Поделиться через

Расследование фишинга

  • Статья

В настоящей статье приводится руководство по выявлению и расследованию фишинговых атак в вашей организации. Пошаговые инструкции помогут вам предпринять необходимые действия по исправлению для защиты информации и минимизации дополнительных рисков.

Эта статья состоит из следующих разделов:

  • Предварительные требования: охватывает перечень конкретных требований, которые необходимо выполнить перед началом расследования. Например, необходимо включить ведение журнала, среди прочего, требуются роли и разрешения.
  • Рабочий процесс: отображает логический процесс, которому необходимо следовать, чтобы провести расследование.
  • Контрольный список: содержит список задач для каждого из этапов блок-схемы. Этот контрольный список может быть полезным в строго регулируемых средах, чтобы проверить завершенные элементы или как качественный шлюз для себя.
  • Этапы расследования: включает подробное пошаговое руководство для целей конкретного расследования.

Необходимые компоненты

Ниже приведены общие настройки и конфигурации, которые необходимо выполнить, прежде чем продолжить расследование фишинга.

Сведения об учетной записи

Прежде чем продолжить расследование, у вас должно быть имя пользователя, имя участника-пользователя (UPN) или адрес электронной почты учетной записи, которую вы подозреваете, скомпрометирован.

Базовые требования Microsoft 365

Проверка настроек аудита

Убедитесь, что аудит почтовых ящиков включен по умолчанию , выполнив следующую команду в Exchange Online PowerShell:

Get-OrganizationConfig | Format-List AuditDisabled

Значение False указывает, что аудит почтовых ящиков включен для всех почтовых ящиков в организации независимо от значения свойства AuditEnabled в отдельных почтовых ящиках. Дополнительные сведения см. в разделе "Проверка аудита почтовых ящиков по умолчанию".

Трассировка сообщения

Журналы трассировки сообщений — это бесценные компоненты, которые помогают найти исходный источник сообщения и предполагаемых получателей. Вы можете использовать функции трассировки сообщений в Центре администрирования Exchange (EAC) https://admin.exchange.microsoft.com/#/messagetrace или с помощью командлета Get-MessageTrace в Exchange Online PowerShell.

Примечание.

Трассировка сообщений также доступна на портале https://security.microsoft.com Microsoft Defender в разделе "Трассировка сообщений Электронной почты и совместной работы>Exchange", но это просто сквозная ссылка на трассировку сообщений в EAC.

Некоторые компоненты функции трассировки сообщений являются самообязательными, но идентификатор сообщения является уникальным идентификатором для сообщения электронной почты и требует тщательного понимания. Чтобы получить идентификатор сообщения для интересующего сообщения, необходимо проверить необработанные заголовки электронной почты.

Вы ищете единый журнал аудита, чтобы просмотреть все действия пользователя и администратора в организации Microsoft 365.

Экспортируются ли журналы входа и/или журналы аудита во внешнюю систему?

Так как большинство данных входа и аудита идентификатора Microsoft Entra будут перезаписаны через 30 или 90 дней, рекомендуется использовать Microsoft Sentinel, Azure Monitor или внешнюю систему управления событиями и безопасностью (SIEM).

Требование наличия ролей и разрешений

Разрешения в идентификаторе Microsoft Entra

Мы рекомендуем учетную запись, которая выполняет расследование, по крайней мере средством чтения безопасности.

Разрешения в Microsoft 365

Роль читателя безопасности на портале Microsoft Defender или Портал соответствия требованиям Microsoft Purview должна предоставить достаточно разрешений для поиска соответствующих журналов.

Если вы не уверены в используемой роли, ознакомьтесь с разрешениями, необходимыми для выполнения любого командлета Exchange.

Microsoft Defender для конечной точки;

Если у вас есть Microsoft Defender для конечной точки (MDE), его следует использовать для этого потока. Дополнительные сведения см. в статье "Устранение фишинга с использованием обмена сигналами и машинного обучения".

Требования к системе

Требования к аппаратному обеспечению

В система должна быть предусмотрена возможность запуска PowerShell.

