Enquête d’hameçonnage

Cet article fournit des conseils sur l’identification et l’examen des attaques par hameçonnage au sein de votre organisation. Les instructions pas à pas vous aideront à prendre l’action corrective requise pour protéger les informations et minimiser les risques supplémentaires.

Cet article contient les sections suivantes :

• Conditions préalables requises : décrit les exigences spécifiques que vous devez respecter avant de commencer l’examen. Par exemple, la journalisation qui doit être activée, et vous devez disposer des rôles et des autorisations nécessaires, entre autres.
• Workflow : affiche le flux logique que vous devez suivre pour effectuer cet examen.
• Liste de vérification : contient une liste de tâches pour chacune des étapes de l’organigramme. Cette liste de contrôle peut être utile dans des environnements hautement réglementés pour vérifier ce que vous avez terminé ou comme contrôle de qualité pour vous-même.
• Étapes d’examen : contient des instructions pas à pas détaillées pour cet examen spécifique.

Prérequis

Voici les configurations et les paramètres généraux que vous devez effectuer avant de procéder à l’examen de l’hameçonnage.

Détails du compte

Avant de procéder à l'enquête, il est recommandé de disposer du nom d'utilisateur, du nom d'utilisateur principal (UPN) ou de l'adresse e-mail du compte que vous soupçonnez être compromis.

Configuration de base pour Microsoft 365

Vérifier les paramètres d’audit

Vérifiez que l’audit de boîte aux lettres activé par défaut est activé en exécutant la commande suivante dans Exchange Online PowerShell :

Get-OrganizationConfig | Format-List AuditDisabled

La valeur Faux indique que l’audit de boîte aux lettres est activé pour toutes les boîtes aux lettres de l’organisation, quelle que soit la valeur de la propriété AuditEnabled sur des boîtes aux lettres individuelles. Pour plus d’informations, vérifiez que activation par défaut de l’audit de la boîte aux lettres est activé.

Trace de messages

Les journaux de suivi des messages sont des composants inestimables qui aident à trouver la source d'origine du message et les destinataires prévus. Vous pouvez utiliser la fonctionnalité de suivi des messages dans le Centre d’administration Exchange (EAC) ou https://admin.exchange.microsoft.com/#/messagetrace avec l’applet de commande Get-MessageTrace dans Exchange Online PowerShell.

Remarque

La trace du message est également disponible dans le portail Microsoft Defender sur https://security.microsoft.com sous Courrier électronique et Collaboration>Trace de messages Exchange, mais il s’agit simplement d’un lien de transfert direct vers la trace du message dans le Centre d’administration Exchange.

Plusieurs composants de la fonctionnalité MessageTrace sont explicites, mais Message-ID est un identificateur unique pour un message électronique et requiert une compréhension approfondie. Pour obtenir le Message-ID d’un e-mail d’intérêt, vous devez examiner les en-têtes d’emails bruts.

Recherche dans le journal d’audit

Recherchez dans le journal d’audit unifié pour afficher toutes les activités de l’utilisateur et de l’administrateur dans votre organisation Microsoft 365.

Les journaux de connexion et/ou les journaux d’audit sont-ils exportés vers un système externe ?

Étant donné que la plupart des données de connexion et d'audit Microsoft Entra ID seront écrasées après 30 ou 90 jours, nous vous recommandons d'utiliser Sentinel, Azure Monitor ou un système externe de gestion des informations et des événements de sécurité (SIEM).

Rôles et autorisations obligatoires

Autorisations dans Microsoft Entra ID

Nous vous recommandons d’adhérer aux rôles suivants pour le compte qui effectue l’investigation :

• Lecteur général
• Lecteur de sécurité
• En dernier recours, vous pouvez toujours revenir au rôle d’administrateur général/administrateur d’entreprise

Autorisations dans Microsoft 365

En règle générale, le Lecteur général ou les groupes de rôles Lecteur de sécurité, dans le portail Microsoft Defender ou le portail de conformité Microsoft Purview, doivent vous accorder suffisamment d’autorisations pour rechercher les journaux pertinents.

Remarque

Les comptes membres des groupes avec le rôle Journaux d’audit en affichage uniquement ou journaux d’audit, uniquement dans le portail Microsoft Defender ou le portail de conformité Microsoft Purview, ne vont pas pouvoir effectuer de recherche dans le journal d’audit Microsoft 365. Dans ce scénario, vous devez attribuer des autorisations dans Exchange Online. Pour plus d'informations, voir Avant d'effectuer une recherche dans le journal d'audit..

Si vous n'êtes pas sûr des groupes de rôles à utiliser, consultez Rechercher les autorisations requises pour exécuter n'importe quelle applet de commande Exchange.

Microsoft Defender for Endpoint

Si vous disposez de Microsoft Defender for Endpoint (MDE), vous devez l’utiliser pour ce flux. Pour plus d’informations, consultez Combattre l’hameçonnage grâce au partage de signal et au Machine Learning.

