A Microsoft kitette a MailItemsAccessed esemény úgy, hogy megjelenjen az Advanced Audit naplókban. Megvizsgáljuk, hogyan használják ezt fel a gyanítottan feltört postai fiókok kivizsgálására.
Miért kritikus a jó naplózás?
Az operációs rendszerek, a hálózati készülékek, a szoftveralkalmazások és a szoftverszolgáltatások valamilyen mértékben diagnosztikai naplót hoznak létre. A naplókban szereplő időbélyegek kereszthivatkozásával pontos képet alkothat arról, hogy mi történt a hálózatában az idő bármely pontján.
A felhasználói tevékenységek, a folyamatok közötti kommunikáció, a fájlhozzáférés, a hálózaton keresztül mozgó hálózati forgalom, a hálózatba való be- és kikapcsolás stb. Mind naplózásra kerülnek. E mögött nincs baljós napirend. A naplózás – és e naplók későbbi elemzése – a szokásos működési eljárás az operatív problémák vagy a kiberbiztonsági események diagnosztizálásakor.
Amikor azt próbálja kideríteni, hogy a rendszer hogyan került veszélybe, és mit tett a fenyegetés színész, amikor hozzáfértek a rendszeréhez, a naplók vizsgálata mindig az első lépés. Képes hivatkozni az események ütemezésének részletes feljegyzésére, amely kizárólag a felhasználói tanúságtétel alapján próbálja összeilleszteni a történteket.
A felhasználók arra korlátozódnak, hogy leírják, mit tapasztaltak és mit láttak a rendszerben. Bár segítőkészek próbálnak lenni, csak annyit tudnak neked adni, hogy emlékeznek a látható tünetek az eset. Ez nem nyújt betekintést abba, hogy az érintett eszközök és rendszerek mit csináltak belsőleg – vagy gondolták, hogy csinálnak – az esemény idején. A nyomozóknak pedig ilyen szintű információra van szükségük a kiváltó ok az eset.
Nyilvánvaló, hogy minél részletesebbek a naplók, annál hasznosabbak lesznek kriminalisztikai vagy diagnosztikai helyzetben. Minél részletesebb információkat adnak az eszközök, és minél gyakrabban írják ezeket az adatokat a naplóba, annál jobb.
Szüksége van egy E5 vagy G5 licencre
A Microsoft nemrégiben készített egy másik eseménytípust – MailItemsAccessed – megjelennek a Speciális naplózási naplók a Microsoft 365-ben. Ez azért fontos, mert ez lehetővé teszi a nyomozók számára, hogy megnézzék, mely levelezési tárgyakhoz kerültek hozzá egy kibertámadás során. Ez az esemény korábban is létezett, de csak nemrégiben tették közzé, és lehetővé tették a naplók szűrését.
A kibertámadás során elért e-mail tételek ismerete segíthet megakadályozni az e-mailekben található adatok kihasználását. Adatvédelmi követelmény lehet az is, hogy azonosítani tudja a sérült e-maileket, az e-mailek feladóit és címzettjeit.
Az MailItemsAccessed esemény lehetővé teszi, hogy csak ezt tegye, de az Advanced Audit nem mindenki számára elérhető a Microsoft 365 rendszeren Microsoft 365 Enterprise E5 vagy G5 előfizetés. Ezek a licencek biztosítják az Advanced Audit funkciót és a naplófájlok megőrzését egy évig. Ha kívánja, meghosszabbíthatja ezt 10 évre. Ez a 10 éves megőrzési lehetőség lehetővé teszi a szervezetek számára a történelmi események kivizsgálását és az adatvédelmi, jogi vagy egyéb kötelezettségek teljesítését.
A MailItemsAccessed esemény
Az MailItemsAccessed esemény az e-mailek elérésekor vált ki. Ha egy fenyegetés szereplő hozzáfér a Microsft 365-fiókhoz, az MailItemsAccessed a művelet akkor is elindul – és naplózásra kerül -, ha nincs egyértelmű utalás arra, hogy a megsértett e-maileket elolvasták. Csak az e-mailek elérése elegendő az esemény felvetéséhez. Természetesen az esemény akkor merül fel, amikor egy rendes felhasználó is törvényesen hozzáfér az e-mailjeihez, de a vizsgálat nullázni fog bizonyos időszakokban, lehetővé téve a rendszeres felhasználó tevékenységeinek elvetését.
Az MailItemsAccessed a postaláda-esemény egy régebbi nevű esemény helyébe lép MessageBind, és számos fejlesztést kínál:
-
MailItemsAccessedminden bejelentkezési típusra vonatkozik.MessageBindnem tudott beszámolni a rendszeres felhasználókról és az e-mail küldöttekről. Beszámolt rólaAuditAdmincsak bejelentkezések. - Az
MailItemsAccessedeseményt váltja ki szinkronizál események és kötni események. A szinkronizálási esemény akkor merül fel, amikor a leveleket szinkronizálják egy e-mail klienssel. Ez sok e-mailt érinthet. Egy kötési esemény akkor merül fel, ha egyetlen e-mailt ér el.MessageBindaz eseményeket csak a szinkronizálási eseményekhez adták. - Az
MailItemsAccessedesemény kevésbé zajos. AzMessageBindesemény többször is kiválthat ugyanarra az e-mailre.
Egy szervezetben sok kötőesemény egész nap folyamatos folyamban emelhető fel. A Microsoft 365 csökkenti az események számát azáltal, hogy két perces sorrendbe foglalja őket. Ha egy postafiók 24 órán belül 1000-nél több kötési eseményt generál, a Microsoft 365 az elkövetkező 24 órában korlátozza az adott napló eseménynaplózását. Fontos, hogy ezt figyelembe vegye egy vizsgálat során.