Требования к программному обеспечению

Для исследования облачной среды необходимы следующие модули PowerShell:

Рабочий процесс

Блок-схема рабочего процесса исследования фишинга.

Кроме того, вы можете сделать следующее:

  • Скачайте рабочие процессы сборника схем со способами реагирования на фишинг и другие инциденты в виде PDF-файла.
  • Скачайте рабочие процессы сборника схем со способами реагирования на фишинг и другие инциденты в виде файла Visio.

Контрольный список

Этот контрольный список помогает оценить процесс исследования и проверить, выполнены ли шаги во время исследования:

   
Проверьте исходное фишинговое письмо
Составьте список пользователей, получивших данное письмо
Получите последние даты, когда у пользователя был доступ к почтовому ящику
Настроен ли делегированный доступ к почтовому ящику?
Настроены ли правила пересылки в почтовом ящике?
Просмотрите правила потока почты Exchange (правила транспорта)
Поиск сообщений электронной почты
Прочитал или открыл ли письмо пользователь?
Кто еще получил такое же электронное письмо?
Было ли в электронном письме вложение?
Была ли полезные данные в вложении?
Проверьте заголовок электронного письма на предмет истинного источника отправителя
Подтвердите IP-адреса злоумышленникам/кампаниям
Пользователь выбирает ссылки в сообщении электронной почты?
На какой конечной точке было открыто электронное письмо?
Была ли выполнена полезная нагрузка вложения?
Был ли щелкнут или открыт целевой IP- или URL-адрес?
Был выполнен вредоносный код?
Какие входы выполнялись с учетной записью для федеративного сценария?
Какие входы выполнялись с учетной записью для управляемого сценария?
Узнайте исходный IP-адрес
Узнайте идентификатор найденного устройства
Изучите каждый идентификатор приложения

Другие контрольные списки сборника схем со способами реагирования на фишинг и другие инциденты можно также скачать в виде файла Excel.

Шаги для исследования

Для этого исследования у вас есть пример фишинговой почты или части сообщения электронной почты. Например, у вас может быть адрес отправителя, тема электронной почты или части сообщения, чтобы начать расследование. Кроме того, убедитесь, что вы выполнили и включили все параметры, как рекомендуется в разделе предварительных требований.

Получите список пользователей/личностей, получивших электронное письмо

На первом шаге необходимо получить список пользователей или удостоверений, которые получили фишинговое письмо. Цель этого шага — записать список потенциальных пользователей и удостоверений, которые позже будут использоваться для итерации для выполнения дополнительных действий по расследованию. Ознакомьтесь с разделом "Рабочий процесс" для высокоуровневой схемы потоков действий, которые необходимо выполнить во время этого исследования.

Мы не предоставляем никаких рекомендаций в этом сборнике схем о том, как вы хотите записать этот список потенциальных пользователей или удостоверений. В зависимости от размера исследования можно использовать книгу Excel, CSV-файл или даже базу данных для более крупных расследований. Существует несколько способов получить список удостоверений для данного арендатора, и вот несколько из примеров таких способов.

Создание поиска контента в Портал соответствия требованиям Microsoft Purview

Используйте индикаторы для создания и запуска поиска контента. Инструкции см. в разделе "Создание поиска контента".

Полный список свойств электронной почты, доступных для поиска, см. в свойствах электронной почты, доступных для поиска.

В следующем примере возвращаются сообщения, полученные пользователями в период с 13 апреля 2022 г. по 14 апреля 2022 г. и содержащие слова "действие" и "обязательные" в строке темы:

(Received:4/13/2022..4/14/2022) AND (Subject:'Action required')

В следующем примере запроса возвращаются сообщения, отправляемые [email protected] и содержащие точную фразу "Обновить сведения об учетной записи" в строке темы.

(From:[email protected]) AND (Subject:"Update your account information")

Дополнительные сведения см. в статье о поиске и удалении сообщений в организации.

Использование командлета Search-Mailbox в Exchange Online PowerShell

Вы также можете использовать командлет Search-Mailbox в Exchange Online PowerShell для выполнения определенного запроса к целевому почтовому ящику, интересующего вас, и скопировать результаты в несвязанный целевой почтовый ящик.