Configuration requise

Configuration matérielle requise

Le système doit être en mesure d’exécuter PowerShell.

Configuration logicielle requise

Les modules PowerShell suivants sont requis pour l’examen de l’environnement cloud :

• le module Azure AD PowerShell pour Graph Pour plus d’informations sur l’installation, consultez Installer Azure Active Directory PowerShell pour Graph.

  Si vous avez besoin d’applets de commande plus anciennes dans le module MSOnline (v1) Azure AD, consultez Microsoft Entra ID (MSOnline) .

• Module Exchange Online PowerShell : pour obtenir des instructions d’installation, consultez Installer et gérer le module Exchange Online PowerShell.

• Module PowerShell de réponse aux incidents Microsoft Entra : pour obtenir des instructions d’installation, consultez le module PowerShell de réponse aux incidents Microsoft Entra

Workflow

 ![Workflow d’enquête sur l’hameçonnage]

Vous pouvez également :

• Téléchargez les workflows de playbook sur les réponses au hameçonnage et à d’autres incidents sous la forme d’un fichier PDF.
• Téléchargez les workflows de playbook sur les réponses au hameçonnage et à d’autres incidents sous la forme d’un fichier Visio.

Liste de contrôle

Cette liste de contrôle vous aide à évaluer votre processus d'enquête et à vérifier si vous avez terminé toutes les étapes de l'enquête :

	Passer en revue l’e-mail d’hameçonnage initial
	Obtenir la liste des utilisateurs qui ont reçu cet e-mail
	Obtenir les dates les plus récentes d’accès à la boîte aux lettres par l’utilisateur
	L’accès délégué est-il configuré sur la boîte aux lettres ?
	Une ou plusieurs règles de transfert sont-elles configurées pour la boîte aux lettres ?
	Passer en revue vos règles de flux de messagerie Exchange (règles de transport
	Rechercher les messages électroniques
	L’utilisateur a-t-il lu ou ouvert l’e-mail ?
	Qui a obtenu le même e-mail ?
	L'e-mail doit contenait-il des pièces jointes ?
	Y a-t-il une charge utile dans la pièce jointe ?
	Vérifier l’en-tête de l’e-mail pour connaître la véritable source de l’expéditeur
	Vérifier les adresses IP par rapport aux attaquants/campagnes
	L'utilisateur a-t-il sélectionné des liens dans l'e-mail ?
	Sur quel point de terminaison l’e-mail a-t-il été ouvert ?
	La charge utile de la pièce jointe a-t-elle été exécutée ?
	L’adresse IP ou URL de destination a-t-elle été sélectionnée ou ouverte ?
	Le code malveillant a-t-il été exécuté ?
	Quelles connexions ont eu lieu avec le compte pour le scénario fédéré ?
	Quelles connexions ont eu lieu avec le compte pour le scénario managé ?
	Investiguer l’adresse IP source
	Investiguer l’ID de l’appareil détecté
	Examiner chaque ID d’application

Vous pouvez également télécharger les check-lists de playbook sur l’hameçonnage et d’autres incidents sous la forme d’un fichier Excel.

Étapes d’investigation

Pour cette enquête, nous supposons que vous disposez soit d'un échantillon d'e-mail de phishing, soit de parties de celui-ci, comme l'adresse de l'expéditeur, l'objet de l'e-mail, ou de parties du message pour lancer l'enquête. Assurez-vous également que vous avez sélectionné/activé tous les paramètres, comme recommandé dans la section Prérequis.

Ce playbook est créé dans l’intention que tous les clients Microsoft et leurs équipes d’enquête ne disposent pas de la suite complète de licences Microsoft 365 E5 ou Microsoft Entra ID P2 disponibles ou configurées dans le locataire faisant l’objet de l’enquête. Nous mettrons cependant en évidence d’autres capacités d’automatisation le cas échéant.

Obtenir la liste des utilisateurs/identités qui ont reçu l’e-mail

Dans un premier temps, vous devez obtenir une liste des utilisateurs/identités qui ont reçu l’e-mail de phishing. L'objectif de cette étape est d'enregistrer une liste d'utilisateurs/identités potentiels que vous utiliserez plus tard pour parcourir d'autres étapes d'enquête. Reportez-vous à la section Workflow pour obtenir un diagramme de flux de haut niveau des étapes que vous devez suivre pendant cet examen.

Nous ne donnons aucune suggestions dans ce playbook sur la manière dont vous souhaitez enregistrer cette liste d'utilisateurs/identités potentiels. Selon la taille de l'enquête, vous pouvez utiliser un livre Excel, un fichier CSV ou même une base de données pour des enquêtes plus importantes. Il existe plusieurs façons d’obtenir la liste des identités dans un locataire donné. En voici quelques-unes.

