Investigasi pengelabuan

Artikel ini menyediakan panduan tentang mengidentifikasi dan menyelidiki serangan phishing dalam organisasi Anda. Instruksi langkah demi langkah akan membantu Anda mengambil tindakan perbaikan yang diperlukan untuk melindungi informasi dan meminimalkan risiko lebih lanjut.

Artikel ini berisi bagian berikut:

  • Prasyarat: Mencakup persyaratan khusus yang perlu Anda selesaikan sebelum memulai penyelidikan. Misalnya, pengelogan yang harus diaktifkan, peran dan izin yang diperlukan, antara lain.
  • Alur kerja: Memperlihatkan alur logis yang harus Anda ikuti untuk melakukan penyelidikan ini.
  • Checklist: Berisi daftar tugas untuk setiap langkah dalam bagan alur. Daftar periksa ini dapat membantu di lingkungan yang sangat diatur untuk memverifikasi apa yang telah Anda lakukan atau hanya sebagai gerbang kualitas untuk diri Anda sendiri.
  • Langkah-langkah investigasi: Menyertakan panduan langkah demi langkah terperinci untuk penyelidikan khusus ini.

Prasyarat

Berikut adalah pengaturan dan konfigurasi umum yang harus Anda selesaikan sebelum melanjutkan penyelidikan phishing.

Detail akun

Sebelum melanjutkan penyelidikan, disarankan agar Anda memiliki nama pengguna, nama prinsipal pengguna (UPN) atau alamat email akun yang Anda duga disusupi.

persyaratan dasar Microsoft 365

Memverifikasi pengaturan audit

Verifikasi pengauditan kotak surat aktif secara default diaktifkan. Untuk memastikan bahwa audit kotak surat diaktifkan untuk organisasi Anda, jalankan perintah berikut ini di Microsoft Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

Nilai False menunjukkan bahwa audit kotak surat aktif secara default diaktifkan untuk organisasi. Ini aktif secara default nilai organisasi mengambil alih pengaturan audit kotak surat pada kotak surat tertentu. Misalnya, jika audit kotak surat dinonaktifkan untuk kotak surat (properti AuditEnabledadalah False pada kotak surat), tindakan kotak surat default masih akan diaudit untuk kotak surat, karena pengauditan kotak surat secara default diaktifkan untuk organisasi.

Catatan

Jika penyewa dibuat SEBELUM 2019, maka Anda harus mengaktifkan audit kotak surat dan SEMUA pengaturan audit . Lihat cara mengaktifkan audit kotak surat.

Memverifikasi pengaturan audit kotak surat di penyewa

Untuk memverifikasi semua kotak surat dalam penyewa tertentu, jalankan perintah berikut ini di Exchange Online PowerShell:

Get-Mailbox -ResultSize Unlimited -Filter {RecipientTypeDetails -eq "UserMailbox"} | Set-Mailbox -AuditEnabled $true

Saat audit kotak surat diaktifkan, tindakan pengelogan kotak surat default diterapkan:

  • AuditLogAgeLimit: 90 hari
  • AuditAdmin:(Actions): Update, Move, MoveToDeletedItems, SoftDelete, HardDelete, FolderBind, SendAs, SendonBehalf, Create
  • AuditDelegate:(Actions): Update, SoftDelete, HardDelete, SendAs, Create
  • AuditOwner: (Tindakan) {}

Untuk mengaktifkan pengaturan untuk pengguna tertentu, jalankan perintah berikut. Dalam contoh ini, penggunanya adalah johndoe@contoso.com.

Get-Mailbox -Identity "johndoe" | Set-Mailbox -AuditEnabled $true

Pelacakan pesan

Log pelacakan pesan adalah komponen yang sangat berharga untuk melacak pesan yang menarik untuk memahami sumber asli pesan serta penerima yang dimaksud. Anda dapat menggunakan fungsionalitas MessageTrace melalui portal Microsoft Exchange Online atau cmdlet PowerShell Get-MessageTrace.

Beberapa komponen fungsiOnalitas MessageTrace cukup jelas tetapi Message-ID adalah pengidentifikasi unik untuk pesan email dan memerlukan pemahaman menyeluruh. Untuk mendapatkan MESSAGE-ID untuk email yang menarik, kita perlu memeriksa header email mentah.

Microsoft 365 pusat keamanan dan kepatuhan

Untuk memeriksa apakah pengguna melihat dokumen tertentu atau menghapus item di kotak surat mereka, Anda bisa menggunakan Pusat Kepatuhan Keamanan & Office 365 dan memeriksa izin dan peran pengguna dan administrator.

Anda juga dapat mencari log audit terpadu dan melihat semua aktivitas pengguna dan administrator di organisasi Office 365 Anda.

Apakah log masuk dan/atau log audit diekspor ke sistem eksternal?

Karena sebagian besar data masuk dan audit Azure Active Directory (Azure AD) akan ditimpa setelah 30 atau 90 hari, Microsoft menyarankan agar Anda memanfaatkan Sentinel, Azure Monitor, atau SIEM eksternal.