В следующем примере запроса выполняется поиск в почтовом ящике Jane Smith электронного письма, содержащего фразу "Invoice" в теме, и копирование результатов в IRMailbox в папку с именем Investigation.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

В данном примере команды запрос ищет во всех почтовых ящиках клиентов электронное письмо, содержащее фразу «InvoiceUrgent» в теме, и копирует результаты в IRMailbox в папке с именем «Investigation».

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Подробные сведения о синтаксисе и параметрах см. в разделе Search-Mailbox.

Настроен ли делегированный доступ к почтовому ящику?

Используйте следующий скрипт, чтобы проверить, настроен ли делегированный доступ в почтовом ящике: https://github.com/OfficeDev/O365-InvestigationTooling/blob/master/DumpDelegatesandForwardingRules.ps1

Для создания отчета запустите небольшой сценарий PowerShell, который получает список всех ваших пользователей. Далее воспользуйтесь командлетом Get-MailboxPermission, чтобы создать CSV-файл всех делегатов почтовых ящиков в вашей клиентской среде.

В процессе поиска обращайте внимание на необычные имена или разрешения. Если вы видите что-то необычное, обратитесь к владельцу почтового ящика, чтобы проверить, является ли это законным.

Настроены ли правила пересылки для почтового ящика?

Необходимо проверить каждый определенный почтовый ящик для пересылки почтовых ящиков (также известного как SMTP (простой протокол передачи почты)) или правил папки "Входящие", которые перенаправляли сообщения электронной почты внешним получателям (как правило, только что созданные правила папки "Входящие").

  • Чтобы проверить все почтовые ящики для пересылки почтовых ящиков, выполните следующую команду в Exchange Online PowerShell:

    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited | Format-Table -Auto MicrosoftOnlineServicesID,ForwardingSmtpAddress,DeliverToMailboxAndForward | Export-csv C:\Temp\Forwarding.csv -NoTypeInformation

  • Чтобы проверить наличие правил папки "Входящие", созданных в почтовых ящиках между указанными датами, выполните следующую команду в Exchange Online PowerShell:

    Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -ResultSize 5000 -RecordType exchangeadmin -Operations New-InboxRule | Export-csv NoTypeInformation -Path c:\temp\Inboxrulesoutput.csv

  • Вы также можете использовать отчет об автоматически перенаправленных сообщениях в Центре администрирования Exchange (EAC). Инструкции см . в отчете об автоматическом пересылке сообщений в Exchange Online.

    Примечания:

    • В процессе поиска обращайте внимание на необычные целевые местоположения или любые внешние адресации.
    • Найдите правила пересылки с необычными ключевыми словами в таких критериях, как все сообщения со словом счетом в теме. Обратитесь к владельцу почтового ящика, чтобы проверить, является ли это законным.

Проверка правил папки "Входящие"

Проверьте удаление правил папки "Входящие", учитывая метки времени в близости от исследования. В качестве примера используйте следующую команду в Exchange Online PowerShell:

Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -Operations Remove-InboxRule | Export-CSV NoTypeInformation -Path c:\temp\removedInboxRules.csv

Проверка правил потока почты Exchange (правила транспорта)

В организации можно получить список правил потока обработки почты Exchange (также известных как правила транспорта).

Найдите новые правила или изменили правила для перенаправления почты во внешние домены. Количество правил должно быть известно и относительно небольшое. Вы можете выполнить поиск в журнале аудита, чтобы определить, кто создал правило и откуда он был создан. Если вы видите что-то необычное, обратитесь к создателю, чтобы определить, является ли это законным.

Получите последние даты, когда у пользователя был доступ к почтовому ящику

На портале Microsoft Defender или Портал соответствия требованиям Microsoft Purview перейдите к единому журналу аудита. В раскрывающемся списке Действия вы можете отфильтровать по Действиям с почтовым ящиком Exchange.

Возможность перечисления скомпрометированных пользователей доступна на портале Microsoft Defender.