Créer une recherche de contenu dans le portail de conformité Microsoft Purview

Utilisez les indicateurs que vous avez collectés pour créer et exécuter une recherche de contenu. Pour obtenir des instructions, consultez Créer une recherche de contenu.

Pour obtenir la liste complète des propriétés de messagerie pouvant faire l’objet d’une recherche, consultez les propriétés de messagerie pouvant faire l’objet d’une recherche.

L’exemple de requête suivant retourne les messages reçus par les utilisateurs entre le 13 avril et le 14 avril 2022 et qui contiennent les mots « action » et « obligatoire » dans la ligne d’objet :

(Received:4/13/2022..4/14/2022) AND (Subject:'Action required')

L’exemple de requête suivant retourne des messages qui ont été envoyés par chatsuwloginsset12345@outlook.com et qui contiennent l’expression exacte « Mettre à jour les informations de votre compte » dans la ligne d’objet.

(From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Pour plus d’informations, découvrez comment rechercher et supprimer des messages dans votre organisation.

Utiliser l’applet de commande Search-Mailbox dans Exchange Online PowerShell

Vous pouvez utiliser l'applet de commande Search-Mailbox dans Exchange Online PowerShell pour exécuter une requête de recherche spécifique sur une boîte aux lettres cible digne d’intérêt et copier les résultats dans une boîte aux lettres de destination non liée.

L’exemple de requête suivant recherche dans la boîte aux lettres de Jane Smith un e-mail contenant le mot « Invoice » dans l’objet, et copie les résultats dans IRMailbox dans un dossier nommé « Investigation ».

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Dans cet exemple de commande, la requête recherche dans toutes les boîtes aux lettres du locataire un e-mail contenant l’expression « Facture urgente » dans l’objet et copie les résultats dans IRMailbox dans un dossier nommé « Examen ».

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Search-Mailbox.

L’accès délégué est-il configuré sur la boîte aux lettres ?

Utilisez le script suivant pour vérifier si l'accès délégué est configuré sur la boîte aux lettres : https://github.com/OfficeDev/O365-InvestigationTooling/blob/master/DumpDelegatesandForwardingRules.ps1.

Pour créer ce rapport, exécutez un petit script PowerShell qui obtient la liste de tous vos utilisateurs. Utilisez ensuite l’applet de commande Get-MailboxPermission pour créer un fichier CSV de tous les délégués de boîte aux lettres de votre location.

Recherchez des noms inhabituels ou des octrois d’autorisation. Si vous voyez quelque chose d'inhabituel, contactez le propriétaire de la boîte aux lettres pour vérifier si c'est légitime.

Une ou plusieurs règles de transfert sont-elles configurées pour la boîte aux lettres ?

Vous devez vérifier chaque boîte aux lettres identifiée pour le transfert de boîte aux lettres (également appelé transfert SMTP) ou les règles de boîte de réception qui transfèrent les messages électroniques à des destinataires externes (généralement, les règles de boîte de réception nouvellement créées).

• Pour vérifier toutes les boîtes aux lettres pour le transfert de boîte aux lettres, exécutez la commande suivante dans Exchange Online PowerShell :

  Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited | Format-Table -Auto MicrosoftOnlineServicesID,ForwardingSmtpAddress,DeliverToMailboxAndForward | Export-csv C:\Temp\Forwarding.csv -NoTypeInformation
  

• Pour vérifier les règles de boîte de réception créées dans les boîtes aux lettres entre les dates spécifiées, exécutez la commande suivante dans Exchange Online PowerShell :

  Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -ResultSize 5000 -RecordType exchangeadmin -Operations New-InboxRule | Export-csv NoTypeInformation -Path c:\temp\Inboxrulesoutput.csv
  

• Vous pouvez également utiliser le rapport de messages transférés automatiquement dans le Centre d’administration Exchange (EAC). Pour obtenir des instructions, consultez le rapport des messages transférés automatiquement dans Exchange Online.

  Remarques :

  • Recherchez les emplacements cibles inhabituels ou tout type d’adressage externe.
  • Recherchez également les règles de transfert avec des mots clés inhabituels dans les critères, tels que tous les messages contenant le mot « Facture » dans l’objet. Contactez le propriétaire de la boîte aux lettres pour vérifier si elle est légitime.

Vérifier les règles de la boîte de réception

Recherchez les règles de boîte de réception qui ont été supprimées, prenez en compte les horodateurs à proximité de vos investigations. Par exemple, utilisez la commande suivante dans Exchange Online PowerShell:

Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -Operations Remove-InboxRule | Export-CSV NoTypeInformation -Path c:\temp\removedInboxRules.csv

Passer en revue les règles de flux de messagerie Exchange (règles de transport)

Il existe deux façons d’obtenir la liste des règles de flux de messagerie Exchange (également appelées règles de transport) dans votre organisation :

1. Dans le Centre d’administration Exchange et Exchange Online PowerShell. Pour obtenir des instructions, consultez Afficher ou modifier une règle de flux de messagerie.
2. Le rapport sur les règles de transport Exchange dans le centre d'administration Exchange. Pour obtenir des instructions, consultez le rapport de règle de transport Exchange dans Exchange Online.