Peran dan izin yang diperlukan

Peran dalam Azure AD

Sebaiknya peran berikut diaktifkan untuk akun yang akan Anda gunakan untuk melakukan penyelidikan:

Peran di pusat keamanan dan kepatuhan Microsoft 365

Secara umum, peran Pembaca Global atau Pembaca Keamanan harus memberi Anda izin yang memadai untuk mencari log yang relevan.

Catatan

Jika pengguna memiliki peran Log Audit Hanya Lihat atau Log Audit di halaman Izin di Pusat Kepatuhan Keamanan&, mereka tidak akan dapat mencari log audit Office 365. Dalam skenario ini, Anda harus menetapkan izin di Exchange Online karena cmdlet Exchange Online digunakan untuk mencari log.

Jika Anda telah menerapkan kontrol akses berbasis peran (RBAC) di Exchange atau jika Anda tidak yakin peran mana yang Anda butuhkan dalam Exchange, Anda dapat menggunakan PowerShell untuk mendapatkan peran yang diperlukan untuk cmdlet PowerShell Exchange individu:

$Perms | foreach {Get-ManagementRoleAssignment -Role $_.Name -Delegating $false | Format-Table -Auto Role,RoleAssigneeType,RoleAssigneeName}

Untuk informasi selengkapnya, lihat izin yang diperlukan untuk menjalankan cmdlet Exchange apa pun.

Pertahanan Microsoft untuk Titik Akhir

Jika Anda telah mengaktifkan Pertahanan Microsoft untuk Titik Akhir (MDE) dan sudah diluncurkan, Anda harus memanfaatkannya untuk alur ini. Lihat Mengatasi phishing dengan berbagi sinyal dan pembelajaran mesin.

Persyaratan sistem

Persyaratan perangkat keras

Sistem harus dapat menjalankan PowerShell.

Persyaratan perangkat lunak

Modul PowerShell berikut diperlukan untuk penyelidikan lingkungan cloud:

  • Azure AD
  • Azure AD pratinjau dalam beberapa kasus
  • MS Online untuk Office 365
  • Exchange menyambungkan ke Exchange untuk menggunakan pencarian log audit terpadu (aturan kotak masuk, jejak pesan, aturan penerusan, delegasi kotak surat, antara lain)
  • Respons Insiden Azure AD

Saat Anda menggunakan perintah Azure AD yang bukan bagian dari modul bawaan di Azure, Anda memerlukan modul MSOnline - yang merupakan modul yang sama yang digunakan untuk Office 365. Untuk bekerja dengan Azure AD (yang berisi sekumpulan fungsi) dari PowerShell, instal modul Azure AD.

Menginstal berbagai modul PowerShell

Memasang modul Microsoft Azure Active Directory PowerShell

Untuk menginstal modul Azure AD PowerShell, ikuti langkah-langkah berikut:

  1. Jalankan aplikasi Windows PowerShell dengan hak istimewa yang ditinggikan (jalankan sebagai administrator).

  2. Untuk mengizinkan PowerShell menjalankan skrip yang ditandatangani, jalankan perintah berikut:

    Set-ExecutionPolicy RemoteSigned
    
  3. Untuk menginstal modul Azure AD, jalankan perintah berikut:

    Install-Module -Name AzureAD -Verbose
    

    Catatan

    Jika Anda diminta untuk menginstal modul dari repositori yang tidak tepercaya, ketik Y dan tekan Enter.

Menginstal modul MSOnline PowerShell

Untuk menginstal modul MSOnline PowerShell, ikuti langkah-langkah berikut:

  1. Jalankan aplikasi Windows PowerShell dengan hak istimewa yang ditinggikan (jalankan sebagai administrator).

  2. Untuk mengizinkan PowerShell menjalankan skrip yang ditandatangani, jalankan perintah berikut:

    Set-ExecutionPolicy RemoteSigned
    
  3. Untuk menginstal modul MSOnline, jalankan perintah berikut:

    Install-Module -Name MSOnline -Verbose
    

    Catatan

    Jika Anda diminta untuk menginstal modul dari repositori yang tidak tepercaya, ketik Y dan tekan Enter.

Menginstal modul Exchange PowerShell

Ikuti langkah-langkah tentang cara menginstal Exchange PowerShell dengan autentikasi multifaktor (MFA). Anda harus memiliki akses ke penyewa, sehingga Anda dapat mengunduh modul Exchange Online PowerShell dari tab Hibrid di pusat admin Exchange (EAC).

Setelah mengonfigurasi pengaturan yang diperlukan, Anda dapat melanjutkan penyelidikan.

Menginstal modul Respons Insiden Azure AD

Modul AzureADIncidentResponse PowerShell baru menyediakan kemampuan pemfilteran yang kaya untuk insiden Azure AD. Gunakan langkah-langkah ini untuk menginstalnya.

  1. Jalankan aplikasi Windows PowerShell dengan hak istimewa yang ditinggikan (jalankan sebagai administrator).

  2. Gunakan perintah ini.

    Install-Module -Name AzureADIncidentResponse -RequiredVersion 4.0
    

    Catatan

    Jika Anda diminta untuk menginstal modul dari repositori yang tidak tepercaya, ketik Y dan tekan Enter.

Alur kerja

Phishing investigation workflow

Anda juga dapat:

  • Unduh phishing dan alur kerja playbook respons insiden lainnya sebagai PDF.
  • Unduh phishing dan alur kerja playbook respons insiden lainnya sebagai file Visio.