В данном отчете показаны действия, которые могут указывать на незаконный доступ к почтовому ящику. Сюда входят созданные или полученные сообщения, перемещенные или удаленные сообщения, скопированные или очищенные сообщения, отправленные сообщения с использованием функции «Отправить от имени» или «Отправить от имени» и все входы в почтовый ящик. Данные включают дату, IP-адрес, пользователя, выполненное действие, затронутый элемент, а также любые дополнительные сведения.

Примечание.

Для записи данных необходимо включить параметр аудита почтового ящика.

Объем данных, включенных здесь, может быть существенным, поэтому сосредоточьтесь на поиске пользователей, которые будут иметь большое влияние при нарушении. Ищите необычные шаблоны, такие как нечетное время дня или необычные IP-адреса, и ищите шаблоны, такие как большие объемы перемещений, чисток или удалений.

Прочитал/открыл ли письмо пользователь?

Здесь имеет место два основных случая:

  • Почтовый ящик находится в Exchange Online.
  • Почтовый ящик находится в локальной среде Exchange (гибридная среда Exchange).

Пользователь Exchange Online открыл сообщение электронной почты

Используйте командлет Search-Mailbox в Exchange Online PowerShell, чтобы выполнить определенный поисковый запрос к целевому почтовому ящику, интересующим вас, и скопировать результаты в не связанный почтовый ящик назначения.

В следующем примере запроса выполняется поиск почтового ящика Джейнс Смита для сообщения электронной почты, содержащего фразу Счет в теме, и копирует результаты в IRMailbox в папку с именем "Исследование".

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Следующий пример запроса выполняет поиск во всех почтовых ящиках клиентов сообщения электронной почты, содержащего фразу InvoiceUrgent в теме, и копирует результаты в IRMailbox в папке с именем Investigation.

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Пользователь открыл электронную почту в гибридной среде Exchange

Используйте командлет Get-MessageTrackingLog для поиска сведений о доставке сообщений, хранящихся в журнале отслеживания сообщений. Приведем пример:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2022 09:00:00" -End "03/15/2022 17:00:00" -Sender "[email protected]"

Подробные сведения о синтаксисе и параметрах см. в разделе Get-MessageTrackingLog.

Кто еще получил такое же электронное письмо?

Здесь имеет место два основных случая:

  • Почтовый ящик находится в Exchange Online.
  • Почтовый ящик находится в локальной среде Exchange (гибридная среда Exchange).

Рабочий процесс по сути совпадает с описанием в списке пользователей и удостоверений, которые получили раздел электронной почты ранее в этой статье.

Поиск электронной почты в Exchange Online

Используйте командлет Search-Mailbox для выполнения определенного поискового запроса к целевому почтовому ящику, интересующего вас, и скопируйте результаты в несвязанный целевой почтовый ящик.

Данный пример запроса ищет во всех почтовых ящиках клиентов сообщение электронной почты, которое содержит тему InvoiceUrgent в теме, и копирует результаты в IRMailbox в папке с именем Investigation.

Get-Mailbox | Search-Mailbox -SearchQuery "Subject:InvoiceUrgent" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Поиск электронной почты в локальной среде Exchange

Используйте командлет Get-MessageTrackingLog для поиска сведений о доставке сообщений, хранящихся в журнале отслеживания сообщений. Приведем пример:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -MessageSubject "InvoiceUrgent"

Подробные сведения о синтаксисе и параметрах см. в разделе Get-MessageTrackingLog.

Было ли в электронном письме вложение?

Здесь имеет место два основных случая:

  • Почтовый ящик находится в Exchange Online.
  • Почтовый ящик находится в локальной среде Exchange (гибридная среда Exchange).

Узнайте, содержит ли сообщение вложение в Exchange Online

Если почтовый ящик находится в Exchange Online, у вас есть два варианта:

  • Использование классического командлета Search-Mailbox
  • Использование командлета New-ComplianceSearch

Используйте командлет Search-Mailbox для выполнения определенного поискового запроса к целевому почтовому ящику, интересующего вас, и скопируйте результаты в несвязанный целевой почтовый ящик. Приведем пример:

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Подробные сведения о синтаксисе и параметрах см. в разделе Search-Mailbox.

