Partager via

Utiliser MailItemsAccessed pour examiner les comptes compromis

  • Article

Un compte d’utilisateur compromis (également appelé prise de contrôle de compte) est un type d’attaque permettant à une personne malveillante d’accéder à un compte utilisateur et d'agir à sa place. Ces types d’attaques occasionnent parfois plus de dommages que l’attaquant ne l’avait prévu. Lorsque vous examinez les comptes de messagerie compromis, vous devez supposer que plus de données de courrier ont été compromises que ce qui pourrait être indiqué en traçant la présence réelle de l’attaquant. Selon le type de données figurant dans les messages électroniques, vous devez supposer que les informations sensibles ont été compromises, ou font face à des sanctions pour infraction à un règlement, sauf si vous pouvez prouver que les informations sensibles n’ont pas été exposées. Par exemple, les organisations réglementées par le HIPAA sont confrontées à des amendes importantes s’il s'avère que des informations sur la santé des patients ont été exposées. Dans ces cas, il est peu probable que les personnes malveillantes s'intéressent aux dossiers contenant des renseignements médicaux protégés (PHI), mais les organisations doivent tout de même signaler les violations de données, sauf si elles peuvent prouver le cas contraire.

Pour faciliter votre enquête sur des comptes de courrier compromis, nous auditons désormais les accès aux données de messages par protocoles de courrier et clients avec l’action d’audit de boîte aux lettres MailItemsAccessed. Cette nouvelle action auditée aide les enquêteurs à mieux comprendre les violations de données d’e-mail et à identifier l’étendue des compromissions à des éléments de courrier spécifiques susceptibles d’être compromis. L’objectif de l’utilisation de cette nouvelle action d’audit est la défensibilité de l’investigation pour aider à affirmer qu’un élément spécifique de données de courrier n’a pas été compromis. Si un attaquant a obtenu l’accès à un message spécifique, Exchange Online audite l’événement même s’il n’y a aucune indication que l’élément de courrier a été lu.

Conseil

Si vous n’êtes pas un client E5, utilisez l’essai des solutions Microsoft Purview de 90 jours pour découvrir comment des fonctionnalités Purview supplémentaires peuvent aider votre organisation à gérer ses besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. Découvrez plus d’informations sur l’inscription et les conditions de la version d’évaluation.

Action d’audit de boîte aux lettres MailItemsAccessed

L’action MailItemsAccessed fait partie de la fonctionnalité Audit (Standard). Il fait partie de l’audit des boîtes aux lettres Exchange et est activé par défaut pour les utilisateurs auxquels une licence Office 365 E3/E5 ou Microsoft 365 E3/E5 est affectée.

L’action d’audit de boîte aux lettres MailItemsAccessed englobe tous les protocoles de messagerie : POP, IMAP, MAPI, EWS, Exchange ActiveSync et REST. Il prend en charge également les deux types d’accès aux courriers : synchronisation et liaison.

Audit de l’accès à la synchronisation

Les opérations de synchronisation sont uniquement enregistrées lorsqu’une boîte aux lettres est consultée par une version de bureau du client Outlook pour Windows ou Mac. Pendant l’opération de synchronisation, ces clients téléchargent généralement un grand nombre de courriers du cloud vers un ordinateur local. Le volume d’audit pour les opérations de synchronisation est important. Par conséquent, au lieu de générer un enregistrement d’audit pour chaque élément de courrier synchronisé, nous générons un événement d’audit pour le dossier de messagerie contenant des éléments synchronisés et supposons que tous les éléments de courrier du dossier synchronisé ont été compromis. Le type d’accès est enregistré dans le champ OperationProperties de l’enregistrement d’audit.

Pour consulter un exemple d’affichage du type d’accès à la synchronisation dans un enregistrement d’audit, voir l’étape 2 de la section Utiliser les enregistrements d’audit MailItemsAccessed pour des investigations criminalistiques.

Audit de l’accès liaison

Une opération de liaison consiste en un accès individuel à un message électronique. Pour l’accès de liaison, l’InternetMessageId des messages individuels est enregistré dans l’enregistrement d’audit. L’action d’audit MailItemsAccessed enregistre les opérations de liaison, puis les rassemble dans un seul enregistrement d’audit. Toutes les opérations de liaison effectuées au cours d’un intervalle de deux minutes sont regroupées dans un seul enregistrement d’audit dans le champ Dossiers de la propriété AuditData. Les messages consultés sont identifiés par leur InternetMessageId. Le nombre d’opérations de liaison regroupées dans l’enregistrement s’affiche dans le champ OperationCount de la propriété AuditData.