Daftar periksa

Daftar periksa ini akan membantu Anda mengevaluasi proses investigasi dan memverifikasi apakah Anda telah menyelesaikan semua langkah selama penyelidikan:

  • Meninjau email pengelabuan awal
  • Dapatkan daftar pengguna yang mendapatkan email ini
  • Mendapatkan tanggal terbaru saat pengguna memiliki akses ke kotak surat
  • Apakah akses yang didelegasikan dikonfigurasi pada kotak surat?
  • Apakah ada aturan penerusan yang dikonfigurasi untuk kotak surat?
  • Meninjau Aturan Transportasi Email Anda
  • Temukan email
  • Apakah pengguna membaca atau membuka email?
  • Siapa lain punya email yang sama?
  • Apakah email berisi lampiran?
  • Apakah ada payload dalam lampiran?
  • Periksa header email untuk sumber pengirim yang benar
  • Memverifikasi alamat IP kepada penyerang/kampanye
  • Apakah pengguna mengklik tautan dalam email?
  • Pada titik akhir apa email dibuka?
  • Apakah payload lampiran dijalankan?
  • Apakah IP atau URL tujuan disentuh atau dibuka?
  • Apakah kode berbahaya dijalankan?
  • Rincian masuk apa yang terjadi dengan akun untuk skenario federasi?
  • Rincian masuk apa yang terjadi dengan akun untuk skenario terkelola?
  • Menyelidiki alamat IP sumber
  • Menyelidiki ID perangkat yang ditemukan
  • Menyelidiki setiap ID Aplikasi

Anda juga dapat mengunduh phishing dan daftar periksa playbook insiden lainnya sebagai file Excel.

Langkah-langkah investigasi

Untuk penyelidikan ini, diasumsikan bahwa Anda memiliki contoh email pengelabuan, atau bagiannya seperti alamat pengirim, subjek email, atau bagian pesan untuk memulai penyelidikan. Pastikan juga bahwa Anda telah menyelesaikan/mengaktifkan semua pengaturan seperti yang direkomendasikan di bagian Prasyarat .

Playbook ini dibuat dengan niat bahwa tidak semua pelanggan Microsoft dan tim investigasi mereka akan memiliki rangkaian lisensi Microsoft 365 E5 atau Azure AD Premium P2 lengkap yang tersedia atau dikonfigurasi di penyewa yang sedang diselidiki. Namun, kami akan menyoroti kemampuan otomatisasi tambahan jika sesuai.

Mendapatkan daftar pengguna/ identitas yang mendapatkan email

Sebagai langkah pertama, Anda perlu mendapatkan daftar pengguna / identitas yang menerima email phishing. Tujuan dari langkah ini adalah untuk merekam daftar pengguna/identitas potensial yang nantinya akan Anda gunakan untuk melakukan iterasi untuk langkah-langkah penyelidikan tambahan. Silakan lihat bagian Alur Kerja untuk diagram alur tingkat tinggi dari langkah-langkah yang perlu Anda ikuti selama penyelidikan ini.

Kami tidak memberikan rekomendasi apa pun dalam playbook ini tentang bagaimana Anda ingin merekam daftar pengguna/identitas potensial ini. Tergantung pada ukuran penyelidikan, Anda dapat memanfaatkan buku Excel, file CSV, atau bahkan database untuk penyelidikan yang lebih besar. Ada beberapa cara untuk mendapatkan daftar identitas dalam penyewa tertentu, dan berikut adalah beberapa contohnya.

Membuat filter pencarian di dalam pusat kepatuhan keamanan &

Navigasi ke pusat kepatuhan keamanan & di Microsoft 365 dan buat filter pencarian baru, menggunakan indikator yang telah Anda berikan. Ikuti panduan tentang cara membuat filter pencarian.

Untuk daftar lengkap pola yang dapat dicari di pusat kepatuhan keamanan & , lihat artikel tentang properti email yang dapat dicari.

Pola pencarian sampel

Contoh kueri berikut mengembalikan pesan yang diterima oleh pengguna antara 13 April 2016 dan 14 April 2016 dan yang berisi kata "tindakan" dan "diperlukan" di baris subjek:

(Received:4/13/2016..4/14/2016) AND (Subject:'Action required')

Contoh kueri berikut mengembalikan pesan yang dikirim oleh chatsuwloginsset12345@outlook[.] com dan yang berisi frasa yang tepat "Perbarui informasi akun Anda" di baris subjek.

(From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Untuk detail selengkapnya, lihat cara mencari dan menghapus pesan di organisasi Anda.

Menggunakan cmdlet Search-Mailbox

Anda bisa menggunakan Search-mailbox cmdlet untuk melakukan kueri pencarian tertentu terhadap kotak surat target yang menarik dan menyalin hasilnya ke kotak surat tujuan yang tidak terkait.

Contoh kueri berikut mencari kotak surat Jane Smith untuk email yang berisi Faktur frasa dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama "Investigasi."

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Dalam perintah contoh ini, kueri mencari semua kotak surat penyewa untuk email yang berisi frasa "InvoiceUrgent" dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama "Investigasi."

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Apakah akses yang didelegasikan dikonfigurasi pada kotak surat?