Другой вариант — использовать командлет New-ComplianceSearch . Приведем пример:

New-ComplianceSearch -Name "Investigation" -ExchangeLocation "Research Department" -ContentMatchQuery "from:[email protected] AND hasattachment:true"

Подробные сведения о синтаксисе и параметрах см. в статье New-ComplianceSearch.

Узнайте, содержит ли сообщение вложение в локальной среде Exchange

Примечание.

В Exchange Server 2013 эта процедура требует накопительного обновления 12 (CU12) или более поздней версии. Дополнительные сведения см. в этой статье.

Используйте командлет Search-Mailbox для поиска сведений о доставке сообщений, хранящихся в журнале отслеживания сообщений. Приведем пример:

Search-Mailbox -Identity "Jane Smith"-SearchQuery AttachmentNames:attachment_name -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Подробные сведения о синтаксисе и параметрах см. в разделе Search-Mailbox.

Была ли полезные данные в вложении?

Найдите потенциальное вредоносное содержимое в вложение. Например, PDF-файлы, запутаны PowerShell или другие коды скриптов.

В представлении "Просмотр данных по электронной почте > " в отчете о состоянии защиты от угроз отображается количество входящих и исходящих сообщений, обнаруженных как содержащих вредоносные программы для вашей организации. Дополнительные сведения см. в отчете о состоянии защиты от угроз: просмотр данных по электронной почте>.

Проверьте заголовок электронного письма на предмет истинного источника отправителя

Многие из компонентов функции трассировки сообщений говорят сами за себя, но вам необходимо хорошо разбираться в Message-ID. Message-ID представляет собой уникальный идентификатор сообщения электронной почты.

Чтобы получить идентификатор сообщения для интересующего сообщения электронной почты, вам необходимо изучить необработанные заголовки электронной почты. Инструкции по выполнению этого в Microsoft Outlook или Outlook в Интернете (ранее известном как Outlook Web App или OWA) см. в статье Просмотр заголовков сообщений в Интернете в Outlook

При просмотре заголовка электронной почты скопируйте и вставьте сведения о заголовках в анализатор заголовков электронной почты, предоставляемый MXToolbox или Azure для удобства чтения.

  • Заголовки Маршрутная информация: Маршрутная информация предоставляет маршрут электронной почты, передаваемой между компьютерами.

  • Sender Policy Framework (SPF): проверка электронной почты для предотвращения/обнаружения спуфинга. В записи SPF можно определить, какие IP-адреса и домены могут отправлять сообщения электронной почты от имени домена.

  • SPF = Pass: TXT-запись SPF определила, что отправителю разрешено отправлять сообщения от имени домена.

    • SPF = нейтральный
    • SPF = сбой: конфигурация политики определяет результат IP-адреса отправителя сообщения
    • SMTP-почта: проверьте, является ли домен законным

    Дополнительные сведения о SPF см. в статье о том, как Microsoft 365 использует SPF для предотвращения спуфингов

  • Распространенные значения: вот разбивка наиболее часто используемых и просматриваемых заголовков и их значений. Это ценная информация, и вы можете использовать ее в полях Поиск в Threat Explorer.

    • Адрес отправителя
    • Тема
    • Идентификатор сообщения
    • Принять меры
    • Обратный адрес

  • Authentication-Results: вы можете узнать, что при отправке письма провел проверку подлинности вашего почтового клиента. Он обеспечивает проверку подлинности SPF и DKIM.

  • Исходный IP-адрес: исходный IP-адрес может использоваться для определения того, включен ли IP-адрес в черный список, и для получения географического местоположения.

  • Уровень достоверности нежелательной почты (SCL): это определяет вероятность того, является ли входящий адрес электронной почты спамом.

    • -1. Обход большинства фильтров нежелательной почты от безопасного отправителя, безопасного получателя или безопасного IP-адреса (доверенный партнер)
    • 0, 1. Неспам, так как сообщение было отсканировано и определено, чтобы быть чистым
    • 5, 6: Спам
    • 7, 8, 9: спам с высоким уровнем вероятности

Запись SPF хранится в базе данных DNS и связана с поисковой информацией DNS. Вы можете вручную проверить запись Sender Policy Framework (SPF) для домена с помощью команды nslookup:

  1. Откройте командную строку (запуск > > cmd).

