Vyšetřování útoků phishing

Tento článek obsahuje pokyny k identifikaci a vyšetřování útoků phishing ve vaší organizaci. Podrobné pokyny vám pomůžou provést požadovanou nápravu, která chrání informace a minimalizuje další rizika.

Tento článek obsahuje následující části:

  • Požadavky: Popisuje konkrétní požadavky, které je potřeba splnit před zahájením šetření. Například protokolování, které by mělo být zapnuté, role a požadovaná oprávnění, mimo jiné.
  • Pracovního postupu: Zobrazuje logický tok, který byste měli použít k provedení tohoto šetření.
  • Kontrolní seznam: Obsahuje seznam úkolů pro každý z kroků ve vývojovém diagramu. Tento kontrolní seznam může být užitečný ve vysoce regulovaných prostředích k ověření toho, co jste udělali, nebo jednoduše jako kvalitní bránu pro sebe.
  • Postup šetření: Obsahuje podrobné pokyny pro toto konkrétní šetření.

Požadavky

Tady jsou obecná nastavení a konfigurace, které byste měli dokončit, než budete pokračovat v vyšetřování útoků phishing.

Podrobnosti o účtu

Než budete pokračovat v šetření, doporučujeme, abyste měli uživatelské jméno, hlavní název uživatele (UPN) nebo e-mailovou adresu účtu, u kterého máte podezření, že došlo k ohrožení zabezpečení.

Microsoft 365 základní požadavky

Ověření nastavení auditování

Ověřte, že je auditování poštovní schránky ve výchozím nastavení zapnuté. Pokud se chcete ujistit, že je pro vaši organizaci zapnuté auditování poštovních schránek, spusťte v Microsoft Exchange Online PowerShellu následující příkaz:

Get-OrganizationConfig | Format-List AuditDisabled

Hodnota False označuje, že auditování poštovních schránek je ve výchozím nastavení pro organizaci povolené. Toto nastavení je ve výchozím nastavení zapnuté v organizaci a přepíše nastavení auditování poštovních schránek u konkrétních poštovních schránek. Pokud je například auditování poštovních schránek pro poštovní schránku zakázané (vlastnost AuditEnabled je u poštovní schránky false ), budou se u poštovní schránky stále auditovat výchozí akce poštovní schránky, protože auditování poštovní schránky je ve výchozím nastavení pro organizaci povolené.

Poznámka

Pokud jste tenanta vytvořili PŘED 2019, měli byste povolit auditování poštovní schránky a všechna nastavení auditování . Podívejte se, jak povolit auditování poštovních schránek.

Ověření nastavení auditování poštovní schránky v tenantovi

Pokud chcete ověřit všechny poštovní schránky v daném tenantovi, spusťte v Exchange Online PowerShellu následující příkaz:

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Pokud je povoleno auditování poštovní schránky, použijí se výchozí akce protokolování poštovní schránky:

  • AuditLogAgeLimit: 90 dnů
  • AuditAdmin:(Actions): Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendonBehalf, Create
  • AuditDelegate:(Actions): Update, SoftDelete, HardDelete, SendAs, Create
  • AuditOwner: (Akce) {}

Pokud chcete povolit nastavení pro konkrétní uživatele, spusťte následující příkaz. V tomto příkladu je johndoe@contoso.comuživatel .

Get-Mailbox -Identity "johndoe" | Set-Mailbox -AuditEnabled $true

Trasování zpráv

Protokoly trasování zpráv jsou neocenitelné komponenty pro trasování zpráv, které jsou zajímavé, abyste pochopili původní zdroj zprávy i zamýšlené příjemce. Funkci MessageTrace můžete použít prostřednictvím portálu Microsoft Exchange Online nebo rutiny Get-MessageTrace PowerShellu.

Několik součástí MessageTrace funkce jsou self-vysvětlující, ale Message-ID je jedinečný identifikátor e-mailové zprávy a vyžaduje důkladné pochopení. Abychom získali ID zprávy pro e-mail , který nás zajímá, musíme prozkoumat nezpracovaná záhlaví e-mailů.

centrum zabezpečení a dodržování předpisů Microsoft 365

Pokud chcete zkontrolovat, jestli uživatel zobrazil konkrétní dokument nebo vymazaný položku ve své poštovní schránce, můžete použít Office 365 Security & Compliance Center a zkontrolovat oprávnění a role uživatelů a správců.

Můžete také prohledat jednotný protokol auditu a zobrazit všechny aktivity uživatele a správce ve vaší Office 365 organizaci.

Exportují se protokoly přihlášení nebo protokoly auditu do externího systému?

Vzhledem k tomu, že se většina přihlašovacích údajů a auditování Azure Active Directory (Azure AD) přepíše po 30 nebo 90 dnech, Microsoft doporučuje využít sentinel, Azure Monitor nebo externí siem.

Požadované role a oprávnění

Role v Azure AD

Pro účet, který použijete k provedení šetření, doporučujeme povolit následující role:

Role v centru zabezpečení a dodržování předpisů Microsoft 365

Obecně platí, že role Globální čtenář nebo Čtenář zabezpečení by vám měla udělit dostatečná oprávnění k prohledávání příslušných protokolů.