Lihat cara memeriksa apakah akses yang didelegasikan dikonfigurasi pada kotak surat.

Untuk membuat laporan ini, jalankan skrip PowerShell kecil yang mendapatkan daftar semua pengguna Anda. Kemudian, gunakan cmdlet Get-MailboxPermission untuk membuat file CSV dari semua delegasi kotak surat dalam penyewaan Anda.

Cari nama atau pemberian izin yang tidak biasa. Jika Anda melihat sesuatu yang tidak biasa, hubungi pemilik kotak surat untuk memeriksa apakah itu sah.

Apakah ada aturan penerusan yang dikonfigurasi untuk kotak surat?

Dalam langkah ini, Anda perlu memeriksa setiap kotak surat yang sebelumnya diidentifikasi untuk aturan penerusan atau aturan kotak masuk. Untuk aturan penerusan, gunakan perintah PowerShell berikut ini:

Get-Mailbox | select UserPrincipalName,ForwardingSmtpAddress,DeliverToMailboxAndForward | Export-csv c:\temp\Forwarding.csv -NoTypeInformation

Berikut adalah contoh kueri:

Search-UnifiedAuditLog -startdate 12/16/2019 -EndDate 03/16/2019 -ResultSize 5000 -recordtype exchangeadmin -Operations New-InboxRule |Export-csv NoTypeInformation -Path c:\temp\Inboxrulesoutput.csv

Selain itu, Anda juga dapat menggunakan laporan Kotak Masuk dan Aturan Penerusan di pusat kepatuhan keamanan & Office 365.

  1. Navigasi ke Penampil Laporan Dasbor > - Kepatuhan Keamanan&.

  2. Cari lokasi target yang tidak biasa, atau alamat eksternal apa pun.

  3. Cari juga aturan penerusan dengan kata kunci yang tidak biasa dalam kriteria seperti semua email dengan faktur kata dalam subjek. Hubungi pemilik kotak surat untuk memeriksa apakah itu sah.

Meninjau aturan kotak masuk

Selain itu, periksa penghapusan aturan Kotak Masuk. Sebagai contoh, gunakan perintah PowerShell berikut:

Search-UnifiedAuditLog -startDate 12/16/2019 -EndDate 03/16/2020 -Operations Remove-InboxRule |Export-CSV NoTypeInformation -Path c:\temp\removedInboxRules.csv

Cari aturan kotak masuk yang dihapus, pertimbangkan tanda waktu di dekat investigasi Anda.

Meninjau aturan transportasi email

Ada dua cara untuk mendapatkan daftar aturan transportasi.

  1. Di pusat admin Exchange, navigasikan ke Aturan Flow > Email>.
  2. Di Pusat Kepatuhan Keamanan & Office 365, navigasikan ke Laporan Dasbor Kepatuhan Keamanan & Penampil > - Exchange laporan Aturan Transportasi dan buat laporan.

Tampilan ringkasan laporan menunjukkan daftar semua aturan transportasi email yang telah Anda konfigurasi untuk penyewaan Anda. Saat Anda memilih aturan tertentu, Anda akan melihat detail aturan di panel Ringkasan di sebelah kanan, yang menyertakan kriteria dan tindakan yang memenuhi syarat yang diambil saat kondisi aturan cocok.

Cari aturan baru, atau aturan yang telah dimodifikasi untuk mengalihkan email ke domain eksternal. Jumlah aturan harus relatif kecil sehingga Anda dapat mempertahankan daftar aturan yang baik yang diketahui. Jika Anda membuat aturan baru, maka Anda harus membuat entri baru dalam laporan Audit untuk peristiwa tersebut. Anda dapat mencari laporan untuk menentukan siapa yang membuat aturan dan dari tempat mereka membuatnya. Jika Anda melihat sesuatu yang tidak biasa, hubungi pembuat untuk menentukan apakah itu sah.

Mendapatkan tanggal terbaru saat pengguna memiliki akses ke kotak surat

Di pusat kepatuhan keamanan & Office 365, navigasikan ke log audit terpadu. Di bawah Aktivitas di daftar drop-down, Anda bisa memfilter menurut Exchange Aktivitas Kotak Surat.

Kemampuan untuk mencantumkan pengguna yang disusupi tersedia di pusat kepatuhan keamanan & Microsoft 365.

Laporan ini memperlihatkan aktivitas yang dapat menunjukkan kotak surat sedang diakses secara terlarang. Ini termasuk pesan yang dibuat atau diterima, pesan yang dipindahkan atau dihapus, pesan yang disalin atau dihapus menyeluruh, mengirim pesan menggunakan kirim atas nama atau kirim sebagai, dan semua masuk kotak surat. Data tersebut mencakup tanggal, alamat IP, pengguna, aktivitas yang dilakukan, item yang terpengaruh, dan detail yang diperluas.

Catatan

Agar data ini direkam, Anda harus mengaktifkan opsi audit kotak surat .

Volume data yang disertakan di sini bisa sangat substansial, jadi fokuskan pencarian Anda pada pengguna yang akan berdampak tinggi jika dilanggar. Cari pola yang tidak biasa seperti waktu ganjil dalam sehari, atau alamat IP yang tidak biasa, dan cari pola seperti gerakan, pembersihan, atau penghapusan dalam volume tinggi.

