Compartir a través de


Usar MailItemsAccessed para investigar las cuentas en peligro

Una cuenta de usuario comprometida (también denominada adquisición de cuenta) es un tipo de ataque en el que un atacante obtiene acceso a una cuenta de usuario y opera como el usuario. Estos tipos de ataques a veces causan más daño de lo que el atacante pretendía. Al investigar cuentas de correo electrónico en peligro, debe suponer que se han puesto en peligro más datos de correo de los que podrían indicarse mediante el seguimiento de la presencia real del atacante. Según el tipo de datos de los mensajes de correo electrónico, tiene que asumir que la información confidencial se ha visto comprometida o puede enfrentarse a sanciones, a menos que pueda demostrar que la información confidencial no se ha expuesto. Por ejemplo, las organizaciones reguladas por HIPAA se enfrentan a multas considerables si hay evidencia de que la información sanitaria del paciente (PHI) se ha expuesto. En estos casos, es poco probable que los atacantes estén interesados en la PHI, pero las organizaciones deben informar de las vulneraciones de datos, a menos que puedan probar lo contrario.

Para ayudarle a investigar las cuentas de correo electrónico en peligro, estamos realizando auditorías de los accesos a los datos de correo por parte de protocolos de correo y clientes con la acción de auditoría de buzones de correo MailItemsAccessed. Esta nueva acción auditada ayuda a los investigadores a comprender mejor las infracciones de datos de correo electrónico y a identificar el ámbito de los compromisos con elementos de correo específicos que podrían estar en peligro. El objetivo de usar esta nueva acción de auditoría es la defensa forense para ayudar a afirmar que una parte específica de los datos de correo no se ha puesto en peligro. Si un atacante obtuvo acceso a un fragmento de correo específico, Exchange Online audita el evento aunque no haya ninguna indicación de que se leyó el elemento de correo.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

La acción de auditoría de buzones MailItemsAccessed

La acción MailItemsAccessed forma parte de la funcionalidad Auditoría (Standard). Forma parte de la auditoría de buzones de Exchange y está habilitada de forma predeterminada para los usuarios a los que se les asigna una licencia Office 365 E3/E5 o Microsoft 365 E3/E5.

La acción de auditoría de buzones MailItemsAccessed abarca todos los protocolos de correo: POP, IMAP, MAPI, EWS, Exchange ActiveSync y REST. También cubre los dos tipos de acceso al correo: sincronización y enlace.

Auditoría del acceso de sincronización

Las operaciones de sincronización solo se registran cuando se obtiene acceso a un buzón mediante una versión de escritorio del cliente de Outlook para Windows o Mac. Durante la operación de sincronización, estos clientes suelen descargar un amplio conjunto de elementos de correo desde la nube a un equipo local. El volumen de auditoría para las operaciones de sincronización es inmenso. Por lo tanto, en lugar de generar un registro de auditoría para cada elemento de correo que esté sincronizado, generamos un evento de auditoría para la carpeta de correo que contiene los elementos que se han sincronizado y suponemos que todos los elementos de correo de la carpeta sincronizada se han visto comprometidos. El tipo de acceso se registra en el campo OperationProperties del registro de auditoría.

Vea el paso 2 de la sección usar registros de auditoría de MailItemsAccessed para investigaciones forenses para ver un ejemplo de cómo mostrar el tipo de acceso de sincronización en un registro de auditoría.

Auditoría del acceso de enlace

Una operación de enlace es un acceso individual a un mensaje de correo electrónico. Para el acceso de enlace, internetMessageId de mensajes individuales se registra en el registro de auditoría. La acción de auditoría MailItemsAccessed registra las operaciones de enlace y las agrega en un único registro de auditoría. Todas las operaciones de enlace que tienen lugar dentro de un intervalo de 2 minutos se agregan en un único registro de auditoría en el campo Carpetas de la propiedad AuditData. Cada mensaje al que se haya obtenido acceso se identifica por su InternetMessageId. El número de operaciones de enlace agregadas al registro se muestra en el campo OperationCount en la propiedad AuditData.