Poznámka

Pokud má uživatel na stránce Oprávnění v Centru dodržování předpisů zabezpečení & roli Protokoly auditu jenom pro zobrazení nebo Protokoly auditu, nebude moct prohledávat protokol auditu Office 365. V tomto scénáři musíte přiřadit oprávnění v Exchange Online, protože k prohledávání protokolu se používá rutina Exchange Online.

Pokud jste implementovali řízení přístupu na základě role (RBAC) v Exchange nebo si nejste jistí, jakou roli v Exchange potřebujete, můžete pomocí PowerShellu získat role požadované pro jednotlivé Exchange rutinu PowerShellu:

$Perms | foreach {Get-ManagementRoleAssignment -Role $_.Name -Delegating $false | Format-Table -Auto Role,RoleAssigneeType,RoleAssigneeName}

Další informace najdete v tématu oprávnění požadovaná ke spuštění jakékoli rutiny Exchange.

Microsoft Defender for Endpoint

Pokud máte Microsoft Defender for Endpoint (MDE) povolené a už máte nasazené, měli byste ho pro tento tok využít. Podívejte se na řešení útoků phishing se sdílením signálů a strojovým učením.

Požadavky na systém

Požadavky na hardware

Systém by měl být schopný spustit PowerShell.

Požadavky na software

Pro šetření cloudového prostředí se vyžadují následující moduly PowerShellu:

  • Azure AD
  • Azure AD Preview v některých případech
  • MS Online pro Office 365
  • Exchange připojení k Exchange pro využití jednotných hledání v protokolu auditování (pravidla doručené pošty, trasování zpráv, pravidla předávání, delegování poštovních schránek atd.)
  • Reakce na incidenty Azure AD

Pokud používáte příkazy Azure AD, které nejsou součástí integrovaných modulů v Azure, potřebujete modul MSOnline, což je stejný modul, který se používá pro Office 365. Pokud chcete pracovat s Azure AD (která obsahuje sadu funkcí) z PowerShellu, nainstalujte modul Azure AD.

Instalace různých modulů PowerShellu

Instalace modulu Azure AD PowerShellu

Pokud chcete nainstalovat modul Azure AD PowerShell, postupujte takto:

  1. Spusťte aplikaci Windows PowerShell se zvýšenými oprávněními (spusťte ji jako správce).

  2. Pokud chcete PowerShellu povolit spouštění podepsaných skriptů, spusťte následující příkaz:

    Set-ExecutionPolicy RemoteSigned
    
  3. Pokud chcete nainstalovat modul Azure AD, spusťte následující příkaz:

    Install-Module -Name AzureAD -Verbose
    

    Poznámka

    Pokud se zobrazí výzva k instalaci modulů z nedůvěryhodného úložiště, zadejte Y a stiskněte Enter.

Instalace modulu MSOnline PowerShellu

Chcete-li nainstalovat modul MSOnline PowerShell, postupujte takto:

  1. Spusťte aplikaci Windows PowerShell se zvýšenými oprávněními (spusťte ji jako správce).

  2. Pokud chcete PowerShellu povolit spouštění podepsaných skriptů, spusťte následující příkaz:

    Set-ExecutionPolicy RemoteSigned
    
  3. Pokud chcete nainstalovat modul MSOnline, spusťte následující příkaz:

    Install-Module -Name MSOnline -Verbose
    

    Poznámka

    Pokud se zobrazí výzva k instalaci modulů z nedůvěryhodného úložiště, zadejte Y a stiskněte Enter.

Instalace modulu Exchange PowerShellu

Postupujte podle pokynů k instalaci Exchange PowerShellu s vícefaktorovým ověřováním (MFA). Musíte mít přístup k tenantovi, abyste si mohli modul Exchange Online PowerShell stáhnout z karty Hybridní v Centru pro správu Exchange (EAC).

Jakmile nakonfigurujete požadovaná nastavení, můžete pokračovat v šetření.

Instalace modulu reakce na incidenty Azure AD

Nový modul PowerShellu AzureADIncidentResponse poskytuje bohaté možnosti filtrování pro incidenty Azure AD. Pomocí těchto kroků ho nainstalujte.

  1. Spusťte aplikaci Windows PowerShell se zvýšenými oprávněními (spusťte ji jako správce).

  2. Použijte tento příkaz.

    Install-Module -Name AzureADIncidentResponse -RequiredVersion 4.0
    

    Poznámka

    Pokud se zobrazí výzva k instalaci modulů z nedůvěryhodného úložiště, zadejte Y a stiskněte Enter.

Pracovního postupu

Phishing investigation workflow

Můžete také:

  • Stáhněte si pracovní postupy playbooku pro útok phishing a další reakce na incidenty ve formátu PDF.
  • Stáhněte si pracovní postupy playbooku pro útok phishing a další reakce na incidenty jako Visio soubor.

