Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein kompromittiertes Benutzerkonto (auch als Kontoübernahme bezeichnet) ist eine Art von Cyberangriff, bei dem ein Angreifer Zugriff auf ein Benutzerkonto erhält und als Benutzer fungiert. Diese Arten von Cyberangriffen verursachen manchmal mehr Schaden als der cyberangriff beabsichtigte. Gehen Sie bei der Untersuchung von kompromittierten E-Mail-Konten davon aus, dass mehr E-Mail-Daten kompromittiert sind, als durch die Nachverfolgung der tatsächlichen Anwesenheit des Cyberangriffs angegeben werden könnten. Abhängig von der Art der Daten in E-Mail-Nachrichten können Sie mit Geldbußen konfrontiert werden, es sei denn, Sie können nachweisen, dass vertrauliche Informationen nicht offengelegt wurden. So können beispielsweise für HIPAA-regulierte Organisationen erhebliche Geldbußen anfallen, wenn nachgewiesen wird, dass Gesundheitsinformationen von Patienten (PHI) offengelegt wurden. In diesen Fällen ist es unwahrscheinlich, dass Cyberangriffe an PHI interessiert sind, aber Organisationen müssen weiterhin Datenschutzverletzungen melden, es sei denn, sie können das Gegenteil nachweisen.
Damit Sie kompromittierte E-Mail-Konten untersuchen können, überwachen wir jetzt den Zugriff auf E-Mail-Daten nach E-Mail-Protokollen und Clients mit der MailItemsAccessed-Postfachüberwachungsaktion . Diese neue überwachte Aktion hilft Ermittlern, Verletzungen von E-Mail-Daten besser zu verstehen und den Umfang der Kompromittierungen für bestimmte E-Mail-Elemente zu identifizieren, die möglicherweise kompromittiert werden. Das Ziel dieser neuen Überwachungsaktion ist die Forensik-Defensierbarkeit, um zu bestätigen, dass ein bestimmter Teil der E-Mail-Daten nicht kompromittiert wurde. Wenn ein Cyberangriff Zugriff auf ein bestimmtes E-Mail-Element erhält, überwacht Exchange Online das Ereignis, obwohl es keinen Hinweis darauf gibt, dass das E-Mail-Element gelesen wurde.
Die Postfachüberwachungsaktion "MailItemsAccessed"
Die MailItemsAccessed-Aktion ist Teil der Überwachungsfunktion (Standard). Sie ist Teil der Exchange-Postfachüberwachung und ist standardmäßig für Benutzer aktiviert, denen eine Office 365 E3/E5- oder Microsoft 365 E3/E5-Lizenz zugewiesen ist.
Die Postfachüberwachungsaktion "MailItemsAccessed" deckt alle E-Mail-Protokolle ab: POP, IMAP, MAPI, EWS, Exchange ActiveSync und REST. Außerdem werden beide Arten des Zugriffs auf E-Mails abgedeckt: Synchronisierung und Bindung.
Überwachen des Synchronisierungszugriffs
Synchronisierungsvorgänge werden nur aufgezeichnet, wenn durch eine Desktopversion des Outlook-Clients für Windows oder Mac auf ein Postfach zugegriffen wird. Während des Synchronisierungsvorgangs laden diese Clients in der Regel eine große Menge von E-Mail-Elementen aus der Cloud auf einen lokalen Computer herunter. Das Überwachungsvolumen für Synchronisierungsvorgänge ist riesig. Anstatt also einen Überwachungsdatensatz für jedes synchronisierte E-Mail-Element zu generieren, generieren wir ein Überwachungsereignis für den E-Mail-Ordner, der synchronisierte Elemente enthält, und gehen davon aus, dass alle E-Mail-Elemente im synchronisierten Ordner kompromittiert sind. Der Zugriffstyp wird im OperationsProperties-Feld des Überwachungsdatensatzes aufgezeichnet.
Ein Beispiel für die Darstellung des Synchronisierungszugriffstyps in einem Überwachungsdatensatz finden Sie in Schritt 2 im Abschnitt Verwenden von MailItemsAccessed-Überwachungsdatensätzen für forensische Untersuchungen.