Recherchez les nouvelles règles ou les règles qui ont été modifiées pour rediriger le courrier vers des domaines externes. Le nombre de règles doit être connu et relativement petit. Vous pouvez effectuer une recherche dans le journal d'audit pour déterminer qui a créé la règle et l’endroit où celle-ci a été créée. Si vous voyez un événement inhabituel, contactez le créateur pour déterminer s’il est légitime.

Obtenir les dates les plus récentes d’accès à la boîte aux lettres par l’utilisateur

Dans le centre de sécurité et de conformité Microsoft 365, accédez au journal d’audit unifié. Sous Activités dans la liste déroulante, vous pouvez filtrer par Activités de boîte aux lettres Exchange.

La capacité à répertorier les utilisateurs compromis est disponible dans le centre de sécurité et de conformité de Microsoft 365.

Ce rapport affiche les activités qui peuvent indiquer qu’une boîte aux lettres est accessible de manière illicite. Il comprend les messages créés ou reçus, les messages déplacés ou supprimés, les messages copiés ou purgés, les messages envoyés à l’aide de la fonction Envoyer pour le compte ou Envoyer comme, et toutes les connexions à la boîte aux lettres. Les données incluent la date, l’adresse IP, l’utilisateur, l’activité effectuée, l’élément affecté et les détails étendus.

Remarque

Pour que ces données soient enregistrées, vous devez activer l’option de l’audit de la boîte aux lettres.

Le volume de données inclus ici peut être très important. Par conséquent, concentrez votre recherche sur les utilisateurs qui seraient grandement impactés en cas de violation. Recherchez des modèles inhabituels, tels que les heures de connexion étranges ou des adresses IP inhabituelles, et recherchez des modèles tels que des volumes élevés de déplacements, de vidages ou de suppressions.

L’utilisateur a-t-il lu/ouvert l’e-mail ?

Il existe deux cas principaux :

• La boîte aux lettres se trouve dans Exchange Online.
• La boîte aux lettres se trouve dans Exchange local (Exchange hybride).

L’utilisateur Exchange Online a-t-il ouvert l’e-mail

Utilisez l'applet de commande Search-Mailbox dans Exchange Online PowerShell pour exécuter une requête de recherche spécifique sur une boîte aux lettres cible digne d’intérêt et copier les résultats dans une boîte aux lettres de destination non liée.

L’exemple de requête suivant recherche dans la boîte aux lettres de Janes Smith un e-mail contenant le mot Facture dans l’objet et copie les résultats dans IRMailbox dans un dossier nommé Examen.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

L’exemple de requête suivant recherche dans toutes les boîtes aux lettres du locataire un e-mail contenant l’expression Facture urgente dans l’objet et copie les résultats dans IRMailbox dans un dossier nommé Examen.

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

L’utilisateur a-t-il ouvert l’e-mail dans Exchange hybride

Utiliser l’applet de commande Get-MessageTrackingLog pour rechercher des informations sur la livraison des messages stockées dans le journal de suivi des messages. Voici un exemple :

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2022 09:00:00" -End "03/15/2022 17:00:00" -Sender "john@contoso.com"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-MessageTrackingLog.

Qui a obtenu le même e-mail ?

Il existe deux cas principaux :

• La boîte aux lettres se trouve dans Exchange Online.
• La boîte aux lettres se trouve dans Exchange local (Exchange hybride).

Le workflow est fondamentalement le même que celui décrit précédemment dans la rubrique Obtenir la liste des utilisateurs/identités qui ont reçu l’e-mail.

Rechercher l’e-mail dans Exchange Online

Utilisez l'applet de commande Search-Mailbox pour exécuter une requête de recherche spécifique sur une boîte aux lettres cible digne d’intérêt et copier les résultats dans une boîte aux lettres de destination non liée.

L’exemple de requête recherche dans toutes les boîtes aux lettres du locataire un e-mail contenant l’objet Facture urgente dans l’objet et copie les résultats dans IRMailbox dans un dossier nommé Examen.

Get-Mailbox | Search-Mailbox -SearchQuery "Subject:InvoiceUrgent" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Rechercher l’e-mail dans Exchange local

Utiliser l’applet de commande Get-MessageTrackingLog pour rechercher des informations sur la livraison des messages stockées dans le journal de suivi des messages. Voici un exemple :

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -MessageSubject "InvoiceUrgent"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-MessageTrackingLog.

L'e-mail doit contenait-il des pièces jointes ?

Il existe deux cas principaux :

• La boîte aux lettres se trouve dans Exchange Online.
• La boîte aux lettres se trouve dans Exchange local (Exchange hybride).