Kontrolní seznam

Tento kontrolní seznam vám pomůže vyhodnotit proces šetření a ověřit, jestli jste během šetření dokončili všechny kroky:

  • Kontrola počátečního podvodného e-mailu
  • Získání seznamu uživatelů, kteří dostali tento e-mail
  • Získání nejnovějších dat, kdy měl uživatel přístup k poštovní schránce
  • Je pro poštovní schránku nakonfigurovaný delegovaný přístup?
  • Je pro poštovní schránku nakonfigurované pravidlo předávání?
  • Kontrola pravidel přenosu pošty
  • Vyhledání e-mailů
  • Přečetl nebo otevřel uživatel e-mail?
  • Kdo jiný dostal stejný e-mail?
  • Obsahoval e-mail přílohu?
  • Byla v příloze datová část?
  • Kontrola skutečného zdroje odesílatele v záhlaví e-mailu
  • Ověření IP adres útočníkům nebo kampaním
  • Klikl uživatel na odkaz v e-mailu?
  • Na jakém koncovém bodu byl e-mail otevřen?
  • Byla datová část přílohy provedena?
  • Byla cílová IP adresa nebo adresa URL dotykem nebo otevřena?
  • Byl proveden škodlivý kód?
  • K jakým přihlášením došlo s účtem pro federovaný scénář?
  • K jakým přihlášením došlo s účtem pro spravovaný scénář?
  • Prozkoumání zdrojové IP adresy
  • Prošetření nalezeného ID zařízení
  • Prošetřovat ID každé aplikace

Kontrolní seznamy pro útok phishing a další incidenty si můžete stáhnout také jako soubor Excel.

Postup šetření

Při tomto šetření se předpokládá, že máte buď ukázkový phishingový e-mail, nebo jeho části, jako je adresa odesílatele, předmět e-mailu nebo části zprávy, abyste mohli zahájit šetření. Ujistěte se také, že jste dokončili nebo povolili všechna nastavení podle doporučení v části Požadavky .

Tento playbook se vytvoří s úmyslem, že ne všichni zákazníci Microsoftu a jejich vyšetřovací týmy budou mít k dispozici úplnou Microsoft 365 E5 nebo Azure AD Premium P2 sadu licencí nebo nakonfigurují v tenantovi, který se zkoumá. V případě potřeby ale zvýrazníme další možnosti automatizace.

Získání seznamu uživatelů nebo identit, kteří dostali e-mail

Jako první krok musíte získat seznam uživatelů / identit, kteří dostali phishingový e-mail. Cílem tohoto kroku je zaznamenat seznam potenciálních uživatelů nebo identit, které později použijete k iteraci pro další kroky šetření. V části Pracovní postup najdete podrobný diagram toku kroků, které je potřeba během tohoto šetření provést.

V tomto playbooku neuvádíme žádná doporučení ohledně toho, jak chcete zaznamenat tento seznam potenciálních uživatelů nebo identit. V závislosti na velikosti vyšetřování můžete využít Excel knihu, soubor CSV nebo dokonce databázi pro rozsáhlejší šetření. Existuje několik způsobů, jak získat seznam identit v daném tenantovi, a tady je několik příkladů.

Vytvoření filtru vyhledávání v centru dodržování předpisů zabezpečení &

V Microsoft 365 přejděte do Centra dodržování předpisů zabezpečení & a pomocí indikátorů, které jste zadali, vytvořte nový filtr vyhledávání. Postupujte podle pokynů k vytvoření filtru vyhledávání.

Úplný seznam prohledávatelných vzorů v Centru dodržování předpisů zabezpečení & najdete v článku o prohledávatelných vlastnostech e-mailu.

Vzorové vyhledávací vzory

Následující ukázkový dotaz vrátí zprávy, které uživatelé přijali od 13. dubna 2016 do 14. dubna 2016 a které v řádku předmětu obsahují slova "action" a "required":

(Received:4/13/2016..4/14/2016) AND (Subject:'Action required')

Následující ukázkový dotaz vrátí zprávy odeslané chatsuwloginsset12345@outlook[.] a které obsahují přesnou frázi "Aktualizovat informace o účtu" v řádku předmětu.

(From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Další podrobnosti najdete v tématu hledání a odstraňování zpráv ve vaší organizaci.

Použití rutiny Search-Mailbox

Pomocí této rutiny můžete Search-mailbox provést konkrétní vyhledávací dotaz na cílovou poštovní schránku, která vás zajímá, a zkopírovat výsledky do nesouvisející cílové poštovní schránky.

Následující příklad dotazu vyhledá v poštovní schránce Jana Nováková e-mail obsahující frázi Faktura v předmětu a zkopíruje výsledky do složky IRMailbox ve složce s názvem Šetření.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

V tomto ukázkovém příkazu dotaz vyhledá ve všech poštovních schránkách tenanta e-mail obsahující frázi InvoiceUrgent v předmětu a zkopíruje výsledky do složky IRMailbox ve složce s názvem Šetření.

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Je pro poštovní schránku nakonfigurovaný delegovaný přístup?

Podívejte se, jak zkontrolovat, jestli je pro poštovní schránku nakonfigurovaný delegovaný přístup.

