Hogyan segíti a Microsoft 365 MailItemsAccessed eseménye a törvényszéki vizsgálatokat – CloudSavvy IT

Avatar admin | 2021.03.31. 13 Views 0 Likes 0 Ratings

13 Views 0 Ratings Rate it

Shutterstock / Sam Kresslein

A Microsoft kitette a MailItemsAccessed esemény úgy, hogy megjelenjen az Advanced Audit naplókban. Megvizsgáljuk, hogyan használják ezt fel a gyanítottan feltört postai fiókok kivizsgálására.

Miért kritikus a jó naplózás?

Az operációs rendszerek, a hálózati készülékek, a szoftveralkalmazások és a szoftverszolgáltatások valamilyen mértékben diagnosztikai naplót hoznak létre. A naplókban szereplő időbélyegek kereszthivatkozásával pontos képet alkothat arról, hogy mi történt a hálózatában az idő bármely pontján.

A felhasználói tevékenységek, a folyamatok közötti kommunikáció, a fájlhozzáférés, a hálózaton keresztül mozgó hálózati forgalom, a hálózatba való be- és kikapcsolás stb. Mind naplózásra kerülnek. E mögött nincs baljós napirend. A naplózás – és e naplók későbbi elemzése – a szokásos működési eljárás az operatív problémák vagy a kiberbiztonsági események diagnosztizálásakor.

Amikor azt próbálja kideríteni, hogy a rendszer hogyan került veszélybe, és mit tett a fenyegetés színész, amikor hozzáfértek a rendszeréhez, a naplók vizsgálata mindig az első lépés. Képes hivatkozni az események ütemezésének részletes feljegyzésére, amely kizárólag a felhasználói tanúságtétel alapján próbálja összeilleszteni a történteket.

A felhasználók arra korlátozódnak, hogy leírják, mit tapasztaltak és mit láttak a rendszerben. Bár segítőkészek próbálnak lenni, csak annyit tudnak neked adni, hogy emlékeznek a látható tünetek az eset. Ez nem nyújt betekintést abba, hogy az érintett eszközök és rendszerek mit csináltak belsőleg – vagy gondolták, hogy csinálnak – az esemény idején. A nyomozóknak pedig ilyen szintű információra van szükségük a kiváltó ok az eset.

Nyilvánvaló, hogy minél részletesebbek a naplók, annál hasznosabbak lesznek kriminalisztikai vagy diagnosztikai helyzetben. Minél részletesebb információkat adnak az eszközök, és minél gyakrabban írják ezeket az adatokat a naplóba, annál jobb.

Szüksége van egy E5 vagy G5 licencre

A Microsoft nemrégiben készített egy másik eseménytípust – MailItemsAccessed – megjelennek a Speciális naplózási naplók a Microsoft 365-ben. Ez azért fontos, mert ez lehetővé teszi a nyomozók számára, hogy megnézzék, mely levelezési tárgyakhoz kerültek hozzá egy kibertámadás során. Ez az esemény korábban is létezett, de csak nemrégiben tették közzé, és lehetővé tették a naplók szűrését.

A kibertámadás során elért e-mail tételek ismerete segíthet megakadályozni az e-mailekben található adatok kihasználását. Adatvédelmi követelmény lehet az is, hogy azonosítani tudja a sérült e-maileket, az e-mailek feladóit és címzettjeit.

Az MailItemsAccessed esemény lehetővé teszi, hogy csak ezt tegye, de az Advanced Audit nem mindenki számára elérhető a Microsoft 365 rendszeren Microsoft 365 Enterprise E5 vagy G5 előfizetés. Ezek a licencek biztosítják az Advanced Audit funkciót és a naplófájlok megőrzését egy évig. Ha kívánja, meghosszabbíthatja ezt 10 évre. Ez a 10 éves megőrzési lehetőség lehetővé teszi a szervezetek számára a történelmi események kivizsgálását és az adatvédelmi, jogi vagy egyéb kötelezettségek teljesítését.