  2. Введите команду как nslookup -type=txt" пробел, а затем имя домена или узла. Рассмотрим пример.

     nslookup -type=txt domainname.com

Примечание.

-all (отклонить или отказаться - не доставлять электронное письмо, если что-то не соответствует), данный вариант является рекомендуемым.

Проверьте, включена ли DKIM в пользовательских доменах в Microsoft 365

Вам необходимо опубликовать две записи CNAME для каждого домена, в который они хотят добавить почту с указанием ключей домена (DKIM). Узнайте, как использовать DKIM для проверки исходящей электронной почты, отправленной из вашего личного домена .

Проверка подлинности сообщений, отчетности и соответствия на основе домена (DMARC)

Эту функцию можно использовать для проверки исходящей электронной почты в Microsoft 365.

Подтвердите IP-адреса злоумышленникам/кампаниям

Чтобы проверить или изучить IP-адреса, указанные на предыдущих шагах исследования, можно использовать любой из следующих вариантов:

  • VirusTotal
  • Microsoft Defender для конечной точки;
  • Общедоступные источники:
    • Ipinfo.io - имеет бесплатную встроенную функцию получения геолокации
    • Censys.io - имеет функцию бесплатного варианта получения информации о том, что известно при пассивном сканировании Интернета
    • AbuseIPDB.com — имеет бесплатную функцию с возможностью геолокации.
    • Запрос в Bing и Google - поиск по IP-адресу

Репутация URL

Вы можете использовать любое устройство Windows 10 и браузер Microsoft Edge, использующий технологию SmartScreen .

Ниже приведены несколько примеров репутации URL-адресов сторонних производителей:

В процессе исследования IP- и URL-адресов, ищите и соотносите IP-адреса с индикаторами взлома (IOC) или другими индикаторами, в зависимости от выходных данных или результатов, и добавляйте их в список источников от злоумышленника.

Если пользователь щелкнул ссылку в сообщении электронной почты (не предназначено), это действие обычно приводит к созданию нового процесса на самом устройстве. В зависимости от устройства, на котором было выполнено действие, вам необходимо выполнить исследование для конкретного устройства. Например, Windows vs Android vs iOS. В данной статье мы описали общий подход и некоторые детали для устройств на базе Windows. Если вы используете Microsoft Defender для конечной точки (MDE), вы также можете использовать его для iOS и скоро Android.

Вы можете исследовать эти события с помощью Microsoft Defender for Endpoint.

  • Журналы VPN/прокси в зависимости от поставщика решений прокси-сервера и VPN необходимо проверить соответствующие журналы. В идеале вы пересылаете события в SIEM или в Microsoft Sentinel.

  • Использование Microsoft Defender для конечной точки это лучший сценарий, так как вы можете использовать нашу аналитику угроз и автоматизированный анализ, чтобы помочь вашему расследованию. Дополнительные сведения см. в статье об изучении оповещений в Microsoft Defender для конечной точки.

    Дерево процессов предупреждений переводит сортировку предупреждений и исследование на следующий уровень, отображая агрегированные предупреждения и сопутствующие свидетельства, которые произошли в одном контексте выполнения и в один и тот же период времени. Снимок экрана: дерево процесса генерации оповещений.

  • Клиентские устройства под управлением Windows убедитесь, что вы включили параметр "События создания процесса". В идеале вам также необходимо включить события трассировки командной строки.

    На клиентах Windows, в которых до расследования включены указанные выше события аудита, можно проверить событие аудита 4688 и определить время доставки сообщения электронной почты пользователю:

    Снимок экрана: пример события аудита 4688.

    Другой пример снимка экрана: событие аудита 4688.

На какой конечной точке было открыто электронное письмо?

Ниже приведены задачи, аналогичные предыдущему шагу исследования: пользователь выбирает ссылки в сообщении электронной почты?

Была ли выполнена прикрепленная полезная нагрузка?

Ниже приведены задачи, аналогичные предыдущему шагу исследования: пользователь выбирает ссылки в сообщении электронной почты?

Был ли затронут или открыт целевой IP/URL?