Pokud chcete vytvořit tuto sestavu, spusťte malý skript PowerShellu, který získá seznam všech uživatelů. Potom pomocí rutiny Get-MailboxPermission vytvořte soubor CSV všech delegátů poštovní schránky v tenantovi.

Vyhledejte neobvyklé názvy nebo udělení oprávnění. Pokud se zobrazí něco neobvyklého, obraťte se na vlastníka poštovní schránky a zkontrolujte, jestli je legitimní.

Jsou pro poštovní schránku nakonfigurovaná pravidla pro přeposílání?

V tomto kroku musíte zkontrolovat každou poštovní schránku, která byla dříve identifikována pro pravidla předávání nebo pravidla doručené pošty. Pro pravidla předávání použijte následující příkaz PowerShellu:

Get-Mailbox | select UserPrincipalName,ForwardingSmtpAddress,DeliverToMailboxAndForward | Export-csv c:\temp\Forwarding.csv -NoTypeInformation

Tady je příklad dotazu:

Search-UnifiedAuditLog -startdate 12/16/2019 -EndDate 03/16/2019 -ResultSize 5000 -recordtype exchangeadmin -Operations New-InboxRule |Export-csv NoTypeInformation -Path c:\temp\Inboxrulesoutput.csv

Kromě toho můžete sestavu Doručená pošta a Pravidla přeposílání využít také v centru dodržování předpisů Office 365 zabezpečení&.

  1. Přejděte do Prohlížeče sestav řídicího panelu > – Dodržování předpisů zabezpečení&.

  2. Vyhledejte neobvyklá cílová umístění nebo jakýkoli druh externího adresování.

  3. Hledejte také pravidla přeposílání s neobvyklými klíčovými slovy v kritériích, jako je například veškerá pošta se slovem faktura v předmětu. Obraťte se na vlastníka poštovní schránky a zkontrolujte, jestli je legitimní.

Kontrola pravidel doručené pošty

Kromě toho zkontrolujte odebrání pravidel doručené pošty. Jako příklad použijte následující commmand PowerShellu:

Search-UnifiedAuditLog -startDate 12/16/2019 -EndDate 03/16/2020 -Operations Remove-InboxRule |Export-CSV NoTypeInformation -Path c:\temp\removedInboxRules.csv

Vyhledejte pravidla doručené pošty, která byla odebrána, zvažte časová razítka v blízkosti vyšetřování.

Kontrola pravidel přenosu pošty

Seznam pravidel přenosu můžete získat dvěma způsoby.

  1. V Centru pro správu Exchange přejděte na Pravidla Flow > pošty>.
  2. V Centru dodržování předpisů zabezpečení & Office 365 přejděte na Dodržování předpisů prohlížeče >& sestav řídicího panelu – Exchange sestavu přenosového pravidla a vytvořte sestavu.

V souhrnném zobrazení sestavy se zobrazí seznam všech pravidel přenosu pošty, která jste nakonfigurovali pro tenanta. Když vyberete libovolné pravidlo, zobrazí se podrobnosti pravidla v podokně Souhrn napravo, které obsahuje kvalifikující kritéria a akci, která se provede, když se podmínka pravidla shoduje.

Vyhledejte nová pravidla nebo pravidla, která byla změněna tak, aby přesměrovala poštu na externí domény. Počet pravidel by měl být relativně malý, abyste mohli udržovat seznam známých dobrých pravidel. Pokud vytvoříte nové pravidlo, měli byste pro tuto událost vytvořit novou položku v sestavě auditování. V sestavě můžete vyhledat, kdo pravidlo vytvořil a odkud ho vytvořil. Pokud se zobrazí něco neobvyklého, obraťte se na autora a zjistěte, jestli je legitimní.

Získání nejnovějších dat, kdy měl uživatel přístup k poštovní schránce

V centru dodržování předpisů zabezpečení & Office 365 přejděte na jednotný protokol auditu. V rozevíracím seznamu Aktivity můžete filtrovat podle Exchange aktivity poštovní schránky.

Možnost zobrazit seznam ohrožených uživatelů je dostupná v centru dodržování předpisů zabezpečení Microsoft 365&.

Tato sestava zobrazuje aktivity, které by mohly indikovat nedovolený přístup k poštovní schránce. Zahrnuje vytvořené nebo přijaté zprávy, přesunuté nebo odstraněné zprávy, zkopírované nebo vymazané zprávy, odeslané zprávy pomocí odesílání jménem nebo odeslání jako a všechna přihlášení k poštovní schránce. Data zahrnují datum, IP adresu, uživatele, provedenou aktivitu, ovlivněnou položku a všechny rozšířené podrobnosti.

Poznámka

Aby se tato data zaznamenávala, musíte povolit možnost auditování poštovní schránky .

Objem zde obsažených dat může být velmi podstatný, proto se zaměřte na uživatele, u kterých by byl velký dopad, pokud by došlo k porušení zabezpečení. Hledejte neobvyklé vzory, jako jsou liché časy dne nebo neobvyklé IP adresy, a hledejte vzory, jako jsou velké objemy přesunů, vymazání nebo odstranění.

Přečetl nebo otevřel uživatel e-mail?