A MailItemsAccessed esemény

Az MailItemsAccessed esemény az e-mailek elérésekor vált ki. Ha egy fenyegetés szereplő hozzáfér a Microsft 365-fiókhoz, az MailItemsAccessed a művelet akkor is elindul – és naplózásra kerül -, ha nincs egyértelmű utalás arra, hogy a megsértett e-maileket elolvasták. Csak az e-mailek elérése elegendő az esemény felvetéséhez. Természetesen az esemény akkor merül fel, amikor egy rendes felhasználó is törvényesen hozzáfér az e-mailjeihez, de a vizsgálat nullázni fog bizonyos időszakokban, lehetővé téve a rendszeres felhasználó tevékenységeinek elvetését.

Az MailItemsAccessed a postaláda-esemény egy régebbi nevű esemény helyébe lép MessageBind, és számos fejlesztést kínál:

  • MailItemsAccessed minden bejelentkezési típusra vonatkozik. MessageBind nem tudott beszámolni a rendszeres felhasználókról és az e-mail küldöttekről. Beszámolt róla AuditAdmin csak bejelentkezések.
  • Az MailItemsAccessed eseményt váltja ki szinkronizál események és kötni események. A szinkronizálási esemény akkor merül fel, amikor a leveleket szinkronizálják egy e-mail klienssel. Ez sok e-mailt érinthet. Egy kötési esemény akkor merül fel, ha egyetlen e-mailt ér el. MessageBind az eseményeket csak a szinkronizálási eseményekhez adták.
  • Az MailItemsAccessed esemény kevésbé zajos. Az MessageBind esemény többször is kiválthat ugyanarra az e-mailre.

Egy szervezetben sok kötőesemény egész nap folyamatos folyamban emelhető fel. A Microsoft 365 csökkenti az események számát azáltal, hogy két perces sorrendbe foglalja őket. Ha egy postafiók 24 órán belül 1000-nél több kötési eseményt generál, a Microsoft 365 az elkövetkező 24 órában korlátozza az adott napló eseménynaplózását. Fontos, hogy ezt figyelembe vegye egy vizsgálat során.

A MailItemsAccessed használata a kereséseknél

Az Advanced Audit naplók kereséséhez a Microsoft 365-ben rendelkeznie kell a következőkkel: Csak megtekintésre szolgáló naplók vagy naplók hozzád rendelt szerepek. A kereséseket a Exchange Online Powershell vagy a Microsoft Biztonsági és Megfelelőségi Központ.

Ha még nincs engedélyezve, akkor be kell kapcsolnia az ellenőrzési keresést:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Ez az általános parancs, amellyel megkeresheti a postafiók naplóit MailItemsAccessed események, egy meghatározott időszak alatt, egy meghatározott felhasználói fiókhoz.

Search-MailboxAuditLog -Identity -StartDate 02/01/2021 -EndDate 02/28/2021 -Operations MailItemsAccessed -ResultSize 1000 -ShowDetails

Egy veszélyeztetett postafiók vizsgálata

Az első lépés annak ellenőrzése, hogy a postafiók fojtott-e. Ha ez volt, akkor feltételeznie kell a legrosszabb esetet, és az adott felhasználói fiók összes e-mailt abban a 24 órás időszakban sérülten kell kezelnie.

Ez visszatér MailItemsAccessed a postafiók fojtása közben keletkezett rekordok a megadott időtartamra egy meghatározott felhasználói fiókhoz.

Search-MailboxAuditLog -StartDate 02/01/2021 -EndDate 02/28/2021 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "IsThrottled:True"} | FL

Tudnia kell, hogy történtek-e szinkronizálási események. Ha mégis megtették, a fenyegetés szereplő letölti az e-mailt a helyi e-mail kliensükre. Ezután leválhatnak a szerverről, és anélkül tudják átnézni és keresni az e-mailt, hogy további eseményeket generálnának a szerveren.