Apakah pengguna membaca/membuka email?

Ada dua kasus utama di sini:

  • Microsoft Exchange Online
  • Exchange hibrid dengan server Exchange lokal.

Microsoft Exchange Online

Search-Mailbox Gunakan cmdlet untuk melakukan kueri pencarian tertentu terhadap kotak surat target yang menarik dan salin hasilnya ke kotak surat tujuan yang tidak terkait.
Contoh kueri berikut mencari kotak surat Janes Smith untuk email yang berisi faktur frasa dalam subjek dan menyalin hasilnya ke IRMailbox di folder bernama Investigasi.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Contoh kueri berikut mencari semua kotak surat penyewa untuk email yang berisi frasa InvoiceUrgent dalam subjek dan menyalin hasilnya ke IRMailbox dalam folder bernama Investigasi.

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Exchange lokal

Get-MessageTrackingLog Gunakan cmdlet untuk mencari informasi pengiriman pesan yang disimpan dalam log pelacakan pesan. Berikut contohnya:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -Sender "john@contoso.com"

Untuk informasi tentang set parameter, lihat sintaks cmdlet Exchange.

Siapa lain punya email yang sama?

Ada dua kasus utama di sini: Anda memiliki Exchange Online atau Exchange Hibrid dengan server Exchange lokal. Alur kerja pada dasarnya sama dengan yang dijelaskan dalam topik Dapatkan daftar pengguna/identitas yang mendapatkan email.

Pertukaran Online

Search-Mailbox Gunakan cmdlet untuk melakukan kueri pencarian tertentu terhadap kotak surat target yang menarik dan salin hasilnya ke kotak surat tujuan yang tidak terkait.

Kueri sampel ini mencari semua kotak surat penyewa untuk email yang berisi subjek InvoiceUrgent dalam subjek dan menyalin hasilnya ke IRMailbox dalam folder bernama Investigasi.

Get-Mailbox | Search-Mailbox -SearchQuery "Subject:InvoiceUrgent" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Exchange lokal

Get-MessageTrackingLog Gunakan cmdlet untuk mencari informasi pengiriman pesan yang disimpan dalam log pelacakan pesan. Berikut contohnya:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -MessageSubject "InvoiceUrgent"

Apakah email berisi lampiran?

Anda memiliki dua opsi untuk Exchange Online:

  1. Menggunakan cmdlet klasik Search-Mailbox
  2. New-ComplianceSearch Menggunakan cmdlet

Pertukaran Online

Search-Mailbox Gunakan cmdlet untuk melakukan kueri pencarian tertentu terhadap kotak surat target yang menarik dan salin hasilnya ke kotak surat tujuan yang tidak terkait. Berikut contohnya:

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Opsi lainnya adalah menggunakan New-ComplianceSearch cmdlet . Berikut contohnya:

New-ComplianceSearch -Name "Investigation" -ExchangeLocation "Research Department" -ContentMatchQuery "from:pilar@contoso.com AND hasattachment:true"

Exchange lokal

Search-Mailbox Gunakan cmdlet untuk mencari informasi pengiriman pesan yang disimpan dalam log pelacakan pesan. Berikut contohnya:

Search-Mailbox -Identity "Jane Smith"-SearchQuery AttachmentNames:attachment_name -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Catatan

Untuk Exchange 2013, Anda memerlukan CU12 agar cmdlet ini berjalan.

Apakah ada payload dalam lampiran?

Dalam langkah ini, cari potensi konten berbahaya dalam lampiran, misalnya, file PDF, PowerShell yang dikaburkan, atau kode skrip lainnya.

Laporan Deteksi Malware menunjukkan jumlah pesan masuk dan keluar yang terdeteksi berisi malware untuk organisasi Anda.

Untuk melihat laporan ini, di pusat kepatuhan keamanan & , buka Dasbor >> Laporan Deteksi Malware.

Mirip dengan laporan Status Perlindungan Ancaman , laporan ini juga menampilkan data selama tujuh hari terakhir secara default. Namun, Anda dapat memilih filter untuk mengubah rentang tanggal hingga 90 hari untuk melihat detailnya. (Jika Anda menggunakan langganan uji coba, Anda mungkin dibatasi hingga 30 hari data.) Untuk melihat detailnya, pilih Tampilkan tabel detail atau ekspor laporan.

Periksa header email untuk sumber pengirim yang benar

Banyak komponen fungsionalitas pelacakan pesan yang jelas sendiri tetapi Anda perlu memahami dengan menyeluruh tentang Message-ID. Message-ID adalah pengidentifikasi unik untuk pesan email.

Untuk mendapatkan MESSAGE-ID untuk email yang menarik, Anda perlu memeriksa header email mentah. Pemeriksaan header email akan bervariasi sesuai dengan klien email yang digunakan. Namun, biasanya dalam Office 365, buka pesan email dan dari panel Baca, pilih Tampilkan Pesan Asli untuk mengidentifikasi klien email. Jika ragu, pencarian sederhana tentang cara melihat header pesan di masing-masing klien email harus memberikan panduan lebih lanjut.