Pour consulter un exemple d’affichage du type d’accès à la liaison dans un enregistrement d’audit, voir l’étape 4 de la section Utiliser les enregistrements d’audit MailItemsAccessed pour des investigations criminalistiques.

Limitation des enregistrements d’audit MailItemsAccessed

Si plus de 1 000 enregistrements d’audit MailItemsAccessed sont générés en moins de 24 heures, Exchange Online cesse de générer des enregistrements d’audit pour l’activité MailItemsAccessed. Lorsqu’une boîte aux lettres est limitée, l’activité MailItemsAccessed n’est pas journalisée pendant 24 heures après la limitation de la boîte aux lettres. Si la boîte aux lettres a été limitée, il est possible que cette boîte aux lettres ait été compromise pendant cette période. L’enregistrement de l’activité MailItemsAccessed reprend après une période de 24 heures.

Voici quelques éléments à se rappeler sur la limitation :

  • Moins de 1 % des boîtes aux lettres sont limitées dans Exchange Online
  • Lorsqu’une boîte aux lettres est limitée, seuls les enregistrements d’audit pour l’activité MailItemsAccessed ne sont pas audités. Les autres actions d’audit de boîtes aux lettres ne sont pas concernées.
  • Si une boîte aux lettres est limitée, l’activité MailItemsAccessed supplémentaire n’est pas enregistrée dans les journaux d’audit.

Pour consulter un exemple d’affichage de la propriété IsThrottled dans un enregistrement d’audit, voir l’étape 1 de la section Utiliser les enregistrements d’audit MailItemsAccessed pour des investigations criminalistiques.

Utiliser les enregistrements d’audit MailItemsAccessed pour des enquêtes légales

L’audit de boîte aux lettres génère des enregistrements d’audit pour l’accès aux courriers afin d'être certain que les messages n’ont pas été compromis. En conséquence, si des circonstances ne permettent pas d'affirmer qu'un accès aux données a eu lieu, nous supposons qu'il s'est produit en enregistrant toute l'activité d'accès au courrier.

L'enregistrement à l'aide d’audit MailItemsAccessed à des fins d’enquête légale est généralement effectué après la résolution d’une violation de données et l'éviction de la personne malveillante. Pour commencer votre investigation, vous devez identifier l’ensemble des boîtes aux lettres qui ont été compromises et déterminer la période pendant laquelle l’attaquant a eu accès aux boîtes aux lettres dans votre organization. Vous pouvez ensuite utiliser l’applet de commande Search-UnifiedAuditLog dans Exchange Online PowerShell pour rechercher des enregistrements d’audit correspondant à la violation de données. Vous pouvez utiliser l’applet de commande Search-UnifiedAuditLog pour rechercher des enregistrements d’audit pour l’activité effectuée par un ou plusieurs utilisateurs.

Vous pouvez exécuter l’une des commandes suivantes pour rechercher les enregistrements d’audit MailItemsAccessed :

Journal d'audit unifié :

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000

Voici les étapes à suivre pour utiliser les enregistrements d’audit MailItemsAccessed afin d'enquêter sur l'attaque d'un utilisateur compromis. Chaque étape affiche la syntaxe de commande de l’applet de commande Search-UnifiedAuditLog .

  1. Vérifiez si la boîte aux lettres a été limitée. Si c’est le cas, cela signifie que certains enregistrements d’audit de boîte aux lettres n’auraient pas été enregistrés. Dans le cas où « IsThrottled » est « True » dans tous les enregistrements d’audit, vous devez supposer que pendant une période de 24 heures après la génération de cet enregistrement, tout accès à la boîte aux lettres n’a pas été audité et que toutes les données de courrier ont été compromises.

    Pour effectuer la recherche des enregistrements MailItemsAccessed dans lesquels la boîte aux lettres a été limitée, exécutez la commande suivante :

    Journal d'audit unifié :

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL

  2. Vérifier les activités de synchronisation. Si une personne malveillante utilise un client de courrier pour télécharger les messages d'une boîte aux lettres, il peut déconnecter l’ordinateur d’internet et accéder aux messages en local sans interagir avec le serveur. Dans ce cas, l’audit de boîte aux lettres ne serait pas en mesure d’auditer ces activités.

