Si ngjarja e Microsoft 365 MailItemsAccessed ndihmon hetimet mjekoligjore


Microsoft ka ekspozuar ngjarjen MailItemsAccessed në mënyrë që të shfaqet në regjistrat e Auditimit të Avancuar. Ne hedhim një vështrim se si përdoret kjo për të hetuar llogaritë e dyshuara të komprometuara të postës.

Pse Regjistrimi i Mirë është Kritik

Në një shkallë ose në një tjetër, sistemet operative, pajisjet e rrjetit, aplikacionet softuerike dhe shërbimet softuerike krijojnë të gjitha regjistrat diagnostikues. Duke ndërthurur vulat kohore në regjistra, mund të krijoni një pamje të saktë të asaj që po ndodhte në rrjetin tuaj në çdo moment në kohë.

Aktiviteti i përdoruesit, komunikimi ndër-procesor, qasja në skedarë, trafiku i rrjetit që lëviz përmes rrjetit tuaj, lidhjet brenda dhe jashtë rrjetit tuaj dhe më shumë janë regjistruar të gjitha. Nuk ka asnjë axhendë të keqe pas kësaj. Regjistrimi - dhe analiza pasuese e atyre regjistrave - është procedurë standarde e funksionimit kur jeni duke diagnostikuar probleme operacionale ose incidente të sigurisë kibernetike.

Kur po përpiqeni të zbuloni se si u rrezikua një sistem dhe çfarë bëri një aktor kërcënimi kur kishte akses në sistemin tuaj, ekzaminimi i regjistrave është gjithmonë një nga hapat e parë. Të jesh në gjendje t'i referohesh një regjistrimi të detajuar të ngjarjeve është i rrahur përpjekja për të bashkuar atë që ndodhi vetëm nga dëshmia e përdoruesit.

Përdoruesit janë të kufizuar në përshkrimin e asaj që përjetuan dhe çfarë panë të bënte sistemi. Megjithëse ata po përpiqen të jenë të dobishëm, gjithçka që mund t'ju japin është kujtimi i tyre për simptomat e dukshme të incidentit. Kjo nuk ofron ndonjë pasqyrë në atë që pajisjet dhe sistemet e prekura po bënin brenda - ose menduan se po bënin - në atë moment të incidentit. Dhe hetuesit kanë nevojë për atë nivel informacioni për të përcaktuar shkakun rrënjësor të incidentit.

Natyrisht, sa më të detajuara të jenë shkrimet tuaja, aq më të dobishme do të jenë në një situatë mjeko-ligjore ose diagnostike. Sa më i hollësishëm të jetë informacioni që ofrojnë pajisjet dhe sa më shpesh të shkruhet ai informacion në regjistër, aq më mirë.

Ju duhet një licencë E5 ose G5

Microsoft së fundi ka bërë që një lloj tjetër ngjarjeje — MailItemsAccessed — të shfaqet në Regjistrimet e Avancuara të Auditimit në Microsoft 365. Kjo është e rëndësishme sepse i lejon hetuesit të shohin se cilët artikuj të postës janë aksesuar në një sulm kibernetik. Kjo ngjarje ka ekzistuar më parë, por vetëm kohët e fundit është ekspozuar dhe lejuar të filtrohet në regjistrat.

Njohja e artikujve të postës elektronike që janë aksesuar gjatë një sulmi kibernetik mund t'ju ndihmojë të parandaloni shfrytëzimin e të dhënave të përfshira në ato email. Mund të jetë gjithashtu një kërkesë për mbrojtjen e të dhënave që ju të jeni në gjendje të identifikoni emailet e komprometuara, dërguesit dhe marrësit e atyre emaileve.

Ngjarja MailItemsAccessed do t'ju lejojë të bëni pikërisht këtë, por Auditimi i Avancuar nuk është i disponueshëm për të gjithë në Microsoft 365. Ai ofrohet për organizatat me një abonim Microsoft 365 Enterprise E5 ose G5. Këto licenca ofrojnë funksionalitetin e Auditimit të Avancuar dhe mbajtjen e skedarëve të regjistrit për një vit. Ju mund të zgjidhni ta zgjasni atë në 10 vjet nëse dëshironi. Ky opsion i ruajtjes 10-vjeçare i lejon organizatat të kryejnë hetime në ngjarje historike dhe të përmbushin detyrimet e mbrojtjes së të dhënave, ligjore ose të tjera.