Anda harus mulai dengan melihat header email. Misalnya, di Outlook 365, buka pesan, navigasikan ke Properti Info > File>:

Example of a properties screen showing email headersLayar properti memperlihatkan header email

Saat melihat header email, disarankan untuk menyalin dan menempelkan informasi header ke penganalisis header email yang disediakan oleh MXToolbox atau Azure untuk keterbacaan.

  • Informasi Perutean Header: Informasi perutean menyediakan rute email karena sedang ditransfer antar komputer.

  • Kerangka Kerja Kebijakan Pengirim (SPF): Validasi email untuk membantu mencegah/mendeteksi spoofing. Dalam catatan SPF, Anda dapat menentukan alamat IP dan domain mana yang dapat mengirim email atas nama domain.

  • SPF = Lulus: Catatan TXT SPF menentukan pengirim diizinkan untuk mengirim atas nama domain.

    • SPF = Netral
    • SPF = Gagal: Konfigurasi kebijakan menentukan hasil pesan
      IP Pengirim
    • Email SMTP: Validasi apakah ini adalah domain yang sah
  • Nilai Umum: Berikut adalah perincian header yang paling umum digunakan dan dilihat, dan nilainya. Ini adalah informasi berharga dan Anda dapat menggunakannya di bidang Pencarian di Penjelajah Ancaman.

    • Alamat Dari
    • Subjek
    • ID Pesan
    • Ke alamat
    • Alamat jalur pengembalian
  • Hasil Autentikasi: Anda dapat menemukan apa yang diautentikasi klien email Anda saat email dikirim. Ini akan memberi Anda autentikasi SPF dan DKIM.

  • IP Asal: IP asli dapat digunakan untuk menentukan apakah IP diblokir dan untuk mendapatkan lokasi geografis.

  • Tingkat Keyakinan Spam (SCL): Ini menentukan kemungkinan email masuk adalah spam.
    Peringkat SCL:

    • -1: Non-spam yang berasal dari pengirim yang aman, penerima aman, atau alamat IP yang terdaftar dengan aman (mitra tepercaya)
    • 0, 1: Non-spam karena pesan dipindai dan ditentukan bersih
    • 5, 6: Spam
    • 7, 8, 9: Spam keyakinan tinggi

Catatan SPF disimpan dalam database DNS dan dibundel dengan informasi pencarian DNS. Anda dapat memeriksa catatan Kerangka Kerja Kebijakan Pengirim (SPF) secara manual untuk domain dengan menggunakan perintah nslookup :

  1. Buka prompt perintah (Mulai > Jalankan > cmd).

  2. Ketik perintah sebagai: nslookup -type=txt" spasi, lalu nama domain/host. Contohnya:

     nslookup -type=txt domainname.com
    

Catatan

-all (tolak atau gagal mereka - jangan kirim email jika ada yang tidak cocok), ini disarankan.

Periksa apakah DKIM diaktifkan pada domain kustom Anda di Office 365

Anda perlu menerbitkan dua data CNAME untuk setiap domain yang ingin mereka tambahkan kunci domain yang diidentifikasi email (DKIM). Lihat cara menggunakan DKIM untuk memvalidasi email keluar yang dikirim dari domain kustom Anda.

Periksa autentikasi, pelaporan, dan kesamaan pesan berbasis domain (DMARC)

Anda dapat menggunakan fitur ini untuk memvalidasi email keluar di Office 365.

Memverifikasi alamat IP kepada penyerang/kampanye

Untuk memverifikasi atau menyelidiki alamat IP yang telah diidentifikasi dari langkah-langkah penyelidikan sebelumnya, Anda dapat menggunakan salah satu opsi ini:

  • VirusTotal
  • Pertahanan Microsoft untuk Titik Akhir
  • Sumber Publik:
    • Ipinfo.io - Memiliki opsi gratis untuk mendapatkan lokasi geografis
    • Censys.io - Memiliki opsi gratis untuk mendapatkan informasi tentang apa yang diketahui oleh pemindaian pasif mereka dari internet
    • AbuseIPDB.com - Memiliki opsi gratis yang menyediakan beberapa geolokasi
    • Tanyakan Bing dan Google - Cari di alamat IP

Reputasi URL

Anda dapat menggunakan perangkat Windows 10 dan browser Microsoft Edge yang memanfaatkan teknologi SmartScreen.

Berikut adalah beberapa contoh reputasi URL pihak ketiga

Saat Anda menyelidiki alamat IP dan URL, cari dan korelasikan alamat IP ke indikator penyusupan (IOC) atau indikator lainnya, tergantung pada output atau hasilnya dan tambahkan ke daftar sumber dari lawan.

Jika pengguna telah mengklik tautan di email (sengaja atau tidak), tindakan ini biasanya mengarah ke pembuatan proses baru pada perangkat itu sendiri. Bergantung pada perangkat yang dilakukan, Anda perlu melakukan penyelidikan khusus perangkat. Misalnya, Windows vs Android vs iOS. Dalam artikel ini, kami telah menjelaskan pendekatan umum bersama dengan beberapa detail untuk perangkat berbasis Windows. Jika Anda menggunakan Pertahanan Microsoft untuk Titik Akhir (MDE), maka Anda juga dapat memanfaatkannya untuk iOS dan segera Android.

Anda dapat menyelidiki peristiwa ini menggunakan Pertahanan Microsoft untuk Titik Akhir.