Déterminer si le message contenait une pièce jointe dans Exchange Online

Si la boîte aux lettres se trouve dans Exchange Online, vous avez deux options :

• Utiliser l’applet de commande Search-Mailbox
• Utiliser l’applet de commande New-ComplianceSearch

Utilisez l'applet de commande Search-Mailbox pour exécuter une requête de recherche spécifique sur une boîte aux lettres cible digne d’intérêt et copier les résultats dans une boîte aux lettres de destination non liée. Voici un exemple :

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Search-Mailbox.

L’autre option consiste à utiliser l’applet de commande New-ComplianceSearch . Voici un exemple :

New-ComplianceSearch -Name "Investigation" -ExchangeLocation "Research Department" -ContentMatchQuery "from:pilar@contoso.com AND hasattachment:true"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-ComplianceSearch.

Déterminer si le message contenait une pièce jointe dans Exchange local

Remarque

Dans Exchange Server 2013, cette procédure nécessite la mise à jour cumulative 12 (CU12) ou une version ultérieure. Pour plus d’informations, consultez cet article.

Utiliser l’applet de commande Search-Mailbox pour rechercher des informations sur la livraison des messages stockées dans le journal de suivi des messages. Voici un exemple :

Search-Mailbox -Identity "Jane Smith"-SearchQuery AttachmentNames:attachment_name -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Search-Mailbox.

Y a-t-il une charge utile dans la pièce jointe ?

Recherchez du contenu malveillant potentiel dans la pièce jointe. Par exemple, des fichiers PDF, des codes PowerShell obfusqués ou d'autres codes de script.

La Vue des données par e-mail> dans l’affichage des programmes malveillants dans le Rapport d’état de protection contre les menaces indique le nombre de messages entrants et sortants détectés comme contenant des programmes malveillants pour votre organisation. Pour plus d’informations, consultez le rapport d’état de protection contre les menaces : Afficher les données par e-mail> programme malveillant

Vérifier l’en-tête de l’e-mail pour connaître la véritable source de l’expéditeur

La plupart des composants de la fonctionnalité de suivi des messages sont explicites, mais vous devez bien comprendre l'ID des messages. L'ID de message est un identificateur unique pour un message électronique.

Pour obtenir le Message-ID d’un e-mail d’intérêt, vous devez examiner les en-têtes d’emails bruts. Pour obtenir des instructions sur la façon de procéder dans Microsoft Outlook ou Outlook sur le web (anciennement Outlook Web App ou OWA), consultez Afficher les en-têtes de message Internet dans Outlook

Lorsque vous affichez un en-tête de message électronique, il est recommandé de copier et coller les informations des en-têtes dans un analyseur d’en-tête de messagerie fourni par MXToolbox ou Azure pour plus de lisibilité.

• Informations de routage des en-têtes : les informations de routage fournissent l’itinéraire d’un e-mail pour son transfert entre les ordinateurs.

• SPF (Sender Policy Framework) : Validation de l’e-mail pour empêcher/détecter les usurpations. Dans l’enregistrement SPF, vous pouvez déterminer les adresses IP et les domaines qui peuvent envoyer des e-mails pour le compte du domaine.

• SPF = Pass : L’enregistrement SPF TXT a déterminé que l’expéditeur est autorisé à envoyer pour le compte d’un domaine.

  • SPF = Neutral
  • SPF = Fail : la configuration de la stratégie détermine le résultat du message
  • Messagerie SMTP : valider qu’il s’agit d’un domaine légitime

  Pour plus d’informations sur SPF, consultez comment Microsoft 365 utilise SPF pour empêcher l’usurpation d’identité

• Valeurs courantes : Voici une répartition des en-têtes les plus couramment utilisés et affichés, et de leurs valeurs. Il s’agit d’informations précieuses que vous pouvez utiliser dans les champs Recherche de l’Explorateur de menaces.

  • Adresse de l’émetteur
  • Objet
  • ID de message
  • Adresse du destinataire
  • Adresse du chemin de retour

• Résultats de l’authentification : Vous pouvez trouver ce que votre client de messagerie a authentifié lors de l’envoi de l’e-mail. Il vous fournira une authentification SPF et DKIM.

• Adresse IP d’origine : L’adresse IP d’origine peut être utilisée pour déterminer si l’adresse IP est placée sur liste rouge et pour obtenir l’emplacement géographique.

• SCL (Spam Confidence Level) : détermine la probabilité qu’un courrier électronique entrant soit un courrier indésirable.

