.

Example of an event 1203

Example of an event 4624

Úplný seznam ID události ADFS na úrovni operačního systému získáte v části GetADFSEventList.

Spravovaný scénář

Zkontrolujte protokoly přihlášení Microsoft Entra pro uživatele, které prošetřujete.

V Centru pro správu Microsoft Entra přejděte na obrazovku Přihlášení a přidejte nebo upravte filtr zobrazení pro časový rámec, který jste našli v předchozích krocích šetření, a přidejte uživatelské jméno jako filtr, jak je znázorněno na tomto obrázku.

Example of a display filter

Můžete také vyhledávat pomocí rozhraní Graph API. Můžete například filtrovat vlastnosti uživatele a získat spolu s ním lastSignInDate . Vyhledejte konkrétního uživatele, aby získal datum posledního přihlášení tohoto uživatele. Například https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'Dhanyah')&$select=displayName,signInActivity

Nebo můžete pomocí příkazu Get-AzureADUserLastSignInActivity PowerShellu získat poslední interaktivní přihlašovací aktivitu uživatele, na kterou cílí JEHO ID objektu. Tento příklad zapíše výstup do souboru CSV s razítkem data a času v adresáři spuštění.

Get-AzureADUserLastSignInActivity -TenantId 536279f6-1234-2567-be2d-61e352b51eef -UserObjectId 69447235-0974-4af6-bfa3-d0e922a92048 -CsvOutput

Nebo můžete použít tento příkaz z modulu AzureADIncidentResponse PowerShellu:

Get-AzureADIRSignInDetail -UserId johcast@Contoso.com -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3

Prozkoumání zdrojové IP adresy

Na základě zdrojových IP adres, které jste našli v protokolech přihlašování Microsoft Entra nebo v souborech protokolů federačního serveru ADFS nebo federačního serveru, zjistěte, odkud provoz pochází.

Spravovaný uživatel

V případě spravovaného scénáře byste se měli začít dívat na protokoly přihlášení a filtrovat na základě zdrojové IP adresy:

Example of a managed user IP address]

Nebo můžete použít tento příkaz z modulu AzureADIncidentResponse PowerShellu:

Get-AzureADIRSignInDetail -IpAddress 1.2.3.4 -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3 -OutGridView

Když se podíváte do seznamu výsledků, přejděte na kartu Informace o zařízení. V závislosti na použitém zařízení se zobrazí různý výstup. Tady je pár příkladů:

  • Příklad 1 – Nespravované zařízení (BYOD):

    Example of a unmanaged device

  • Příklad 2 – Spravované zařízení (připojení Microsoft Entra nebo hybridní připojení Microsoft Entra):

    Example of a managed device

Zkontrolujte ID zařízení, pokud je k dispozici. Měli byste také vyhledat operační systém a prohlížeč nebo řetězec UserAgent .

Example of a device ID

Zaznamená ID korelace, ID požadavku a časové razítko. K korelaci zjištění s jinými událostmi byste měli použít ID korelace a časové razítko Korelace.

Federovaný uživatel nebo aplikace

Postupujte podle stejného postupu, který je k dispozici pro scénář federovaného přihlašování.

Vyhledejte a poznamenejte id zařízení, úroveň operačního systému, ID korelace a ID požadavku.

Prozkoumání identifikovaného ID zařízení

Tento krok je relevantní pouze pro zařízení, která jsou známá pro Microsoft Entra ID. Pokud jste například v předchozích krocích našli jedno nebo více potenciálních ID zařízení, můžete na tomto zařízení dále prozkoumat. Vyhledejte a poznamenejte si ID zařízení a vlastníka zařízení.

Prozkoumání jednotlivých ID aplikace

Výchozím bodem jsou protokoly přihlášení a konfigurace aplikace tenanta nebo konfigurace federačních serverů.

Spravovaný scénář

Z dříve nalezených podrobností protokolu přihlášení zkontrolujte ID aplikace na kartě Základní informace :

managedscenario

Všimněte si rozdílů mezi aplikací (a ID) a prostředkem (a ID). Aplikace je součástí klientské komponenty, zatímco prostředek je služba / aplikace v Microsoft Entra ID.

Pomocí tohoto ID aplikace teď můžete provádět průzkum v tenantovi. Tady je příklad:

Get-MgApplication -Filter "AppId eq '30d4cbf1-c561-454e-bf01-528cd5eafd58'"

Id                                       AppId                                    DisplayName

3af6dc4e-b0e5-45ec-8272-56f3f3f875ad     30d4cbf1-c561-454e-bf01-528cd5eafd58     Claims X-Ray

Pomocí těchto informací můžete hledat na portálu Podnikové aplikace. Přejděte do části Všechny aplikace a vyhledejte konkrétní ID aplikace.

Example of an application ID

Další playbooky reakce na incidenty

Projděte si pokyny k identifikaci a prošetřování těchto dalších typů útoků:

Zdroje informací o reakcích na incidenty