Ниже приведены задачи, аналогичные предыдущему шагу исследования: пользователь выбирает ссылки в сообщении электронной почты?

Был выполнен вредоносный код?

Ниже приведены задачи, аналогичные предыдущему шагу исследования: пользователь выбирает ссылки в сообщении электронной почты?

Какие операции входа произошли с учетной записью?

Проверьте различные входы, которые произошли с учетной записью.

Федеративный сценарий

Параметры и события журнала аудита различаются в зависимости от уровня операционной системы (ОС) и версии сервера служб федерации Active Directory (ADFS).

Для получения информации о различных версиях сервера см. следующие разделы.

Server 2012 R2

По умолчанию события безопасности не проверяются на Сервере 2012 R2. Вам необходимо включить данную функцию на каждом сервере ADFS в ферме. В консоли управления ADFS выберите пункт Изменить свойства службы федерации.

Снимок экрана: изменение федеративных свойств.

Вам также необходимо включить Политику аудита ОС.

Откройте командную строку и выполните следующую команду от имени администратора.

auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

Дополнительные сведения см. в статье о настройке серверов ADFS для устранения неполадок.

Вы также можете загрузить модули ADFS PowerShell посредством:

Server 2016 и более новых версий

По умолчанию в ADFS в Windows Server 2016 включена функция базового аудита. При базовом аудите администраторы могут видеть пять или меньше событий для одного запроса. Тем не менее, вы можете повысить или понизить уровень аудита посредством данной команды:

Set-AdfsProperties -AuditLevel Verbose

Дополнительные сведения см. в статье об улучшении аудита ADFS на сервере Windows.

Если у вас установлена служба Microsoft Entra Connect Health, вы также должны ознакомиться с отчетом о рискованных IP-адресах. IP-адреса клиентов с ошибкой входа в систему собираются через прокси-серверы веб-приложений. В каждом элементе отчета «Рискованный IP-адрес» отображается агрегированная информация о неудачных действиях входа в AD FS, которые превышают установленный порог.

Снимок экрана: пример отчета о рискованных IP-адресах.

Дополнительные сведения см. в отчете о рискованных IP-адресах.

Server 2012 R2

Событие с кодом 342 – «Имя пользователя или пароль неверны» в журналах администратора ADFS.

Что касается фактических событий аудита, вам необходимо просмотреть журналы событий безопасности и найти события с идентификатором события 411 для Classic Audit Failure с источником как ADFS Auditing. Также при успешной проверке подлинности необходимо выполнить поиск события с кодом 412.

Событие с кодом 411 - SecurityTokenValidationFailureAudit Token не прошла проверку. Подробнее см. в разделе «Внутреннее исключение».

Снимок экрана: пример события 411.

Снимок экрана: пример события 412.

Возможно, вам потребуется сопоставить событие с соответствующим идентификатором события 501.

Server 2016 и более новых версий

Для фактических событий аудита необходимо просмотреть журналы событий безопасности и искать события с идентификатором события 1202 для успешной проверки подлинности и 1203 для сбоев.

Пример для события ID1202:

Идентификатор события 1202 FreshCredentialSuccessAudit службы федерации проверил новые учетные данные. Дополнительные сведения см. в ФОРМАТЕ XML.

Пример для события с кодом 1203:

Идентификатор события 1203 FreshCredentialFailureAudit Службе федерации не удалось проверить новые учетные данные. Сведения о сбое см. в ФОРМАТЕ XML.

Пример события 1203

Пример события 4624

Для получения полного списка идентификаторов событий ADFS для каждого уровня ОС см. GetADFSEventList.

Управляемый сценарий

Проверьте журналы входа Microsoft Entra для одного или нескольких пользователей, которые вы изучаете.

В Центре администрирования Microsoft Entra перейдите на экран входа и добавьте или измените фильтр отображения для интервала времени, который вы нашли в предыдущих шагах исследования, и добавьте имя пользователя в качестве фильтра, как показано на этом рисунке.

Снимок экрана: пример фильтра отображения с временным интервалом.