A MailItemsAccessed használata a kereséseknél
Az Advanced Audit naplók kereséséhez a Microsoft 365-ben rendelkeznie kell a következőkkel: Csak megtekintésre szolgáló naplók vagy naplók hozzád rendelt szerepek. A kereséseket a Exchange Online Powershell vagy a Microsoft Biztonsági és Megfelelőségi Központ.
Ha még nincs engedélyezve, akkor be kell kapcsolnia az ellenőrzési keresést:
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
Ez az általános parancs, amellyel megkeresheti a postafiók naplóit MailItemsAccessed események, egy meghatározott időszak alatt, egy meghatározott felhasználói fiókhoz.
Search-MailboxAuditLog -Identity -StartDate 02/01/2021 -EndDate 02/28/2021 -Operations MailItemsAccessed -ResultSize 1000 -ShowDetails
Egy veszélyeztetett postafiók vizsgálata
Az első lépés annak ellenőrzése, hogy a postafiók fojtott-e. Ha ez volt, akkor feltételeznie kell a legrosszabb esetet, és az adott felhasználói fiók összes e-mailt abban a 24 órás időszakban sérülten kell kezelnie.
Ez visszatér MailItemsAccessed a postafiók fojtása közben keletkezett rekordok a megadott időtartamra egy meghatározott felhasználói fiókhoz.
Search-MailboxAuditLog -StartDate 02/01/2021 -EndDate 02/28/2021 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "IsThrottled:True"} | FL
Tudnia kell, hogy történtek-e szinkronizálási események. Ha mégis megtették, a fenyegetés szereplő letölti az e-mailt a helyi e-mail kliensükre. Ezután leválhatnak a szerverről, és anélkül tudják átnézni és keresni az e-mailt, hogy további eseményeket generálnának a szerveren.
Ez a parancs szinkronizálási eseményeket keres egy adott időszakban, egy meghatározott felhasználói fiókhoz.
Search-MailboxAuditLog -StartDate 02/01/2021 -EndDate 02/28/2021 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "MailAccessType:Sync"} | FL
Ha valamilyen szinkronizálási eseményt talál, akkor az IP-cím alapján meg kell határoznia, hogy a fenyegetési szereplő hajtotta-e végre ezt a műveletet. Ebben az esetben ismét feltételeznie kell a legrosszabb esetet, és azon a feltételezésen kell dolgoznia, hogy a teljes postafiókot veszélyeztették.
Meg kell keresnie a kötelező eseményeket is a sérült umailbox számára, az érdeklődési időszakra.
Search-MailboxAuditLog -StartDate 02/01/2021 -EndDate 02/28/2021 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "MailAccessType:Bind"} | FL
A Microsoft 365 e-maileket egy internetes üzenetazonosító azonosítja, amely azokban található InternetMessageId érték. A kötési keresési eredmények segítségével azonosíthatja az egyes e-maileket. Ezután áttekintheti őket, hogy tartalmazzanak-e bizalmas vagy céges bizalmas információkat.
Megteheti ezt fordítva is. Ha tudod a InternetMessageId azokról az e-mailekről, amelyekről ismert, hogy bizalmas információkat tartalmaznak, ezekre kereshet a találatok között InternetMessageIds .
Való világpélda
A Cloud Forensics csapata Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA) kiadott egy szkriptet, amelynek célja, hogy segítsen felismerni az esetleges sérült fiókokat és alkalmazásokat Microsoft Azure és Microsoft 365 környezetek.
A parancsfájl telepíti a szükséges PowerShell-modulokat, amelyek nincsenek a vizsgálathoz használt gépen. Ezután:
- Ellenőrzi az egységes ellenőrzési naplót az Azure / Microsft 365 környezetekben a kompromisszum tipikus jeleit illetően.
- Felsorolja az Azure AD-tartományokat.
- Ellenőrzi a Azure szolgáltatás megbízói és az övék Microsoft Graph API engedélyek a fenyegetett szereplők tevékenységének azonosítására.
- Többet hoz létre CSV fájlok további felülvizsgálatra.
Az MailItemsAccessed eseményre többször hivatkoznak a szkriptben. Ez egy rövid szakasz a szkriptből, amely a MailItemsAccessed esemény annak ellenőrzésére, hogy a postai küldeményekhez hozzáfértek-e.
If ($AppIdInvestigation -eq "Single"){
If ($LicenseAnswer -eq "Yes"){
#Searches for the AppID to see if it accessed mail items.
Write-Verbose "Searching for $SusAppId in the MailItemsAccessed operation in the UAL."
$SusMailItems = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate -Operations "MailItemsAccessed" -ResultSize 5000 -FreeText $SusAppId -Verbose | Select-Object -ExpandProperty AuditData | Convertfrom-Json
#You can modify the resultant CSV output by changing the -CsvName parameter
#By default, it will show up as MailItems_Operations_Export.csv
If ($null -ne $SusMailItems){
#Determines if the AppInvestigation sub-directory by displayname path exists, and if not, creates that path
Export-UALData -ExportDir $InvestigationExportParentDir -UALInput $SusMailItems -CsvName "MailItems_Operations_Export" -WorkloadType "EXO"
} Else{
Write-Verbose "No MailItemsAccessed data returned for $($SusAppId) and no CSV will be produced."
}
} Else{
Write-Host "MailItemsAccessed query will be skipped as it is not present without an E5/G5 license."
}
A szkript és néhány egyéb hasznos eszköz szabadon elérhető, átfogó útmutatással együtt hogyan kell használni őket.
