Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье демонстрируется фишинговый сборник схем. Это часть руководства по сборнику схем реагирования на инциденты в дисциплине "Операции безопасности" (SecOps).
Это руководство предназначено для всех специалистов, отвечающих за создание или выполнение планов реагирования на инциденты, включая аналитиков SecOps, специалистов по реагированию на инциденты, администраторов удостоверений личности и специалистов по ИТ-операциям.
Фишинговые атаки являются одним из наиболее распространенных методов начального доступа, используемых злоумышленниками. Успешная фишинговая атака может привести к компрометации учетных данных, выполнению вредоносных программ, краже данных и боковому перемещению между удостоверениями, электронной почтой и конечными точками.
Рекомендации в этой статье описывают, что следует изучить и почему. Примеры конкретного продукта (например, Microsoft Defender XDR или Microsoft Sentinel) предоставляются в качестве эталонных реализаций.
Перед началом работы
Перед началом исследования фишинга убедитесь, что выполнены следующие базовые требования к готовности. Эти предварительные требования должны быть выполнены до возникновения инцидента в рамках планирования реагирования на инциденты.
| Area | Требование | Сведения |
|---|---|---|
| Сведения об учетной записи | Наличие по крайней мере одного идентификатора для подозреваемого целевого пользователя | Идентификаторы могут быть: имя участника-пользователя (UPN), адрес электронной почты или имя пользователя или псевдоним. Эти сведения необходимы для сопоставления действий с электронной почтой, входов в систему и последующих действий. |
| Аудит и ведение журнала Microsoft 365 | Аудит почтовых ящиков должен быть включен в организации, чтобы обеспечить запись доступа к почтовым ящикам и действий. | Убедитесь, что аудит почтовых ящиков включен по умолчанию, выполнив следующую команду в PowerShell Exchange Online: Get-OrganizationConfig | Format-List AuditDisable/. Значение False указывает, что аудит почтовых ящиков включен для всех почтовых ящиков. |
| Аудит и ведение журнала Microsoft 365 | Журналы трассировки сообщений необходимы для определения исходного фишингового сообщения, состояния доставки, всех получателей и сведений о маршрутизации сообщения. | Трассировка сообщений доступна в Exchange Admin Center и на портале Microsoft Defender (Электронная почта и совместная работа > Трассировка сообщений Exchange). Чтобы эффективно работать с данными трассировки сообщений, следователи должны иметь возможность получать и интерпретировать значения идентификатора сообщения, полученные из необработанных заголовков электронной почты. |
| Аудит и ведение журнала Microsoft 365 | Единые журналы аудита необходимы для проверки действий пользователей и администраторов во всех службах Microsoft 365. | Убедитесь, что следователи могут выполнять поиск в едином журнале аудита, чтобы просмотреть такие действия, как доступ к почтовому ящику, действия элементов почты, административные изменения и события, связанные с входом. |
| Журналы Microsoft Entra | Microsoft Entra ID журналы входа и аудита хранятся в течение ограниченного периода (30 или 90 дней в зависимости от лицензирования). | Для поддержки расследований, исторического анализа и проверки после инцидента экспортируйте журналы в долгосрочный репозиторий, например Microsoft Sentinel, Azure Monitor или сторонний SIEM. |
| Разрешения | Убедитесь, что у следователей достаточно разрешений для доступа к необходимым данным без чрезмерного доступа к учетным записям. | Microsoft Entra ID: минимально рекомендуемая роль — Читатель сведений о безопасности. Портал Defender и портал соответствия требованиям Microsoft: Читатель сведений о безопасности. Эти роли предоставляют доступ только для чтения к электронной почте, оповещениям и данным аудита. |
| Видимость конечной точки | Microsoft Defender для конечной точки (средство защиты для конечных точек) | Если установлен Defender для конечной точки, используйте его для: — проверьте, взаимодействуют ли пользователи с фишинговым содержимым. — выявление выполнения пейлоада. — Сопоставляйте активность конечных точек с почтовыми событиями. |
| Оборудование | Система с поддержкой PowerShell. | |
| Программное обеспечение. | Эти модули PowerShell часто используются во время фишинговых исследований | Пакет SDK PowerShell для Microsoft Graph модуль PowerShell Exchange Online модуль PowerShell для реагирования на инциденты Microsoft Entra Убедитесь, что все модули установлены и хранятся в актуальном состоянии. |
Рабочий процесс
Рабочий процесс исследования фишинга следует следующим высоким уровням:
- Определите и подтвердите фишинговое сообщение.
- Область влияния и затронутых пользователей.
- Оцените взаимодействие пользователей и раскрытие учетных данных.
- Определите последующее действие.
- Локализуйте угрозу и предотвратите её повторение
Этот рабочий процесс помогает респондентам переходить от обнаружения к сдерживанию без пропуска критических шагов проверки.
Что проверить
Используйте этот контрольный список как критерий контроля качества в ходе расследования.
- Определение фишингового сообщения и исходного идентификатора сообщения
- Определение всех получателей и состояния доставки
- Определение того, взаимодействуют ли пользователи с сообщением
- Оценка компрометации учетных данных или выполнения вредоносных программ
- Выявление боковой или последующей активности
- Удаление вредоносных сообщений из почтовых ящиков
- Сброс или защита затронутых учетных записей
- Улучшение возможностей обнаружения и средств управления профилактикой
Шаги для исследования
Шаг 1. Определение фишингового сообщения
Получите предположительно фишинговое электронное письмо.
Извлеките идентификатор сообщения из заголовков электронной почты.
Используйте трассировку сообщений для определения:
- Когда сообщение было получено
- Какие пользователи получили его
- Были ли доставлены, заблокированы или помещены в карантин
Шаг 2. Определите круг затронутых пользователей
- Определение всех получателей сообщения
- Проверьте, удалось ли сообщению обойти фильтры
- Определение того, были ли отправлены аналогичные сообщения с помощью вариантов одной кампании
Шаг 3. Оценка взаимодействия с пользователем
Для каждого затронутого пользователя определите, является ли он:
- Открытие сообщения электронной почты
- Нажатые ссылки
- Открытые вложения
- Отправленные учетные данные
Сопоставляйте действия электронной почты со следующими параметрами:
- журналы входа Microsoft Entra
- Журналы аудита
- Активность конечной точки (если доступно)
Шаг 4. Определение следующего действия
Если учетные данные могли быть скомпрометированы, проверьте наличие:
- Подозрительные входы
- Атака распылением паролей или методом перебора
- Предоставление согласия OAuth
- Злоупотребление токенами
- Необычная активность почтового ящика или совместной деятельности
Если вложения были открыты, проверьте, выполняется ли какая-либо вредоносная программа на конечных точках.
Шаг 5. Локализуйте и устраните
На основе результатов:
- Удалите фишинговые сообщения из всех почтовых ящиков. Отключите или сбросьте.
- скомпрометированные учетные записи.
- Отозвать активные сеансы и токены.
- Блокировать вредоносных отправителей, доменов и URL-адресов.
- Изоляция или исправление затронутых конечных точек.
Шаг 6. Восстановление
После локализации сосредоточьтесь на восстановлении нормальной работы и снижении риска повторного возникновения.
Действия восстановления могут включать:
- Принудительный сброс учетных данных и применение многофакторной аутентификации
- Просмотр правил почтового ящика и параметров пересылки
- Улучшение политик фильтрации электронной почты и защиты от фишинга
- Обновление обнаружения и оповещений
- Обновление или уточнение плейбуков реагирования на фишинг
Дальнейшие действия
Узнайте больше о дисциплине SecOps.