Ngjarja MailItemsAccessed

Ngjarja MailItemsAccessed aktivizohet kur aksesohen emailet. Nëse një aktor i kërcënimit fiton akses në një llogari të Microsft 365, veprimi MailItemsAccessed do të aktivizohet—dhe regjistrohet—edhe nëse nuk ka asnjë tregues të qartë që emailet e komprometuara janë lexuar. Mjafton vetëm qasja në email për të ngritur ngjarjen. Natyrisht, ngjarja ngrihet kur një përdorues i rregullt hyn në mënyrë legjitime në emailin e tij gjithashtu, por një hetim do të zero në periudha të caktuara kohore, duke lejuar që veprimet e përdoruesit të rregullt të hidhen poshtë.

Ngjarja e kutisë postare MailItemsAccessed zëvendëson një ngjarje më të vjetër të quajtur MessageBind dhe ofron disa përmirësime:

  •  MailItemsAccessed zbatohet për të gjitha llojet e identifikimit. MessageBind nuk mund të raportonte për përdoruesit e rregullt dhe delegatët e emailit. Ai raportoi vetëm për hyrjet në AuditAdmin.
  • Ngjarja MailItemsAccessed aktivizohet nga ngjarjet sinkronizoj dhe lidh ngjarjet. Një ngjarje sinkronizimi ngrihet kur posta sinkronizohet me një klient email. Kjo mund të ndikojë në shumë email. Një ngjarje bind ngrihet kur aksesohet një email i vetëm. Ngjarjet MessageBind u ngritën vetëm për ngjarjet e sinkronizimit.
  • Ngjarja MailItemsAccessed është më pak e zhurmshme. Ngjarja MessageBind mund të aktivizohet në mënyrë të përsëritur për të njëjtin email.

Në të gjithë një organizatë, mund të ketë shumë ngjarje të lidhura të ngritura në një rrjedhë të vazhdueshme gjatë gjithë ditës. Microsoft 365 zvogëlon numrin e ngjarjeve duke i grumbulluar ato në sekuenca dy minutëshe. Nëse një kuti postare e vetme gjeneron më shumë se 1000 ngjarje të lidhjes në një periudhë 24-orëshe, Microsoft 365 frenon regjistrimin e ngjarjeve për atë kuti postare për 24 orët e ardhshme. Është e rëndësishme që ta merrni parasysh këtë në një hetim.

Duke përdorur MailItemsAccessed në Kërkimet

Për të kërkuar regjistrat e auditimit të avancuar në Microsoft 365, duhet të keni ose rolet Regjistrimet e auditimit vetëm për shikim ose rolet e regjistrave  të auditimit. Kërkimet kryhen duke përdorur Exchange Online Powershell ose Microsoft Security and Compliance Center.

Nëse nuk është aktivizuar tashmë, do t'ju duhet të aktivizoni aftësinë e kërkimit të auditimit:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Kjo është komanda e përgjithshme për të kërkuar regjistrat e auditimit të kutisë postare për ngjarjet MailItemsAccessed, gjatë një periudhe të caktuar, për një llogari të caktuar përdoruesi.

Search-MailboxAuditLog -Identity -StartDate 02/01/2021 -EndDate 02/28/2021 -Operations MailItemsAccessed -ResultSize 1000 -ShowDetails

Hetimi i një kutie postare të komprometuar

Hapi i parë është të kontrolloni nëse kutia postare ishte e mbytur. Nëse do të ishte, ju duhet të supozoni skenarin më të keq dhe t'i trajtoni të gjitha emailet në atë llogari përdoruesi në atë periudhë 24-orëshe si të rrezikuara.

Kjo do të kthejë rekordet MailItemsAccessed që u krijuan ndërsa kutia postare ishte e mbyllur, për periudhën e caktuar, për një llogari të caktuar përdoruesi.