Vea el paso 4 de la sección usar registros de auditoría de MailItemsAccessed para investigaciones forenses para ver un ejemplo de cómo mostrar el tipo de acceso de enlace en un registro de auditoría.

Limitación de registros de auditoría de MailItemsAccessed

Si se generan más de 1000 registros de auditoría MailItemsAccessed en menos de 24 horas, Exchange Online deja de generar registros de auditoría para la actividad MailItemsAccessed. Cuando se limita un buzón, la actividad MailItemsAccessed no se registrará durante 24 horas después de limitar el buzón. Si se limitó el buzón de curro, es posible que se haya puesto en peligro el buzón durante este período. La grabación de la actividad MailItemsAccessed se reanuda después de un período de 24 horas.

Aquí se muestran algunas cosas que debe tener en cuenta sobre la limitación:

  • Menos del 1 % de todos los buzones de Exchange Online están limitados
  • Cuando un buzón está limitado, los registros de auditoría de actividad de MailItemsAccessed son los únicos para los que no se realiza auditoría. Otras acciones de auditoría del buzón no se verán afectadas.
  • Si un buzón de correo está limitado, la actividad MailItemsAccessed adicional no se registra en los registros de auditoría.

Vea el paso 1 de la sección usar registros de auditoría de MailItemsAccessed para investigaciones forenses para ver un ejemplo de cómo mostrar la propiedad IsThrottled en un registro de auditoría.

Usar registros de auditoría de MailItemsAccessed para investigaciones forenses

La auditoría del buzón genera registros de auditoría para obtener acceso a los mensajes de correo electrónico para que pueda asegurarse de que los mensajes de correo electrónico no se han visto comprometidos. Por este motivo, en los casos en los que no se está seguro de que se haya tenido acceso a ciertos datos, damos por sentado que ha sido así, registrando toda la actividad de acceso al correo.

El uso de registros de auditoría de MailItemsAccessed para propósitos forenses suele realizarse después de que se haya resuelto la violación de datos y se haya eliminado el atacante. Para comenzar la investigación, debe identificar el conjunto de buzones que se han visto comprometidos y determinar el período de tiempo en el que el atacante tuvo acceso a los buzones de su organización. A continuación, puede usar el cmdlet Search-UnifiedAuditLog en Exchange Online PowerShell para buscar registros de auditoría que correspondan a la vulneración de datos. Puede usar el cmdlet Search-UnifiedAuditLog para buscar registros de auditoría de la actividad realizada por uno o varios usuarios.

Puede ejecutar uno de los siguientes comandos para buscar registros de auditoría de MailItemsAccessed:

Registro de auditoría unificado:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000

Estos son los pasos para usar los registros de auditoría de MailItemsAccessed para investigar un ataque a un usuario comprometido. Cada paso muestra la sintaxis del comando para el cmdlet Search-UnifiedAuditLog .

  1. Compruebe si el buzón se ha limitado. Si es así, esto significaría que algunos registros de auditoría de buzones no se habrían registrado. En el caso de que los registros de auditoría tengan "IsThrottled" es "True", debe suponer que, durante un período de 24 horas después, se generó ese registro, que no se auditó ningún acceso al buzón y que todos los datos de correo se han puesto en peligro.

    Para buscar registros de MailItemsAccessed en los que el buzón estaba limitado, ejecute el siguiente comando:

    Registro de auditoría unificado:

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL
    
  2. Busque actividades de sincronización. Si un atacante usa un cliente de correo electrónico para descargar los mensajes de un buzón, puede desconectar el equipo de Internet y tener acceso a los mensajes de forma local sin interactuar con el servidor. En este caso, la auditoría de buzón no podría auditar estas actividades.