    Pour effectuer la recherche des enregistrements MailItemsAccessed dans lesquels les courriers ont été consultés par une opération de synchronisation, exécutez la commande suivante :

    Journal d'audit unifié :

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FL

  3. Vérifiez les activités de synchronisation pour déterminer si l’une d'entre elles s’est produite dans le même contexte que celle utilisée par l’attaquant qui a accédé à la boîte aux lettres. Le contexte est identifié et peut être distingué par l’adresse IP de l’ordinateur client utilisé pour accéder à la boîte aux lettres et au protocole de courrier.

    Utilisez les propriétés répertoriées ci-dessous pour effectuer votre enquête. Ces propriétés sont situées dans la propriété AuditData ou OperationProperties. Si l’une des synchronisations se produit dans le même contexte que l’activité de la personne malveillante, vous devez supposer que l’attaquant a synchronisé tous les éléments de courrier vers leur client, ce qui signifie que la boîte aux lettres entière a probablement été compromise.

    Propriété Description
    ClientInfoString Décrit le protocole, le client (inclut la version).
    ClientIPAddress Adresse IP de l’ordinateur client.
    SessionId L’ID de session permet de différencier les actions de l’attaquant et les activités quotidiennes des utilisateurs sur le même compte (utile pour les comptes compromis)
    UserId Nom d’utilisateur principal (UPN) de l’utilisateur lisant le message.

  4. Vérifier les activités de liaison. Après avoir effectué les étapes 2 et 3, vous pouvez être certain que tous les autres accès aux messages électroniques par l’attaquant sont capturés dans les enregistrements d’audit MailItemsAccessed qui ont une propriété MailAccessType avec la valeur « Bind ».

    Pour effectuer la recherche des enregistrements MailItemsAccessed dans lesquels les courriers ont été consultés par une opération de liaison, exécutez la commande suivante.

    Journal d'audit unifié :

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FL

    Les messages électroniques qui ont été consultés sont identifiés par leur ID de message Internet. Vous pouvez également vérifier si les enregistrements d’audit ont le même contexte que celui d’une autre activité de l’attaquant.

    Vous pouvez utiliser les données d’audit pour les opérations de liaison de deux façon différentes :

    • Accéder ou recueillir tous les courriers électroniques auxquels la personne malveillante a eu accès en utilisant l’InternetMessageId pour les retrouver, puis vérifiez si l’un de ces messages contient des informations sensibles.
    • Utilisez l’InternetMessageId pour rechercher des enregistrements d’audit relatifs à un groupe de courriers électroniques potentiellement sensibles. Cela est utile si vous ne vous souciez que de quelques messages.

Filtrage des enregistrements d’audit dupliqués

Les enregistrements d’audit dupliqués pour les mêmes opérations de liaison qui se produisent au cours de la même heure sont filtrés pour supprimer les bruits d’audit. Les opérations de synchronisation sont également filtrées à intervalles d’une heure. L’exception à ce processus de déduplication se produit si, pour le même InternetMessageId, l’une des propriétés décrites dans le tableau suivant est différente. Si l’une de ces propriétés est différente dans une opération de duplication, un nouvel enregistrement d’audit est généré. Ce processus est décrit en détail dans la section suivante.

Propriété Description
ClientIPAddress Adresse IP de l’ordinateur client.
ClientInfoString Protocole client, client utilisé pour accéder à la boîte aux lettres.
ParentFolder Le chemin d’accès complet du dossier de l’élément de courrier qui a été consulté.
Logon_type Type de connexion de l'utilisateur qui a réalisé l'opération. Les types de connexion (et leur valeur enum correspondante) sont propriétaire (0), administrateur (1) ou délégué (2).
MailAccessType Si l’accès est une liaison ou une opération de synchronisation.
MailboxUPN Nom d’utilisateur principal (UPN) de la boîte aux lettres dans laquelle se trouve le message lu.
Utilisateur Nom d’utilisateur principal (UPN) de l’utilisateur lisant le message.
SessionId L’ID de session permet de différencier les actions des attaquants et les activités quotidiennes des utilisateurs dans la même boîte aux lettres (si un compte est compromis). Pour plus d’informations sur les sessions, consultez Contextualisation de l’activité d’attaquant dans les sessions dans Exchange Online.