  • -1 : Contourner la plupart des filtres anti-spam à partir d'un expéditeur sûr, d'un destinataire sûr ou d'une adresse IP sûre (partenaire approuvé)
  • 0, 1 : courrier normal, car le message a été analysé et déterminé comme étant sûr
  • 5, 6 : courrier indésirable
  • 7, 8, 9 : courrier indésirable de grande confiance

L’enregistrement SPF est stocké dans une base de données DNS et est fourni avec les informations de recherche DNS. Vous pouvez vérifier manuellement l’enregistrement SPF (Sender Policy Framework) d’un domaine à l’aide de la commande nslookup :

1. Ouvrez l’invite de commandes (Démarrer > >Exécuter > >cmd).

2. Entrez la commande suivante : nslookup -type=txt" un espace, puis le domaine/nom d’hôte. Par exemple :

    nslookup -type=txt domainname.com
   

Remarque

-all (refus ou échec - ne remet pas l’e-mail en cas de non-correspondance). Cette commande est recommandée.

Vérifier si DKIM est activé sur vos domaines personnalisés dans Microsoft 365

Vous devez publier deux enregistrements CNAME pour chaque domaine dans lequel ils souhaitent ajouter le DKIM (Domain keys identified mail - message identifié de clés de domaine). Découvrez comment utiliser le DKIM pour valider les e-mails sortants envoyés à partir de votre domaine personnalisé.

Vérifier DMARC (authentification, création et conformité des messages basées sur un domaine)

Vous pouvez utiliser cette fonctionnalité pour valider les e-mails sortants dans Microsoft 365.

Vérifier les adresses IP par rapport aux attaquants/campagnes

Pour vérifier ou examiner les adresses IP qui ont été identifiées lors des étapes précédentes de l’examen, vous pouvez utiliser l’une des options suivantes :

• VirusTotal
• Microsoft Defender for Endpoint
• Sources publiques :
  • Ipinfo.io : offre une option gratuite pour obtenir la géolocalisation
  • Censys.io : offre une option gratuite pour obtenir des informations sur ce que rapportent les analyses passives sur Internet
  • AbuseIPDB.com : offre une option gratuite qui fournit une certaine géolocalisation
  • Interroger Bing et Google - Rechercher sur la base de l’adresse IP

Réputation de l’URL

Vous pouvez utiliser n’importe quel appareil Windows 10 et navigateur Microsoft Edge qui tire parti de la technologie SmartScreen.

Voici quelques exemples de réputation d’URL tierces

• Vérification de la sécurité du site Trend Micro
• Rapport de transparence Google
• Talos Intelligence

Lorsque vous examinez les adresses IP et les URL, recherchez et mettez en corrélation les adresses IP avec les indicateurs de compromission (IOC) ou d’autres indicateurs, en fonction des sorties ou des résultats et ajoutez-les à une liste de sources provenant de l’adversaire.

L’utilisateur a-t-il cliqué sur le lien dans l’e-mail ?

Si l’utilisateur a cliqué sur le lien dans l’e-mail (volontairement ou non), cette action provoque généralement une nouvelle création de processus sur l’appareil lui-même. En fonction de l’appareil concerné, vous devez effectuer des examens spécifiques à l’appareil. Par exemple, Windows par rapport à Android ou iOS. Dans cet article, nous avons décrit une approche générale, ainsi que des détails sur les appareils Windows. Si vous utilisez Microsoft Defender pour point de terminaison, vous pourrez également bientôt l’utiliser pour iOS et Android.

Vous pouvez examiner ces événements à l’aide de Microsoft Defender pour point de terminaison.

1. Journaux VPN/proxy Selon le fournisseur des solutions proxy et VPN, vous devez vérifier les journaux correspondants. Dans l’idéal, vous transférez les événements à votre Gestion des informations et des événements de sécurité ou à Microsoft Sentinel.

2. Utiliser Microsoft Defender for Endpoint Il s’agit du meilleur scénario, car vous pouvez utiliser nos informations sur les menaces et l’analyse automatisée pour faciliter votre examen. Pour plus d’informations, consultez comment examiner des alertes dans Microsoft Defender pour point de terminaison.

   L'arborescence du processus d’alerte fait évoluer le triage et l’examen des alertes, en affichant les alertes agrégées et les preuves environnantes qui se sont présentées dans le même contexte d’exécution et la même période.

3. Périphériques clients basés sur Windows Assurez-vous d'avoir activé l'option Événements de création de processus. Idéalement, vous devez également activer les événements de suivi de ligne de commande.

   Sur les clients Windows, pour lesquels les événements d’audit susmentionnés sont activés avant l’examen, vous pouvez vérifier l’événement d’audit 4688 et déterminer l’heure à laquelle l’e-mail a été remis à l’utilisateur :

   

   

Sur quel point de terminaison l’e-mail a-t-il été ouvert ?

Les tâches ci-dessous sont similaires à l’étape précédente de l’examen : l’utilisateur a-t-il cliqué sur le lien dans l’e-mail ?

La charge utile attachée a-t-elle été exécutée ?

Les tâches ci-dessous sont similaires à l’étape précédente de l’examen : l’utilisateur a-t-il cliqué sur le lien dans l’e-mail ?