    Para buscar registros de MailItemsAccessed en que se accedió a los elementos de correo con una operación de sincronización, ejecute el siguiente comando:

    Registro de auditoría unificado:

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FL
    
  3. Compruebe las actividades de sincronización para determinar si alguna de ellas se ha producido en el mismo contexto que la usada por el acceso del atacante al buzón. El contexto se identifica y se diferencia por la dirección IP del equipo cliente usado para tener acceso al buzón y al protocolo de correo.

    Use las propiedades que se enumeran a continuación para investigar. Estas propiedades se encuentran en las propiedades OperationProperties o AuditData. Si cualquiera de las sincronizaciones tiene lugar en el mismo contexto que la actividad del atacante, debe asumir que el atacante ha sincronizado todos los elementos de correo con su cliente, lo que significa que es posible que se haya visto comprometido todo el buzón.

    Propiedad Description
    ClientInfoString Describe el protocolo, cliente (incluye la versión).
    ClientIPAddress Dirección IP del equipo cliente.
    SessionId El identificador de la sesión ayuda a diferenciar las acciones de un atacante frente a las actividades cotidianas del usuario en la misma cuenta (útil para cuentas comprometidas)
    UserId UPN del usuario que lee el mensaje.
  4. Busque actividades de enlace. Después de realizar los pasos 2 y 3, puede estar seguro de que el atacante captura el resto de los mensajes de correo electrónico en los registros de auditoría MailItemsAccessed que tienen una propiedad MailAccessType con un valor de "Bind".

    Para buscar registros de MailItemsAccessed en que se accedió a los elementos de correo con una operación de enlace, ejecute el siguiente comando:

    Registro de auditoría unificado:

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FL
    

    Los mensajes de correo electrónico a los que se ha accedido se identifican por su valor InternetMessageId. También puede comprobar si algún registro de auditoría tiene el mismo contexto que los de otra actividad del atacante.

    Puede usar los datos de auditoría para las operaciones de enlace de dos maneras diferentes:

    • Acceda o recopile todos los mensajes de correo electrónico a los que el atacante accedió mediante el InternetMessageId para buscarlos y comprobar si alguno de estos mensajes contiene información confidencial.
    • Use el InternetMessageId para buscar registros de auditoría relacionados con un conjunto de mensajes de correo potencialmente confidenciales. Esto es útil si solo le preocupan algunos mensajes.

Filtrar registros de auditoría duplicados

Los registros de auditoría duplicados para las mismas operaciones de enlace que tienen lugar dentro de un margen de una hora se filtran para quitar ruido de auditoría. Las operaciones de sincronización también se filtran en intervalos de una hora. La excepción a este proceso de desduplicación se produce si, para el mismo InternetMessageId, cualquiera de las propiedades descritas en la tabla siguiente es diferente. Si una de estas propiedades es diferente en una operación duplicada, se generará un nuevo registro de auditoría. Este proceso se describe con más detalle en la sección siguiente.

Propiedad Description
ClientIPAddress Dirección IP del equipo del cliente.
ClientInfoString El protocolo de cliente, cliente usado para tener acceso al buzón.
ParentFolder La ruta de acceso completa a la carpeta del elemento de correo al que se obtuvo acceso.
Logon_type Tipo de inicio de sesión del usuario que realizó la acción. Los tipos de inicio de sesión (y el valor de enumeración correspondiente) son propietario (0), administrador (1) y delegado (2).
MailAccessType Si el acceso es una operación de enlace o sincronización.
MailboxUPN El UPN del buzón en que se encuentra el correo que se está leyendo.
User UPN del usuario que lee el mensaje.
SessionId El identificador de sesión ayuda a diferenciar las acciones del atacante y las actividades diarias del usuario en el mismo buzón (si una cuenta está en peligro) Para obtener más información sobre las sesiones, consulte Contextualización de la actividad del atacante dentro de las sesiones de Exchange Online.