Search-MailboxAuditLog -StartDate 02/01/2021 -EndDate 02/28/2021 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "IsThrottled:True"} | FL

Duhet të dini nëse ka ndodhur ndonjë ngjarje sinkronizimi. Nëse e kanë bërë, aktori i kërcënimit ka shkarkuar emailin te klienti i tyre lokal i emailit. Më pas ata mund të shkëputen nga serveri dhe të rishikojnë dhe kërkojnë email-in pa gjeneruar më shumë ngjarje në server.

Kjo urdhëron kërkimet për ngjarjet e sinkronizimit gjatë një periudhe të caktuar, për një llogari të caktuar përdoruesi.

Search-MailboxAuditLog -StartDate 02/01/2021 -EndDate 02/28/2021 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "MailAccessType:Sync"} | FL

Nëse gjenden ndonjë ngjarje sinkronizimi, duhet të përcaktoni nga adresa IP nëse ai veprim është kryer nga aktori i kërcënimit. Nëse është kështu, përsëri ju duhet të supozoni skenarin më të keq dhe të punoni me premisën se e gjithë kutia postare është komprometuar.

Ju gjithashtu duhet të kërkoni për ngjarje bind për kutinë postare të komprometuar, për periudhën e interesit.

Search-MailboxAuditLog -StartDate 02/01/2021 -EndDate 02/28/2021 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "MailAccessType:Bind"} | FL

Mesazhet e emailit të Microsoft 365 identifikohen nga një ID e mesazhit në internet, e mbajtur në vlerën e tyre InternetMessageId. Ju mund të përdorni rezultatet e kërkimit të lidhjes për të identifikuar emailet individuale. Më pas mund t'i rishikoni ato për të parë nëse ato përmbajnë ndonjë informacion të ndjeshëm ose konfidencial të kompanisë.

Ju mund ta bëni këtë edhe anasjelltas. Nëse e dini InternetMessageId e email-eve që dihet se përmbajnë informacione të ndjeshme, mund të kërkoni në rezultatet për ato InternetMessageId .

Një shembull i botës reale

Ekipi i Mjekësisë Cloud i Agjencisë së Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA) ka lëshuar një skript të krijuar për të ndihmuar në zbulimin e llogarive dhe aplikacioneve të mundshme të komprometuara në mjediset Microsoft Azure dhe Microsoft 365.

Skripti do të instalojë çdo modul PowerShell që i nevojitet që nuk është i pranishëm në makinën e përdorur për hetimin. Më pas:

  • Kontrollon regjistrin e unifikuar të auditimit në mjediset Azure/Microsft 365 për shenja tipike kompromisi.
  • Liston domenet Azure AD.
  • Kontrollon drejtorët e shërbimit Azure dhe lejet e tyre Microsoft Graph API për të provuar të identifikojë aktivitetin e aktorit të kërcënimit.
  • Krijon skedarë të shumtë CSV për shqyrtim të mëtejshëm.

Ngjarja MailItemsAccessed referohet disa herë në skript. Ky është një seksion i shkurtër nga skripti që përdor ngjarjen MailItemsAccessed për të kontrolluar nëse artikujt e postës janë aksesuar.

If ($AppIdInvestigation -eq "Single"){
  If ($LicenseAnswer -eq "Yes"){
    #Searches for the AppID to see if it accessed mail items.
    Write-Verbose "Searching for $SusAppId in the MailItemsAccessed operation in the UAL."
    $SusMailItems = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate -Operations "MailItemsAccessed" -ResultSize 5000 -FreeText $SusAppId -Verbose | Select-Object -ExpandProperty AuditData | Convertfrom-Json
    #You can modify the resultant CSV output by changing the -CsvName parameter
    #By default, it will show up as MailItems_Operations_Export.csv
    If ($null -ne $SusMailItems){
      #Determines if the AppInvestigation sub-directory by displayname path exists, and if not, creates that path
      Export-UALData -ExportDir $InvestigationExportParentDir -UALInput $SusMailItems -CsvName "MailItems_Operations_Export" -WorkloadType "EXO"
      } Else{
        Write-Verbose "No MailItemsAccessed data returned for $($SusAppId) and no CSV will be produced."
      } 
    } Else{
        Write-Host "MailItemsAccessed query will be skipped as it is not present without an E5/G5 license."
    }

Skripti dhe disa mjete të tjera të dobishme janë të disponueshme falas, së bashku me udhëzime gjithëpërfshirëse se si t'i përdorni ato.