L’adresse IP/URL de destination a-t-elle été sélectionnée ou ouverte ?

Les tâches ci-dessous sont similaires à l’étape précédente de l’examen : l’utilisateur a-t-il cliqué sur le lien dans l’e-mail ?

Le code malveillant a-t-il été exécuté ?

Les tâches ci-dessous sont similaires à l’étape précédente de l’examen : l’utilisateur a-t-il cliqué sur le lien dans l’e-mail ?

Quelles sont les connexions qui ont été effectuées avec le compte ?

Vérifiez les différentes connexions qui ont été effectuées avec le compte.

Scénario fédéré

Les paramètres et les événements du journal d’audit varient en fonction du niveau du système d’exploitation et de la version du serveur ADFS (Active Directory Federation Services).

Consultez les sections suivantes pour connaître les différentes versions de serveur.

Server 2012 R2

Par défaut, les événements de sécurité ne sont pas audités sur Server 2012 R2. Vous devez activer cette fonctionnalité sur chaque serveur ADFS dans la batterie de serveurs. Dans la console de gestion ADFS, sélectionnez Modifier les propriétés des services de fédération.

Vous devez également activer la stratégie d’audit du système d’exploitation.

Ouvrez une invite de commandes et exécutez la commande suivante en tant qu’administrateur.

auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

Pour plus d’informations, consultez Comment configurer des serveurs ADFS pour la résolution des problèmes.

Vous souhaiterez peut-être également télécharger les modules PowerShell ADFS à partir de :

• GitHub
• Microsoft scriptcenter

Server 2016 et versions plus récentes

Par défaut, l’audit de base est activé pour ADFS dans Windows Server 2016. Avec l’audit de base, les administrateurs peuvent voir cinq événements ou moins pour une requête unique. Toutefois, vous pouvez augmenter ou diminuer le niveau d’audit à l’aide de la commande suivante :

Set-AdfsProperties -AuditLevel Verbose

Pour plus d’informations, consultez améliorations apportées à l’audit pour ADFS dans Windows Server.

Si Microsoft Entra Connect Health est installé, vous devez également examiner le rapport sur les adresses IP à risque. Les adresses IP clientes des activités de connexion ayant échoué sont agrégées via des serveurs proxy d’application web. Chaque élément du rapport d’adresse IP risquée affiche des informations agrégées sur les échecs de connexion AD FS qui dépassent le seuil défini.

Pour en savoir plus, voir Rapport sur les adresses IP à risque.

Server 2012 R2

ID d’événement 342 : « le nom d’utilisateur ou le mot de passe est incorrect » dans les journaux d’administration ADFS.

Pour les événements d’audit réels, vous devez consulter les journaux des événements de sécurité et rechercher les événements avec l’ID d’événement 411 pour l'échec d’audit classique avec la source en tant qu'audit ADFS. Recherchez également l’ID d’événement 412 sur l’authentification réussie.

ID d’événement 411 Échec de la validation du jeton - SecurityTokenValidationFailureAudit. Pour plus d'informations, consultez l'exception interne.

Vous devrez peut-être mettre en corrélation l’événement avec l’ID d’événement 501 correspondant.

Server 2016 et versions plus récentes

Pour les événements d’audit réels, vous devez consulter les journaux des événements de sécurité et rechercher les événements avec l’ID d’événement 1202 pour les événements d’authentification réussis et 1203 pour les échecs

Exemple pour l'ID d’événement 1202 :

ID d'événement 1202 FreshCredentialSuccessAudit Le service FS (Federation Service) a validé un nouveau justificatif d'identité. Pour plus d'informations, consultez XML.

Exemple pour l'ID d’événement 1203 :

ID d’événement 1203 FreshCredentialFailureAudit Le service FS (Federation Service) n’a pas réussi à valider de nouvelles informations d’identification. Pour plus d’informations sur l’échec, consultez XML.

Pour obtenir la liste complète de l’ID d’événement ADFS par niveau de système d’exploitation, reportez-vous à GetADFSEventList.

Scénario géré

Vérifiez les journaux de connexion Microsoft Entra pour le ou les utilisateurs que vous examinez.

• Naviguer vers l'écran de >connexion du centre d'administration Microsoft Entra
• Vérifier les activités de connexion
• Vérifier la fonction PowerShell sur GitHub

Dans le centre d’administration de Microsoft Entra, accédez à l’écran Connexions et ajoutez/modifiez le filtre d’affichage pour la période que vous avez trouvée lors des étapes précédentes de l’examen, et ajoutez également le nom d’utilisateur en tant que filtre, comme indiqué dans cette image.