  1. Log VPN/proksi
    Bergantung pada vendor solusi proksi dan VPN, Anda perlu memeriksa log yang relevan. Idealnya Anda meneruskan peristiwa ke SIEM Anda atau ke Microsoft Sentinel.

  2. Menggunakan Pertahanan Microsoft untuk Titik Akhir
    Ini adalah skenario terbaik, karena Anda dapat menggunakan inteligensi ancaman dan analisis otomatis kami untuk membantu penyelidikan Anda. Untuk detail selengkapnya, lihat cara menyelidiki pemberitahuan di Pertahanan Microsoft untuk Titik Akhir.

    Pohon proses Pemberitahuan mengambil triase pemberitahuan dan investigasi ke tingkat berikutnya, menampilkan pemberitahuan agregat dan bukti di sekitarnya yang terjadi dalam konteks eksekusi dan periode waktu yang sama.
    Example of the alert process tree

  3. perangkat klien berbasis Windows
    Pastikan Anda telah mengaktifkan opsi Kejadian Pembuatan Proses . Idealnya, Anda juga harus mengaktifkan Peristiwa Pelacakan baris perintah.

    Pada klien Windows, yang mengaktifkan Peristiwa Audit yang disebutkan di atas sebelum penyelidikan, Anda dapat memeriksa Peristiwa Audit 4688 dan menentukan waktu ketika email dikirimkan kepada pengguna:

    Example of Audit Event 4688

    Another example of Audit Event 4688

Pada titik akhir apa email dibuka?

Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna mengklik tautan dalam email?

Apakah payload terlampir dijalankan?

Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna mengklik tautan dalam email?

Apakah IP/URL tujuan disentuh atau dibuka?

Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna mengklik tautan dalam email?

Apakah kode berbahaya dijalankan?

Tugas di sini mirip dengan langkah investigasi sebelumnya: Apakah pengguna mengklik tautan dalam email?

Rincian masuk apa yang terjadi dengan akun?

Periksa berbagai rincian masuk yang terjadi dengan akun.

Skenario federasi

Pengaturan log audit dan peristiwa berbeda berdasarkan Tingkat sistem operasi (OS) dan versi Server Active Directory Federation Services (ADFS).

Lihat bagian berikut untuk versi server yang berbeda.

Server 2012R2

Secara default, peristiwa keamanan tidak diaudit di Server 2012R2. Anda perlu mengaktifkan fitur ini di setiap Server ADFS di Farm. Di konsol Manajemen ADFS dan pilih Edit Properti Layanan Federasi.

federatedproperties

Anda juga perlu mengaktifkan Kebijakan Audit OS.

Buka prompt perintah, dan jalankan perintah berikut sebagai administrator.

auditpol.exe /set /subcategory:”Application Generated” /failure:enable /success:enable

Untuk detail selengkapnya, lihat cara mengonfigurasi server ADFS untuk pemecahan masalah.

Anda mungkin juga ingin mengunduh modul ADFS PowerShell dari:

Server 2016 dan yang lebih baru

Secara default, ADFS di Windows Server 2016 mengaktifkan audit dasar. Dengan audit dasar, administrator dapat melihat lima atau kurang peristiwa untuk satu permintaan. Tetapi Anda dapat menaikkan atau menurunkan tingkat audit dengan menggunakan perintah ini:

Set-AdfsProperties -AuditLevel Verbose

Untuk detail selengkapnya, lihat mengaudit penyempurnaan ke ADFS di server Windows.

Jika Anda telah menginstal Azure AD Koneksi Health, Anda juga harus melihat laporan IP Riskan. Alamat IP klien aktivitas masuk yang gagal diagregasi melalui server proksi Aplikasi Web. Setiap item dalam laporan IP Riskan menunjukkan informasi agregat tentang aktivitas masuk LAYANAN Federasi Direktori Aktif yang gagal yang melebihi ambang batas yang ditentukan.

Example of the risky IP report

Untuk detail selengkapnya, lihat Laporan IP berisiko.

Server 2012R2

ID Peristiwa 342 – "Nama pengguna atau kata sandi salah" di log admin ADFS.

Untuk peristiwa audit aktual, Anda perlu melihat log Peristiwa keamanan dan Anda harus mencari peristiwa dengan EVENT ID 411 untuk Kegagalan Audit Klasik dengan sumber sebagai Audit ADFS. Cari juga EVENT ID 412 pada autentikasi yang berhasil.

ID Peristiwa 411 - Validasi Token SecurityTokenValidationFailureAudit gagal. Lihat pengecualian dalam untuk detail selengkapnya.

Example of an event 411

Example of an event 412

Anda mungkin perlu menghubungkan Peristiwa dengan ID Peristiwa 501 yang sesuai.

Server 2016 dan yang lebih baru

Untuk peristiwa audit aktual, Anda perlu melihat log peristiwa keamanan dan Anda harus mencari peristiwa dengan mencari ID Peristiwa 1202 untuk peristiwa autentikasi yang berhasil dan 1203 untuk kegagalan

Contoh untuk ID Peristiwa1202:

ID Peristiwa 1202 FreshCredentialSuccessAudit Layanan Federasi memvalidasi kredensial baru. Lihat XML untuk detailnya.