Überwachen des Bindungszugriffs
Bei einem Bindungsvorgang handelt es sich um einen individuellen Zugriff auf eine E-Mail-Nachricht. Für den Bindungszugriff wird die InternetMessageId einzelner Nachrichten im Überwachungsdatensatz aufgezeichnet. Die Überwachungsaktion MailItemsAccessed zeichnet Bindungsvorgänge auf, und aggregiert diese dann in einem einzigen Überwachungsdatensatz. Alle Bindungsvorgänge, die innerhalb eines 2-Minuten-Intervalls auftreten, werden in einem einzelnen Überwachungsdatensatz im Ordner-Feld innerhalb der AuditData-Eigenschaft aggregiert. Jede Nachricht, auf die zugegriffen wurde, wird anhand ihres Internetnachrichten-ID-Werts identifiziert. Die Anzahl der in dem Datensatz aggregierten Bindungsvorgänge wird im Feld „OperationCount“ in der AuditData-Eigenschaft angezeigt.
Ein Beispiel für die Darstellung des Bindungszugriffstyps in einem Überwachungsdatensatz finden Sie in Schritt 4 im Abschnitt Verwenden von MailItemsAccessed-Überwachungsdatensätzen für forensische Untersuchungen.
Verwenden von MailItemsAccessed-Überwachungsdatensätzen für forensische Untersuchungen
Die Postfachüberwachung generiert Überwachungsdatensätze für den Zugriff auf E-Mail-Nachrichten, sodass Sie sicher sein können, dass E-Mail-Nachrichten nicht kompromittiert werden. Aus diesem Grund gehen Sie in Situationen, in denen Sie nicht sicher sind, dass auf einige Daten zugegriffen wird, davon aus, dass dies durch Aufzeichnung aller E-Mail-Zugriffsaktivitäten erfolgt.
Die Verwendung von MailItemsAccessed-Überwachungsdatensätzen für forensische Zwecke erfolgt in der Regel, nachdem eine Datenverletzung behoben und der böswillige Akteur entfernt wurde. Um ihre Untersuchung zu beginnen, identifizieren Sie den Satz von Postfächern, die der ungültige Akteur kompromittiert hat, und bestimmen Sie den Zeitrahmen, in dem der ungültige Akteur Zugriff auf Postfächer in Ihrem organization hatte. Verwenden Sie dann das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell, um Überwachungsdatensätze zu durchsuchen, die der Datenverletzung entsprechen. Sie können das Cmdlet Search-UnifiedAuditLog verwenden, um nach Überwachungsdatensätzen für Aktivitäten zu suchen, die von einem oder mehreren Benutzern ausgeführt werden.
Führen Sie einen der folgenden Befehle aus, um nach MailItemsAccessed-Überwachungsdatensätzen zu suchen:
Einheitliches Überwachungsprotokoll:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000
Die folgenden Schritte zeigen, wie MailItemsAccessed-Überwachungsdatensätze verwendet werden, um einen kompromittierten benutzer bad actor zu untersuchen. Jeder Schritt zeigt die Befehlssyntax für das Cmdlet Search-UnifiedAuditLog .
Suchen nach Synchronisierungsaktivitäten. Wenn ein böswilligen Akteur einen E-Mail-Client verwendet, um Nachrichten in ein Postfach herunterzuladen, kann er den Computer vom Internet trennen und lokal auf die Nachrichten zugreifen, ohne mit dem Server zu interagieren. In diesem Fall kann die Postfachüberwachung diese Aktivitäten nicht überwachen.
Führen Sie den folgenden Befehl aus, um nach MailItemsAccessed-Datensätzen zu suchen, in denen durch einen Synchronisierungsvorgang auf die E-Mail-Elemente zugegriffen wird:
Einheitliches Überwachungsprotokoll:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FLÜberprüfen Sie die Synchronisierungsaktivitäten, um zu ermitteln, ob eine dieser Aktivitäten im selben Kontext wie der vom ungültigen Akteur für den Zugriff auf das Postfach verwendet wird. Der Kontext wird durch die IP-Adresse des Clientcomputers identifiziert und unterschieden, der für den Zugriff auf das Postfach und das E-Mail-Protokoll verwendet wird.
Verwenden Sie die in der folgenden Tabelle aufgeführten Eigenschaften, um dies zu untersuchen. Diese Eigenschaften befinden sich in der AuditData- oder OperationProperties-Eigenschaft. Wenn eine der Synchronisierungen im selben Kontext wie die Aktivität "Ungültiger Akteur" erfolgt, gehen Sie davon aus, dass der ungültige Akteur alle E-Mail-Elemente mit dem Client synchronisiert hat, was bedeutet, dass das gesamte Postfach kompromittiert ist.
