Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Скомпрометированная учетная запись пользователя (также называемая захватом учетной записи) — это тип кибератаки, когда злоумышленник получает доступ к учетной записи пользователя и работает в качестве пользователя. Эти типы кибератак иногда наносят больший ущерб, чем предполагается кибератакам. При исследовании скомпрометированных учетных записей электронной почты предположим, что скомпрометировано больше почтовых данных, чем может быть указано при отслеживании фактического присутствия злоумышленника. В зависимости от типа данных в сообщениях электронной почты, вы можете столкнуться с нормативными штрафами, если вы не сможете доказать, что конфиденциальная информация не была раскрыта. Например, организации, регулируемые HIPAA, сталкиваются со значительными штрафами, если есть доказательства того, что информация о состоянии здоровья пациентов (ФИ) была раскрыта. В таких случаях злоумышленники вряд ли будут заинтересованы в ФИ, но организации по-прежнему должны сообщать о нарушениях безопасности данных, если они не могут доказать обратное.
Чтобы помочь вам исследовать скомпрометированные учетные записи электронной почты, мы теперь проверяем доступы к почтовым данным по протоколам и клиентам с помощью действия MailItemsAccessed mailbox-auditing. Это новое проверенное действие помогает следователям лучше понять утечки данных электронной почты и помогает выявить область компрометации определенных почтовых элементов, которые могут быть скомпрометированы. Целью использования этого нового действия аудита является защита от судебной экспертизы, которая помогает утверждать, что определенный фрагмент данных почты не был скомпрометирован. Если злоумышленник получает доступ к определенному фрагменту почты, Exchange Online проверяет событие, даже если нет никаких признаков того, что почтовый элемент был прочитан.
Действие аудита почтового ящика MailItemsAccessed
Действие MailItemsAccessed является частью функции аудита (Standard). Он является частью аудита почтовых ящиков Exchange и по умолчанию включен для пользователей, которым назначена лицензия Office 365 E3/E5 или Microsoft 365 E3/E5.
Действие аудита почтового ящика MailItemsAccessed применимо ко всем почтовым протоколам: POP, IMAP, MAPI, EWS, Exchange ActiveSync и REST. Его используют при обоих типах доступа к почте: для синхронизации и для привязки.
Аудит доступа для синхронизации
Операции синхронизации записываются только в том случае, если доступ к почтовому ящику осуществляется с помощью классической версии клиента Outlook для Windows или Mac. В процессе синхронизации такие клиенты обычно загружают большой набор элементов почты из облака на локальный компьютер. Объем аудита для операций синхронизации значительный. Таким образом, вместо создания записи аудита для каждого синхронизированного почтового элемента мы создаем событие аудита для почтовой папки, содержащей синхронизированные элементы, и предполагаем, что все почтовые элементы в синхронизированной папке скомпрометированы. Тип доступа записывается в поле OperationProperties записи аудита.
Пример доступа для синхронизации, указанного в записи аудита, см. в шаге 2 в разделе Использование записей аудита о MailItemsAccessed для экспертных исследований.
Аудит доступа для привязки
Операция привязки обеспечивает индивидуальный доступ к сообщению электронной почты. Для доступа к привязке InternetMessageId отдельных сообщений записывается в запись аудита. Действие аудита MailItemsAccessed записывает операции привязки, а затем объединяет их в одну запись аудита. Все операции привязки, которые выполняются в течение 2 минут, собираются в одну запись аудита в поле "Папки" в свойстве AuditData. Каждое сообщение, к которому был получен доступ, идентифицируется его InternetMessageId. Количество операций связывания, которые были агрегированы в записи, отображается в поле OperationCount свойства AuditData.
Пример доступа для привязки, указанного в записи аудита, см. в шаге 4 в разделе Использование записей аудита о MailItemsAccessed для экспертных исследований.
Использование записей аудита о MailItemsAccessed для экспертных исследований
Аудит почтовых ящиков создает записи аудита для доступа к сообщениям электронной почты, чтобы вы могли быть уверены, что сообщения электронной почты не скомпрометированы. По этой причине в случаях, когда вы не уверены, что доступ к некоторым данным осуществляется, предположим, что это происходит путем записи всех действий по доступу к почте.
Использование записей аудита MailItemsAccessed для судебно-медицинских целей обычно происходит после устранения утечки данных и вытеснения злоумышленника. Чтобы начать исследование, определите набор почтовых ящиков, которые злоумышленник скомпрометировал, и определите период времени, когда злоумышленник имел доступ к почтовым ящикам в вашей организации. Затем используйте командлет Search-UnifiedAuditLog в Exchange Online PowerShell для поиска записей аудита, соответствующих утечке данных. Командлет Search-UnifiedAuditLog можно использовать для поиска записей аудита для действий, выполняемых одним или несколькими пользователями.