Tady jsou dva hlavní případy:

  • Microsoft Exchange Online
  • Hybridní Exchange s místními Exchange servery

Microsoft Exchange Online

Search-Mailbox Pomocí rutiny proveďte konkrétní vyhledávací dotaz na cílovou poštovní schránku, která je zajímá, a zkopírujte výsledky do nesouvisející cílové poštovní schránky.
Následující příklad dotazu vyhledá poštovní schránku Jana Nováková v e-mailu, který obsahuje frázi Faktura v předmětu, a zkopíruje výsledky do složky IRMailbox ve složce s názvem Šetření.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Následující ukázkový dotaz vyhledá ve všech poštovních schránkách tenanta e-mail obsahující frázi InvoiceUrgent v předmětu a zkopíruje výsledky do složky IRMailbox ve složce s názvem Šetření.

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Exchange místně

Get-MessageTrackingLog Pomocí rutiny vyhledejte informace o doručení zpráv uložené v protokolu sledování zpráv. Tady je příklad:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -Sender "john@contoso.com"

Informace o sadě parametrů najdete v syntaxi rutiny Exchange.

Kdo jiný dostal stejný e-mail?

Existují dva hlavní případy: máte Exchange Online nebo hybridní Exchange s místními Exchange servery. Pracovní postup je v podstatě stejný, jak je vysvětleno v tématu Získání seznamu uživatelů a identit, kteří dostali e-mail.

Exchange Online

Search-Mailbox Pomocí rutiny proveďte konkrétní vyhledávací dotaz na cílovou poštovní schránku, která je zajímá, a zkopírujte výsledky do nesouvisející cílové poštovní schránky.

Tento ukázkový dotaz vyhledá ve všech poštovních schránkách tenanta e-mail, který obsahuje předmět InvoiceUrgent v předmětu, a zkopíruje výsledky do složky IRMailbox ve složce s názvem Šetření.

Get-Mailbox | Search-Mailbox -SearchQuery "Subject:InvoiceUrgent" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Exchange místně

Get-MessageTrackingLog Pomocí rutiny vyhledejte informace o doručení zpráv uložené v protokolu sledování zpráv. Tady je příklad:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -MessageSubject "InvoiceUrgent"

Obsahoval e-mail přílohu?

Pro Exchange Online máte dvě možnosti:

  1. Použití klasické Search-Mailbox rutiny
  2. New-ComplianceSearch Použití rutiny

Exchange Online

Search-Mailbox Pomocí rutiny proveďte konkrétní vyhledávací dotaz na cílovou poštovní schránku, která je zajímá, a zkopírujte výsledky do nesouvisející cílové poštovní schránky. Tady je příklad:

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Druhou možností je použít rutinu New-ComplianceSearch . Tady je příklad:

New-ComplianceSearch -Name "Investigation" -ExchangeLocation "Research Department" -ContentMatchQuery "from:pilar@contoso.com AND hasattachment:true"

Exchange místně

Search-Mailbox Pomocí rutiny vyhledejte informace o doručení zpráv uložené v protokolu sledování zpráv. Tady je příklad:

Search-Mailbox -Identity "Jane Smith"-SearchQuery AttachmentNames:attachment_name -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Poznámka

Pro Exchange 2013 potřebujete, aby byla tato rutina spuštěná.

Byla v příloze datová část?

V tomto kroku vyhledejte v příloze potenciální škodlivý obsah, například soubory PDF, obfuskovaný PowerShell nebo jiné kódy skriptů.

Sestava Detekce malwaru zobrazuje počet příchozích a odchozích zpráv, které byly zjištěny jako obsahující malware pro vaši organizaci.

Pokud chcete tuto sestavu zobrazit, přejděte v Centru dodržování předpisů zabezpečení & na Řídicí panel > sestav > – Detekce malwaru.

Podobně jako v sestavě stavu ochrany před internetovými útoky zobrazuje tato sestava ve výchozím nastavení také data za posledních 7 dnů. Můžete ale zvolit filtry a změnit rozsah kalendářních dat až na 90 dnů, abyste zobrazili podrobnosti. (Pokud používáte zkušební předplatné, můžete být omezeni na 30 dnů dat.) Podrobnosti zobrazíte výběrem možnosti Zobrazit tabulku podrobností nebo exportem sestavy.

Kontrola skutečného zdroje odesílatele v záhlaví e-mailu

Mnoho součástí funkce trasování zpráv je samozřejmé, ale musíte důkladně porozumět ID zprávy. ID zprávy je jedinečný identifikátor e-mailové zprávy.

Pokud chcete získat ID zprávy pro e-mail , který vás zajímá, musíte prozkoumat záhlaví nezpracovaných e-mailů. Zkoumání záhlaví e-mailu se bude lišit v závislosti na použitém e-mailovém klientovi. Obvykle ale v Office 365 otevřete e-mailovou zprávu a v podokně čtení vyberte Zobrazit původní zprávu a identifikujte e-mailového klienta. Pokud máte pochybnosti, mělo by vám další pokyny poskytnout jednoduché hledání, jak zobrazit záhlaví zpráv v příslušném e-mailovém klientovi.