Vous pouvez également effectuer une recherche à l’aide de l’API Graph. Par exemple, filtrez sur les propriétés de l'utilisateur et récupérez la lastSignInDate . Recherchez un utilisateur spécifique pour obtenir la date de la dernière connexion de cet utilisateur. Par exemple, https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'Dhanyah')&$select=displayName,signInActivity

Vous pouvez utiliser la commande PowerShell Get-AzureADUserLastSignInActivity pour obtenir la dernière activité de connexion interactive de l’utilisateur, ciblée par son ID d’objet. Cet exemple écrit la sortie dans un fichier CSV horodaté dans le répertoire d’exécution.

Get-AzureADUserLastSignInActivity -TenantId 536279f6-1234-2567-be2d-61e352b51eef -UserObjectId 69447235-0974-4af6-bfa3-d0e922a92048 -CsvOutput

Vous pouvez utiliser cette commande à partir du module PowerShell AzureADIncidentResponse :

Get-AzureADIRSignInDetail -UserId johcast@Contoso.com -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3

Examiner l’adresse IP de la source

Sur la base des adresses IP source que vous avez trouvées dans les journaux de connexion Microsoft Entra ou les fichiers journaux du serveur ADFS/de fédération, recherchez plus d’informations sur l’origine du trafic.

Utilisateur géré

Dans le cas d’un scénario géré, vous devez commencer par examiner les journaux de connexion et filtrer en fonction de l’adresse IP source :

Vous pouvez utiliser cette commande à partir du module PowerShell AzureADIncidentResponse :

Get-AzureADIRSignInDetail -IpAddress 1.2.3.4 -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3 -OutGridView

Lorsque vous examinez la liste des résultats, accédez à l’onglet Informations sur l'appareil. En fonction de l’appareil utilisé, vous obtiendrez un résultat variable. Voici quelques exemples :

• Exemple 1 - appareil non géré (BYOD) :

  

• Exemple 2 - Dispositif géré (Microsoft Entra join ou Microsoft Entra hybrid join) :

  

Vérifiez l’ID de l’appareil si celui-ci est présent. Vous devez également rechercher le système d’exploitation et le navigateur ou la chaîne UserAgent.

Enregistrez le CorrelationID, l’ID de la requête et le timestamp. Vous devez utiliser le CorrelationID et le timestamp pour mettre en corrélation vos découvertes avec d’autres événements.

Utilisateur/application fédéré(e)

Suivez la même procédure que celle fournie pour le Scénario de connexion fédérée.

Recherchez et enregistrez le DeviceID, le niveau du système d’exploitation, le CorrelationID, le RequestID.

Examiner le DeviceID identifié

Cette étape s’applique uniquement aux appareils connus pour Microsoft Entra ID. Par exemple, dans les étapes précédentes, si vous avez trouvé un ou plusieurs ID d’appareil potentiels, vous pouvez effectuer des recherches plus poussées sur cet appareil. Recherchez et enregistrez le DeviceID et le Propriétaire de l'appareil.

Examiner chaque AppID

Ici, le point de départ correspond aux journaux de connexion et à la configuration de l’application de la configuration du locataire ou du serveur de fédération.

Scénario géré

Dans les détails du journal de connexion précédemment détectés, vérifiez l'ID de l’application sous l’onglet Informations de base :

Notez les différences entre l’application (et l’ID) et la ressource (et l’ID). L’application est le composant client impliqué, tandis que la ressource est le service/l’application dans Microsoft Entra ID.

Avec cet AppID, vous pouvez maintenant effectuer des recherches dans le locataire. Voici un exemple :

Get-MgApplication -Filter "AppId eq '30d4cbf1-c561-454e-bf01-528cd5eafd58'"

Id                                       AppId                                    DisplayName

3af6dc4e-b0e5-45ec-8272-56f3f3f875ad     30d4cbf1-c561-454e-bf01-528cd5eafd58     Claims X-Ray

Grâce à ces informations, vous pouvez effectuer des recherches dans le portail des applications d’entreprise. Accédez à Toutes les applications et recherchez l’AppID spécifique.

Playbooks sur les réponses aux incidents supplémentaires

Parcourez les conseils afin d’identifier et d’examiner ces types d’attaques supplémentaires :

• Pulvérisation de mots de passe
• Consentement de l’application
• Approche et meilleures pratiques de l’équipe Réponse aux incidents Microsoft concernant les ransomwares

Ressources pour répondre aux incidents

• Vue d’ensemble des produits et ressources de sécurité Microsoft pour les analystes nouveaux et expérimentés
• Planification de votre centre des opérations de sécurité (SOC)
• Réponse aux incidents Microsoft Defender XDR
• Microsoft Defender pour le cloud (Azure)
• Réponse aux incidents Microsoft Sentinel
• Guide de l’équipe Réponse aux incidents Microsoft regroupant les meilleures pratiques à suivre pour les équipes de sécurité et les dirigeants
• Guides de l’équipe Réponse aux incidents Microsoft visant à aider les équipes de sécurité à analyser les activités suspectes