Выполните одну из следующих команд для поиска записей аудита MailItemsAccessed:
Единый журнал аудита:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000
Ниже показано, как использовать записи аудита MailItemsAccessed для исследования скомпрометированного пользователя. На каждом шаге показан синтаксис команды для командлета Search-UnifiedAuditLog .
Проверьте наличие действий синхронизации. Если злоумышленник использует почтовый клиент для загрузки сообщений в почтовый ящик, он может отключить компьютер от Интернета и получить доступ к сообщениям локально, не взаимодействуя с сервером. В этом случае аудит почтовых ящиков не может выполнять аудит этих действий.
Чтобы найти записи MailItemsAccessed, к которым обращается операция синхронизации, выполните следующую команду:
Единый журнал аудита:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FLПроверьте действия синхронизации, чтобы определить, происходят ли какие-либо из них в том же контексте, что и действия, используемые злоумышленником для доступа к почтовому ящику. Контекст определяется и отличается от других IP-адресом клиентского компьютера, используемого для доступа к почтовому ящику, и почтовым протоколом.
Используйте свойства, перечисленные в следующей таблице, для исследования. Эти свойства находятся в свойстве AuditData или OperationProperties . Если какая-либо из синхронизаций происходит в том же контексте, что и действие плохого субъекта, предположим, что злоумышленник синхронизировал все почтовые элементы со своим клиентом, что означает компрометацию всего почтового ящика.
Свойство Описание ClientInfoString Описание протокола, клиента (включая версию) ClientIPAddress IP-адрес клиентского компьютера. SessionId Идентификатор сеанса помогает различать действия злоумышленников и повседневные действия пользователей в одной учетной записи (полезно для скомпрометированных учетных записей). UserId Имя участника-пользователя, читающего сообщение. Проверьте наличие действий привязки. После выполнения шагов 2 и 3 вы можете быть уверены, что все остальные доступ к сообщениям электронной почты со стороны злоумышленника фиксируются в записях аудита MailItemsAccessed со свойством MailAccessType со значением "Bind".
Чтобы найти записи MailItemsAccessed, к которым обращается операция Привязка, выполните следующую команду.
Единый журнал аудита:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FLEmail сообщения, к которым предоставляется доступ, определяются по идентификатору сообщения в Интернете. Вы также можете проверка, чтобы узнать, имеют ли какие-либо записи аудита тот же контекст, что и записи другого плохого субъекта.
Данные аудита для операций привязки можно использовать двумя различными способами:
- Доступ или сбор всех сообщений электронной почты, к которым обращается злоумышленник, с помощью InternetMessageId, чтобы найти их, а затем проверить, содержит ли какое-либо из этих сообщений конфиденциальную информацию.
- Используйте InternetMessageId для поиска записей аудита, связанных с набором потенциально конфиденциальных сообщений электронной почты. Это удобно, если вас беспокоит лишь несколько сообщений.
Фильтрация повторяющихся записей аудита
Чтобы устранить шум аудита, система фильтрует повторяющиеся записи аудита для одних и тем же операций привязки, выполняемых в течение часа друг от друга. Система также фильтрует операции синхронизации с интервалом в один час. Исключение из этого процесса дедупликации возникает, если для того же InternetMessageId какие-либо свойства, описанные в следующей таблице, отличаются. Если одно из этих свойств отличается в повторяющихся операциях, система создает новую запись аудита. В следующем разделе этот процесс описывается более подробно.
| Свойство | Описание |
|---|---|
| ClientIPAddress | IP-адрес клиентского компьютера. |
| ClientInfoString | Протокол клиента, клиент, используемый для доступа к почтовому ящику. |
| ParentFolder | Полный путь к папке элемента почты, к которому осуществлялся доступ. |
| Logon_type | Тип входа пользователя, выполнившего действие. Типы входа (и соответствующие им значения перечисления): владелец (0), администратор (1) или представитель (2). |
| MailAccessType | Доступ с помощью операции привязки или синхронизации. |
| MailboxUPN | Имя участника-пользователя почтового ящика, в котором находится читаемое сообщение. |
| User | Имя участника-пользователя, читающего сообщение. |
| SessionId | Идентификатор сеанса помогает различать действия злоумышленников и повседневные действия пользователей в одном почтовом ящике (если учетная запись скомпрометирована). Дополнительные сведения о сеансах см. в разделе Контекстуализация действий злоумышленников в сеансах в Exchange Online. |