Měli byste začít tím, že se podíváte na záhlaví e-mailů. Například v Outlook 365 otevřete zprávu a přejděte na Vlastnosti informací o > souboru>:

Example of a properties screen showing email headersObrazovka Vlastnosti zobrazující záhlaví e-mailu

Při prohlížení záhlaví e-mailu se doporučuje zkopírovat a vložit informace záhlaví do analyzátoru záhlaví e-mailu, který poskytuje MXToolbox nebo Azure , aby bylo možné je číst.

  • Informace o směrování hlaviček: Informace o směrování poskytují trasu e-mailu při přenosu mezi počítači.

  • Sender Policy Framework (SPF): Ověření e-mailu, které pomáhá zabránit falšování identity nebo je detekovat. V záznamu SPF můžete určit, které IP adresy a domény můžou posílat e-maily jménem domény.

  • SPF = Pass: Záznam SPF TXT zjistil, že odesílatel může odesílat jménem domény.

    • SPF = Neutral
    • SPF = Selhání: Konfigurace zásad určuje výsledek zprávy.
      IP adresa odesílatele
    • Pošta SMTP: Ověřte, jestli se jedná o legitimní doménu.
  • Společné hodnoty: Tady je rozpis nejčastěji používaných a zobrazovaných záhlaví a jejich hodnot. Jedná se o cenné informace a můžete je použít v polích Hledání v Průzkumníku hrozeb.

    • Adresa odesílatele
    • Předmět
    • ID zprávy
    • Adresa
    • Adresa návratové cesty
  • Výsledky ověřování: Můžete zjistit, co váš e-mail klient ověřil při odeslání e-mailu. Poskytne vám ověřování SPF a DKIM.

  • Původní IP adresa: Původní IP adresa se dá použít k určení, jestli je IP adresa blokovaná, a k získání geografické polohy.

  • Úroveň spolehlivosti spamu (SCL): To určuje pravděpodobnost, že příchozí e-mail bude spam.
    Hodnocení seznamu SCL:

    • -1: Neodesílají spam od bezpečného odesílatele, bezpečného příjemce nebo bezpečné IP adresy uvedené v seznamu (důvěryhodný partner).
    • 0, 1: Non-spam, protože zpráva byla zkontrolována a zjištěno, že je čistý
    • 5, 6: Spam
    • 7, 8, 9: Vysoká spolehlivost spamu

Záznam SPF je uložen v databázi DNS a je dodáván s vyhledávacími informacemi DNS. Záznam SPF (Sender Policy Framework) pro doménu můžete ručně zkontrolovat pomocí příkazu nslookup :

  1. Otevřete příkazový řádek (spusťte > příkaz Spustit>).

  2. Zadejte příkaz jako: nslookup -type=txt" mezeru a pak název domény nebo hostitele. Příklad:

     nslookup -type=txt domainname.com
    

Poznámka

-all (odmítnout nebo selhat – nedoručovat e-mail, pokud se něco neshoduje), doporučujeme to.

Zkontrolujte, jestli je ve vašich vlastních doménách v Office 365 povolený DKIM.

Musíte publikovat dva záznamy CNAME pro každou doménu, kterou chtějí přidat klíče domény identifikované pošty (DKIM). Podívejte se, jak pomocí DKIM ověřit odchozí e-maily odeslané z vaší vlastní domény.

Kontrola ověřování, generování sestav a shody zpráv na základě domény (DMARC)

Tuto funkci můžete použít k ověření odchozích e-mailů v Office 365.

Ověření IP adres útočníkům nebo kampaním

Pokud chcete ověřit nebo prozkoumat IP adresy zjištěné v předchozích krocích šetření, můžete použít některou z těchto možností:

  • Virustotal
  • Microsoft Defender for Endpoint
  • Veřejné zdroje:
    • Ipinfo.io – má bezplatnou možnost získat geografickou polohu.
    • Censys.io - Má bezplatnou možnost získat informace o tom, co jejich pasivní kontroly internetu vědět
    • AbuseIPDB.com – má bezplatnou možnost, která poskytuje určitou geografickou polohu.
    • Zeptejte se Bing a Googlu – Hledání na IP adrese

Reputace adresy URL

Můžete použít libovolné Windows 10 zařízení a Microsoft Edge prohlížeč, který využívá technologii SmartScreen.

Tady je několik příkladů reputace adres URL třetích stran.

Při zkoumání IP adres a adres URL hledejte a korelaujte IP adresy s indikátory ohrožení zabezpečení (IOC) nebo jinými indikátory v závislosti na výstupu nebo výsledcích a přidejte je do seznamu zdrojů od nežádoucího uživatele.

Pokud uživatel kliknul na odkaz v e-mailu (záměrně nebo ne), pak tato akce obvykle vede k vytvoření nového procesu na samotném zařízení. V závislosti na zařízení, které se to provedlo, je potřeba provést šetření specifická pro zařízení. Například Windows vs. Android vs. iOS. V tomto článku jsme popsali obecný přístup spolu s podrobnostmi o zařízeních založených na Windows. Pokud používáte Microsoft Defender for Endpoint (MDE), můžete ho také využít pro iOS a brzy i Android.