Contoh untuk ID Peristiwa 1203:

ID Peristiwa 1203 FreshCredentialFailureAudit Layanan Federasi gagal memvalidasi kredensial baru. Lihat XML untuk detail kegagalan.

Example of an event 1203

Example of an event 4624

Untuk mendapatkan daftar lengkap ID Peristiwa ADFS per Tingkat OS, lihat GetADFSEventList.

Skenario terkelola

Periksa log masuk Azure AD untuk pengguna yang Anda selidiki.

Di portal Azure AD, navigasikan ke layar Masuk dan tambahkan/ubah filter tampilan untuk jangka waktu yang Anda temukan di langkah-langkah investigasi sebelumnya serta tambahkan nama pengguna sebagai filter, seperti yang ditunjukkan pada gambar ini.

Example of a display filter

Anda juga dapat mencari menggunakan API Graph. Misalnya, filter pada properti Pengguna dan dapatkan lastSignInDate bersama dengannya. Cari pengguna tertentu untuk mendapatkan tanggal masuk terakhir untuk pengguna ini. Misalnya, https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'Dhanyah')&$select=displayName,signInActivity

Atau Anda dapat menggunakan perintah Get-AzureADUserLastSignInActivity PowerShell untuk mendapatkan aktivitas masuk interaktif terakhir untuk pengguna, yang ditargetkan oleh ID objek mereka. Contoh ini menulis output ke file CSV bertanda tanggal dan waktu di direktori eksekusi.

Get-AzureADUserLastSignInActivity -TenantId 536279f6-1234-2567-be2d-61e352b51eef -UserObjectId 69447235-0974-4af6-bfa3-d0e922a92048 -CsvOutput

Atau Anda dapat menggunakan perintah ini dari modul PowerShell AzureADIncidentResponse:

Get-AzureADIRSignInDetail -UserId johcast@Contoso.com -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3

Menyelidiki alamat IP sumber

Berdasarkan alamat IP sumber yang Anda temukan di log masuk Azure AD atau file log ADFS/Federation Server, selidiki lebih lanjut untuk mengetahui dari mana lalu lintas berasal.

Pengguna terkelola

Untuk skenario terkelola, Anda harus mulai melihat log masuk dan memfilter berdasarkan alamat IP sumber:

Example of a managed user IP address]

Atau Anda dapat menggunakan perintah ini dari modul PowerShell AzureADIncidentResponse:

Get-AzureADIRSignInDetail -IpAddress 1.2.3.4 -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3 -OutGridView

Saat Anda melihat ke dalam daftar hasil, navigasikan ke tab Info perangkat . Tergantung pada perangkat yang digunakan, Anda akan mendapatkan output yang bervariasi. Berikut beberapa contohnya:

  • Contoh 1 - Perangkat yang tidak dikelola (BYOD):

    Example of a unmanaged device

  • Contoh 2 - Perangkat terkelola (gabungan Azure AD atau gabungan Azure AD hibrid):

    Example of a managed device

Periksa DeviceID jika ada. Anda juga harus mencari OS dan browser atau string UserAgent .

Example of a device ID

Catat CorrelationID, ID Permintaan , dan tanda waktu. Anda harus menggunakan CorrelationID dan tanda waktu untuk menghubungkan temuan Anda dengan peristiwa lain.

Pengguna/aplikasi federasi

Ikuti prosedur yang sama yang disediakan untuk skenario masuk Federasi.

Cari dan catat DeviceID, Tingkat OS, CorrelationID, RequestID.

Menyelidiki DeviceID yang diidentifikasi

Langkah ini hanya relevan untuk perangkat yang diketahui Azure AD. Misalnya, dari langkah-langkah sebelumnya, jika Anda menemukan satu atau beberapa ID perangkat potensial, maka Anda dapat menyelidiki lebih lanjut di perangkat ini. Cari dan rekam DeviceID dan Pemilik Perangkat.

Menyelidiki setiap AppID

Titik awal di sini adalah log masuk dan konfigurasi aplikasi penyewa atau konfigurasi server federasi.

Skenario terkelola

Dari detail log masuk yang ditemukan sebelumnya, periksa ID Aplikasi di bawah tab Info dasar :

managedscenario

Perhatikan perbedaan antara Aplikasi (dan ID) dengan Sumber Daya (dan ID). Aplikasi ini adalah komponen klien yang terlibat, sedangkan Sumber Daya adalah layanan/aplikasi dalam Azure AD.

Dengan AppID ini, Anda sekarang dapat melakukan penelitian di penyewa. Berikut contohnya:

Get-AzureADApplication -Filter "AppId eq '30d4cbf1-c561-454e-bf01-528cd5eafd58'"

ObjectId                              |   AppId                                |    DisplayName

3af6dc4e-b0e5-45ec-8272-56f3f3f875ad     30d4cbf1-c561-454e-bf01-528cd5eafd58         Claims X-Ray

Dengan informasi ini, Anda dapat mencari di portal Aplikasi Perusahaan. Navigasi ke Semua Aplikasi dan cari AppID tertentu.

Example of an application ID

Playbook respons insiden tambahan

Periksa panduan untuk mengidentifikasi dan menyelidiki jenis serangan tambahan ini:

Sumber daya respons insiden