Eigenschaft Beschreibung ClientInfoString Beschreibt Protokoll und Client (einschließlich Version) ClientIPAddress IP-Adresse des Clientcomputers. SessionId Die Sitzungs-ID hilft bei der Unterscheidung zwischen Aktionen für böswillige Akteure und alltäglichen Benutzeraktivitäten im selben Konto (nützlich für kompromittierte Konten) UserId UPN des Benutzers, der die Nachricht liest. Suchen Sie nach Bindungsaktivitäten. Nachdem Sie die Schritte 2 und 3 ausgeführt haben, können Sie sicher sein, dass der gesamte andere Zugriff auf E-Mail-Nachrichten durch den ungültigen Akteur in den MailItemsAccessed-Überwachungsdatensätzen erfasst wird, die über eine MailAccessType-Eigenschaft mit dem Wert "Bind" verfügen.
Führen Sie den folgenden Befehl aus, um nach MailItemsAccessed-Datensätzen zu suchen, in denen über einen Bind-Vorgang auf die E-Mail-Elemente zugegriffen wird.
Einheitliches Überwachungsprotokoll:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FLEmail Nachrichten, auf die zugegriffen wird, werden durch ihre Internetnachrichten-ID identifiziert. Sie können auch überprüfen, ob Alle Überwachungsdatensätze denselben Kontext wie für andere Aktivitäten mit ungültigen Akteuren aufweisen.
Sie können die Überwachungsdaten für Bindungsvorgänge auf zwei verschiedene Arten verwenden:
- Greifen Sie mithilfe der InternetMessageId auf alle E-Mail-Nachrichten zu, auf die der ungültige Akteur zugegriffen hat, oder sammeln Sie sie, und überprüfen Sie dann, ob eine dieser Nachrichten vertrauliche Informationen enthält.
- Verwenden Sie die Internetnachrichten-ID zum Durchsuchen von Überwachungsdatensätzen, die sich auf einen Satz potenziell vertraulicher E-Mails beziehen. Dies ist nützlich, wenn Sie nur hinsichtlich einer kleinen Anzahl von Nachrichten besorgt sind.
Filtern von doppelten Überwachungsdatensätzen
Um Überwachungsgeräusche zu vermeiden, filtert das System doppelte Überwachungsdatensätze für die gleichen Bindungsvorgänge heraus, die innerhalb einer Stunde auftreten. Das System filtert auch Synchronisierungsvorgänge in Intervallen von einer Stunde heraus. Eine Ausnahme von diesem Deduplizierungsprozess tritt auf, wenn sich für dieselbe InternetMessageId eine der in der folgenden Tabelle beschriebenen Eigenschaften unterscheidet. Wenn sich eine dieser Eigenschaften in einem doppelten Vorgang unterscheidet, generiert das System einen neuen Überwachungsdatensatz. Im nächsten Abschnitt wird dieser Prozess ausführlicher beschrieben.
| Eigenschaft | Beschreibung |
|---|---|
| ClientIPAddress | IP-Adresse des Clientcomputers. |
| ClientInfoString | Clientprotokoll, für den Zugriff auf das Postfach verwendeter Client. |
| ParentFolder | Vollständiger Ordnerpfad des E-Mail-Elements, auf das zugegriffen wurde. |
| Logon_type | Anmeldetyp des Benutzers, der die Aktion ausgeführt hat. Die Anmeldetypen (und deren zugehörige Enum-Werte) sind Besitzer (0), Administrator (1) oder Stellvertreter (2). |
| MailAccessType | Gibt an, ob es sich bei dem Zugriff um einen Bindungs oder Synchronisierungsvorgang handelt. |
| MailboxUPN | UPN des Postfachs, in dem sich die gelesene Nachricht befindet. |
| User | UPN des Benutzers, der die Nachricht liest. |
| SessionId | Die Sitzungs-ID hilft dabei, Angreiferaktionen und tägliche Benutzeraktivitäten im selben Postfach zu unterscheiden (wenn ein Konto kompromittiert wird). Weitere Informationen zu Sitzungen finden Sie unter Einordnen von Angreiferaktivitäten in einen Kontext innerhalb von Sitzungen in Exchange Online. |