Tyto události můžete prozkoumat pomocí Microsoft Defender for Endpoint.

  1. Protokoly vpn/proxy serveru
    V závislosti na dodavateli řešení proxy serveru a sítě VPN je potřeba zkontrolovat příslušné protokoly. V ideálním případě předáváte události do systému SIEM nebo do služby Microsoft Sentinel.

  2. Použití Microsoft Defender for Endpoint
    Toto je nejlepší scénář, protože při vyšetřování můžete použít naši analýzu hrozeb a automatizovanou analýzu. Další podrobnosti najdete v tématu, jak prozkoumat výstrahy v Microsoft Defender for Endpoint.

    Strom procesu upozornění provede třídění výstrah a prověřování na další úroveň a zobrazí agregované výstrahy a okolní důkazy, ke kterým došlo ve stejném kontextu a časovém období spuštění.
    Example of the alert process tree

  3. klientská zařízení založená na Windows
    Ujistěte se, že jste povolili možnost Události vytváření procesů . V ideálním případě byste měli povolit také události trasování příkazového řádku.

    Na Windows klientech, kteří mají před šetřením povolené výše uvedené události auditu, můžete zkontrolovat událost auditu 4688 a určit čas doručení e-mailu uživateli:

    Example of Audit Event 4688

    Another example of Audit Event 4688

Na jakém koncovém bodu byl e-mail otevřen?

Tady uvedené úkoly se podobají předchozímu kroku šetření: Klikl uživatel na odkaz v e-mailu?

Byla připojená datová část spuštěna?

Tady uvedené úkoly se podobají předchozímu kroku šetření: Klikl uživatel na odkaz v e-mailu?

Byla cílová IP adresa nebo adresa URL dotykem nebo otevřena?

Tady uvedené úkoly se podobají předchozímu kroku šetření: Klikl uživatel na odkaz v e-mailu?

Byl proveden škodlivý kód?

Tady uvedené úkoly se podobají předchozímu kroku šetření: Klikl uživatel na odkaz v e-mailu?

Jaká přihlášení se s účtem stala?

Zkontrolujte různá přihlášení, ke kterým došlo s účtem.

Federovaný scénář

Nastavení protokolu auditu a události se liší v závislosti na úrovni operačního systému (OS) a na verzi serveru Active Directory Federation Services (AD FS) (AD FS).

V následujících částech najdete různé verze serveru.

Server 2012R2

Ve výchozím nastavení se události zabezpečení ne auditují na Serveru 2012R2. Tuto funkci musíte povolit na každém serveru ADFS ve farmě. V konzole pro správu služby AD FS vyberte Upravit vlastnosti služby FS .

federatedproperties

Musíte také povolit zásady auditování operačního systému.

Otevřete příkazový řádek a spusťte následující příkaz jako správce.

auditpol.exe /set /subcategory:”Application Generated” /failure:enable /success:enable

Další podrobnosti najdete v tématu konfigurace serverů ADFS pro řešení potíží.

Moduly ADFS PowerShellu si také můžete stáhnout z následujících umístění:

Server 2016 a novější

Ve výchozím nastavení má služba AD FS v Windows Server 2016 povolené základní auditování. Při základním auditování můžou správci zobrazit pět nebo méně událostí pro jeden požadavek. Úroveň auditování ale můžete zvýšit nebo snížit pomocí tohoto příkazu:

Set-AdfsProperties -AuditLevel Verbose

Další podrobnosti najdete v tématu o vylepšeních auditování služby AD FS na Windows serveru.

Pokud máte nainstalovanou službu Azure AD Připojení Health, měli byste se také podívat na sestavu rizikových IP adres. Neúspěšné IP adresy klienta aktivit přihlašování se agregují prostřednictvím proxy serverů webových aplikací. Každá položka v sestavě rizikových IP adres zobrazuje agregované informace o neúspěšných aktivitách přihlášení ke službě AD FS, které překračují určenou prahovou hodnotu.

Example of the risky IP report

Další podrobnosti najdete v sestavě rizikových IP adres.

Server 2012R2

ID události 342 – Uživatelské jméno nebo heslo jsou nesprávné v protokolech správce ADFS.

U skutečných událostí auditu je potřeba se podívat na protokoly událostí zabezpečení a měli byste hledat události s ID události 411 pro selhání klasického auditu se zdrojem jako auditování ADFS. Při úspěšném ověřování také vyhledejte ID události 412.

ID události 411 - Ověření tokenu SecurityTokenValidationFailureAudit se nezdařilo. Další podrobnosti najdete ve vnitřní výjimce.

Example of an event 411

Example of an event 412

Možná budete muset korelovat událost s odpovídajícím ID události 501.

Server 2016 a novější

U skutečných událostí auditu je potřeba se podívat na protokoly událostí zabezpečení a měli byste hledat události s ID události 1202 pro úspěšné události ověřování a 1203 pro chyby.

Příklad pro ID události 1202:

ID události 1202 FreshCredentialSuccessAudit Služba FS ověřila nové přihlašovací údaje. Podrobnosti najdete v jazyce XML.