Ez a parancs szinkronizálási eseményeket keres egy adott időszakban, egy meghatározott felhasználói fiókhoz.

Search-MailboxAuditLog -StartDate 02/01/2021 -EndDate 02/28/2021 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "MailAccessType:Sync"} | FL

Ha valamilyen szinkronizálási eseményt talál, akkor az IP-cím alapján meg kell határoznia, hogy a fenyegetési szereplő hajtotta-e végre ezt a műveletet. Ebben az esetben ismét feltételeznie kell a legrosszabb esetet, és azon a feltételezésen kell dolgoznia, hogy a teljes postafiókot veszélyeztették.

Meg kell keresnie a kötelező eseményeket is a sérült umailbox számára, az érdeklődési időszakra.

Search-MailboxAuditLog -StartDate 02/01/2021 -EndDate 02/28/2021 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "MailAccessType:Bind"} | FL

A Microsoft 365 e-maileket egy internetes üzenetazonosító azonosítja, amely azokban található InternetMessageId érték. A kötési keresési eredmények segítségével azonosíthatja az egyes e-maileket. Ezután áttekintheti őket, hogy tartalmazzanak-e bizalmas vagy céges bizalmas információkat.

Megteheti ezt fordítva is. Ha tudod a InternetMessageId azokról az e-mailekről, amelyekről ismert, hogy bizalmas információkat tartalmaznak, ezekre kereshet a találatok között InternetMessageIds .

Való világpélda

A Cloud Forensics csapata Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA) kiadott egy szkriptet, amelynek célja, hogy segítsen felismerni az esetleges sérült fiókokat és alkalmazásokat Microsoft Azure és Microsoft 365 környezetek.

A parancsfájl telepíti a szükséges PowerShell-modulokat, amelyek nincsenek a vizsgálathoz használt gépen. Ezután:

  • Ellenőrzi az egységes ellenőrzési naplót az Azure / Microsft 365 környezetekben a kompromisszum tipikus jeleit illetően.
  • Felsorolja az Azure AD-tartományokat.
  • Ellenőrzi a Azure szolgáltatás megbízói és az övék Microsoft Graph API engedélyek a fenyegetett szereplők tevékenységének azonosítására.
  • Többet hoz létre CSV fájlok további felülvizsgálatra.

Az MailItemsAccessed eseményre többször hivatkoznak a szkriptben. Ez egy rövid szakasz a szkriptből, amely a MailItemsAccessed esemény annak ellenőrzésére, hogy a postai küldeményekhez hozzáfértek-e.

If ($AppIdInvestigation -eq "Single"){
  If ($LicenseAnswer -eq "Yes"){
    #Searches for the AppID to see if it accessed mail items.
    Write-Verbose "Searching for $SusAppId in the MailItemsAccessed operation in the UAL."
    $SusMailItems = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate -Operations "MailItemsAccessed" -ResultSize 5000 -FreeText $SusAppId -Verbose | Select-Object -ExpandProperty AuditData | Convertfrom-Json
    #You can modify the resultant CSV output by changing the -CsvName parameter
    #By default, it will show up as MailItems_Operations_Export.csv
    If ($null -ne $SusMailItems){
      #Determines if the AppInvestigation sub-directory by displayname path exists, and if not, creates that path
      Export-UALData -ExportDir $InvestigationExportParentDir -UALInput $SusMailItems -CsvName "MailItems_Operations_Export" -WorkloadType "EXO"
      } Else{
        Write-Verbose "No MailItemsAccessed data returned for $($SusAppId) and no CSV will be produced."
      } 
    } Else{
        Write-Host "MailItemsAccessed query will be skipped as it is not present without an E5/G5 license."
    }

A szkript és néhány egyéb hasznos eszköz szabadon elérhető, átfogó útmutatással együtt hogyan kell használni őket.


Source link


13 Views 0 Ratings Rate it

  • Minden jog fenntartva 2019-2020. Hogyankészítsek.Hu Impresszum Adatkezelési szabályok