Вы также можете выполнять поиск с помощью Graph API. Например, отфильтруйте свойства пользователя и получите вместе с ним lastSignInDate. Найдите конкретного пользователя, чтобы узнать дату последнего входа для данного пользователя. Например: https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'Dhanyah')&$select=displayName,signInActivity

Вы также можете использовать команду PowerShell Get-AzureADUserLastSignInActivity, чтобы получить последнее интерактивное действие входа для пользователя, на которое нацелено его идентификатор объекта. В данном примере результат записывается в CSV-файл с меткой даты и времени в каталоге выполнения.

Get-AzureADUserLastSignInActivity -TenantId 536279f6-1234-2567-be2d-61e352b51eef -UserObjectId 69447235-0974-4af6-bfa3-d0e922a92048 -CsvOutput

Вы также можете использовать эту команду из модуля AzureADIncidentResponse PowerShell:

Get-AzureADIRSignInDetail -UserId [email protected] -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3

Узнайте исходный IP-адрес

На основе исходных IP-адресов, найденных в журнале входа Microsoft Entra или в файлы журнала ADFS/Federation Server, изучите дополнительные сведения о том, откуда произошел трафик.

Управляемый пользователь

Для управляемого сценария вам следует начать просматривать журналы входа и фильтровать их по исходному IP-адресу:

Снимок экрана: пример IP-адреса управляемого пользователя.

Вы также можете использовать эту команду из модуля AzureADIncidentResponse PowerShell:

Get-AzureADIRSignInDetail -IpAddress 1.2.3.4 -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3 -OutGridView

При просмотре списка результатов перейдите на вкладку сведений об устройстве. В зависимости от используемого устройства вы получаете различные выходные данные. Вот несколько таких случаев.

  • Пример 1. Неуправляемые устройства (BYOD):

    Снимок экрана: пример неуправляемого устройства.

  • Пример 2. Управляемое устройство (присоединение к Microsoft Entra или гибридное соединение Microsoft Entra):

    Снимок экрана: пример сведений об управляемом устройстве.

Проверьте DeviceID при наличии такового. Также следует искать ОС и браузер или строку UserAgent.

Снимок экрана: пример идентификатора устройства.

Запишите CorrelationID, идентификатор запроса и отметку времени. Для сопоставления результатов с другими событиями необходимо использовать CorrelationID и временную метку.

Федеративный пользователь/приложение

Выполните ту же процедуру, что и для сценария федеративного входа.

Найдите и запишите идентификатор устройства, уровень ОС, идентификатор корреляции, идентификатор запроса.

Изучите идентифицированный DeviceID

Этот шаг относится только к тем устройствам, которые известны идентификатору Microsoft Entra. К примеру, в контексте предыдущих шагов, если вы нашли один или несколько потенциальных идентификаторов устройства, вы можете продолжить изучение данного устройства. Найдите и запишите DeviceID и владельца устройства.

Изучите каждый AppID

Начните с журналов входа и конфигурации приложения клиента или конфигурации серверов федерации.

Управляемый сценарий

Из ранее найденных данных журнала входа проверьте Идентификатор приложения на вкладке Основная информация:

Снимок экрана: проверка идентификатора приложения на вкладке

Обратите внимание на различия между приложением (и идентификатором) и ресурсом (и идентификатором). Приложение является клиентским компонентом, а ресурс — это служба или приложение в идентификаторе Microsoft Entra.

Теперь, при помощи данного AppID, вы можете проводить исследования в клиенте. Приведем пример:

Get-MgApplication -Filter "AppId eq '30d4cbf1-c561-454e-bf01-528cd5eafd58'"

Id                                       AppId                                    DisplayName

3af6dc4e-b0e5-45ec-8272-56f3f3f875ad     30d4cbf1-c561-454e-bf01-528cd5eafd58     Claims X-Ray

С помощью данной информации вы можете выполнять поиск на портале корпоративных приложений. Перейдите в раздел Все приложения и найдите конкретный AppID.

Снимок экрана: пример идентификатора приложения.

Дополнительные сборники схем реагирования на инциденты

Ознакомьтесь с рекомендациями по выявлению и изучению этих других типов атак:

Ресурсы по реагированию на инциденты