Příklad pro ID události 1203:

ID události 1203 FreshCredentialFailureAudit: Službě Federation Service se nepodařilo ověřit nové přihlašovací údaje. Podrobnosti o selhání najdete v jazyce XML.

Example of an event 1203

Example of an event 4624

Úplný seznam ID událostí ADFS na úrovni operačního systému najdete v getADFSEventList.

Spravovaný scénář

Zkontrolujte přihlašovací protokoly Azure AD pro uživatele, které prošetřujete.

Na portálu Azure AD přejděte na obrazovku Přihlášení a přidejte nebo upravte filtr zobrazení pro časový rámec, který jste našli v předchozích krocích šetření, a přidejte uživatelské jméno jako filtr, jak je znázorněno na tomto obrázku.

Example of a display filter

Můžete také vyhledávat pomocí Graph API. Můžete například filtrovat vlastnosti uživatele a získat spolu s ním lastSignInDate . Vyhledejte konkrétního uživatele a získejte pro tohoto uživatele datum posledního přihlášení. Například https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'Dhanyah')&$select=displayName,signInActivity

Nebo můžete pomocí příkazu Get-AzureADUserLastSignInActivity PowerShellu získat poslední interaktivní přihlašovací aktivitu pro uživatele, na kterou cílí JEHO ID objektu. Tento příklad zapíše výstup do souboru CSV s datem a časem v adresáři spuštění.

Get-AzureADUserLastSignInActivity -TenantId 536279f6-1234-2567-be2d-61e352b51eef -UserObjectId 69447235-0974-4af6-bfa3-d0e922a92048 -CsvOutput

Nebo můžete použít tento příkaz z modulu AzureADIncidentResponse PowerShellu:

Get-AzureADIRSignInDetail -UserId johcast@Contoso.com -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3

Prozkoumání zdrojové IP adresy

Na základě zdrojových IP adres, které jste našli v protokolech přihlášení Azure AD nebo souborech protokolu ADFS/Federation Server, prozkoumejte další informace o tom, odkud provoz pochází.

Spravovaný uživatel

Ve spravovaném scénáři byste měli začít prohlížet protokoly přihlášení a filtrovat na základě zdrojové IP adresy:

Example of a managed user IP address]

Nebo můžete použít tento příkaz z modulu AzureADIncidentResponse PowerShellu:

Get-AzureADIRSignInDetail -IpAddress 1.2.3.4 -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3 -OutGridView

Když se podíváte do seznamu výsledků, přejděte na kartu Informace o zařízení . V závislosti na použitém zařízení získáte různý výstup. Tady je několik příkladů:

  • Příklad 1 – Nespravované zařízení (BYOD):

    Example of a unmanaged device

  • Příklad 2 – Spravované zařízení (připojení k Azure AD nebo hybridní připojení k Azure AD):

    Example of a managed device

Zkontrolujte ID zařízení, pokud existuje. Měli byste také hledat operační systém a prohlížeč nebo řetězec UserAgent .

Example of a device ID

Poznamenejte si ID korelace, ID požadavku a časové razítko. Id korelace a časové razítko byste měli použít ke korelaci zjištění s jinými událostmi.

Federovaný uživatel nebo aplikace

Postupujte podle stejného postupu, který je k dispozici pro scénář federovaného přihlašování.

Vyhledejte a poznamenejte si ID zařízení, úroveň operačního systému, ID korelace a ID požadavku.

Prozkoumání identifikovaného ID zařízení

Tento krok je relevantní jenom pro zařízení, o kterých je služba Azure AD známá. Pokud jste například v předchozích krocích našli jedno nebo více potenciálních ID zařízení, můžete na tomto zařízení dále prošetřit. Vyhledejte a poznamenejte si ID zařízení a vlastníka zařízení.

Prozkoumání jednotlivých ID aplikace

Výchozím bodem jsou protokoly přihlášení a konfigurace aplikace tenanta nebo konfigurace federačních serverů.

Spravovaný scénář

V dříve nalezených podrobnostech protokolu přihlášení zkontrolujte ID aplikace na kartě Základní informace :

managedscenario

Poznamenejte si rozdíly mezi aplikací (a ID) na prostředek (a ID). Aplikace je součástí klienta, zatímco prostředek je služba nebo aplikace v Azure AD.

S tímto ID aplikace teď můžete provádět výzkum v tenantovi. Tady je příklad:

Get-AzureADApplication -Filter "AppId eq '30d4cbf1-c561-454e-bf01-528cd5eafd58'"

ObjectId                              |   AppId                                |    DisplayName

3af6dc4e-b0e5-45ec-8272-56f3f3f875ad     30d4cbf1-c561-454e-bf01-528cd5eafd58         Claims X-Ray

Pomocí těchto informací můžete hledat na portálu Enterprise Applications. Přejděte do části Všechny aplikace a vyhledejte konkrétní ID aplikace.

Example of an application ID

Playbooky s dalšími reakcemi na incidenty

Projděte si pokyny k identifikaci a prošetřování těchto dalších typů útoků:

Zdroje informací o reakci na incidenty