Condividi tramite

Usare MailItemsAccessed per analizzare gli account compromessi

  • Articolo

La compromissione di un account utente, detta anche takeover, è un tipo di attacco in cui un utente malintenzionato acquisisce la proprietà di un account e agisce come se fosse il vero proprietario. Questi tipi di attacchi a volte causano più danni rispetto a quanto previsto dall'utente malintenzionato. Quando si analizzano gli account di posta elettronica compromessi, è necessario presupporre che siano stati compromessi più dati di quelli che potrebbero essere indicati tracciando la presenza effettiva dell'utente malintenzionato. A seconda del tipo di dati contenuti nei messaggi di posta elettronica, è necessario presumere che siano state compromesse informazioni riservate o esporsi a sanzioni, a meno che non sia possibile dimostrare che non sono state esposte informazioni sensibili. Ad esempio, le organizzazioni regolamentate dall'HIPAA rischiano multe significative se è provato che le informazioni sanitarie dei pazienti (PHI) sono state esposte. In questi casi, è improbabile che i pirati informatici siano interessati ai dati PHI, ma le organizzazioni devono comunque segnalare una violazione dei dati, a meno che non possano dimostrare il contrario.

Per semplificare le indagini sugli account di posta elettronica compromessi, ora controlliamo l'accesso ai dati di posta elettronica in base ai protocolli di posta elettronica e ai client con l'azione di controllo delle cassette postali MailItemsAccessed. Questa nuova azione verificata consente agli investigatori di comprendere meglio le violazioni dei dati di posta elettronica e di identificare l'ambito delle compromissioni per specifici elementi di posta che potrebbero essere compromessi. L'obiettivo dell'uso di questa nuova azione di controllo è la difendibilità forense per consentire di affermare che una parte specifica di dati di posta elettronica non è stata compromessa. Se un utente malintenzionato ha ottenuto l'accesso a un messaggio specifico, Exchange Online controlla l'evento anche se non è presente alcuna indicazione che l'elemento di posta elettronica sia stato letto.

Consiglio

Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.

Azione di controllo delle cassette postali MailItemsAccessed

L'azione MailItemsAccessed fa parte della funzionalità Di controllo (Standard). Fa parte del controllo delle cassette postali di Exchange ed è abilitato per impostazione predefinita per gli utenti a cui è assegnata una licenza Office 365 E3/E5 o Microsoft 365 E3/E5.

L'azione di controllo delle cassette postali MailItemsAccessed copre tutti i protocolli di posta elettronica: POP, IMAP, MAPI, EWS, Exchange ActiveSync e REST. Copre anche entrambi i tipi di accesso alla posta elettronica: sync e bind.

Controllo dell'accesso per sincronizzazione

Le operazioni Sync vengono registrate solo quando si accede a una cassetta postale da una versione desktop del client Outlook per Windows o Mac. Durante l'operazione Sync, in genere questi client scaricano un set di elementi di posta di grandi dimensioni dal cloud a un computer locale. Il volume di controllo per le operazioni Sync è enorme. Quindi, invece di generare un record di controllo per ogni elemento di posta sincronizzato, viene generato un evento di controllo per la cartella di posta contenente elementi sincronizzati e si presuppone che tutti gli elementi di posta nella cartella sincronizzata siano stati compromessi. Il tipo di accesso viene registrato nel campo OperationProperties del record di controllo.

Vedere il passaggio 2 nella sezione Usare i record di controllo MailItemsAccessed per le indagini forensi per un esempio di visualizzazione del tipo di accesso Sync in un record di controllo.

Controllo dell'accesso per binding

Un'operazione Bind è un singolo accesso a un messaggio di posta elettronica. Per l'accesso di associazione, InternetMessageId dei singoli messaggi viene registrato nel record di controllo. L'azione di controllo MailItemsAccessed registra le operazioni Bind e le aggrega in un singolo record di controllo. Tutte le operazioni Bind che si verificano in un intervallo di due minuti vengono aggregate in un singolo record di controllo nel campo delle cartelle all'interno della proprietà AuditData. Ogni messaggio a cui è stato eseguito l'accesso è identificato dal relativo InternetMessageId. Il numero di operazioni di binding aggregate nel record viene visualizzato nel campo OperationCount della proprietà AuditData.

Vedere il passaggio 4 nella sezione Usare i record di controllo MailItemsAccessed per le indagini forensi per un esempio di visualizzazione del tipo di accesso Bind in un record di controllo.

Limitazione dei record di controllo MailItemsAccessed

Se vengono generati più di 1.000 record di controllo MailItemsAccessed in meno di 24 ore, Exchange Online interrompe la generazione di record di controllo per l'attività MailItemsAccessed. Quando una cassetta postale viene limitata, l'attività MailItemsAccessed non verrà registrata per 24 ore dopo la limitazione della cassetta postale. Se questo avviene, è possibile che durante questo periodo la cassetta postale sia stata compromessa. La registrazione dell'attività MailItemsAccessed viene ripresa dopo un periodo di 24 ore.

Ecco alcuni aspetti da tenere presenti sulla limitazione:

  • Meno dell'1% di tutte le cassette postali in Exchange Online è sottoposto a limitazione
  • Quando una cassetta postale è limitata, solo i record di controllo per l'attività MailItemsAccessed non vengono controllati. Le altre azioni di controllo delle cassette postali non sono interessate.
  • Se una cassetta postale viene limitata, l'attività MailItemsAccessed aggiuntiva non viene registrata nei log di controllo.

Vedere il passaggio 1 nella sezione Usare i record di controllo MailItemsAccessed per le indagini forensi per un esempio di visualizzazione della proprietà IsThrottled in un record di controllo.

Usare i record di controllo MailItemsAccessed per le indagini forensi

Il controllo delle cassette postali genera record di controllo per l'accesso ai messaggi di posta elettronica, per offrire la certezza che i messaggi di posta elettronica non siano stati compromessi. Per questo motivo, nei casi in cui non siamo certi che sia stato eseguito l'accesso a determinati dati, presupponiamo che sia avvenuto, registrando tutte le attività di accesso alla posta.

In genere i record di controllo MailItemsAccessed vengono usati a scopi forensi dopo la risoluzione di una violazione dei dati e l'espulsione dell'autore dell'attacco. Per avviare l'indagine, è necessario identificare il set di cassette postali che sono state compromesse e determinare l'intervallo di tempo in cui l'utente malintenzionato ha avuto accesso alle cassette postali nell'organizzazione. È quindi possibile usare il cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell per cercare i record di controllo che corrispondono alla violazione dei dati. È possibile usare il cmdlet Search-UnifiedAuditLog per cercare i record di controllo per l'attività eseguita da uno o più utenti.

È possibile eseguire uno dei comandi seguenti per cercare i record di controllo MailItemsAccessed:

Log di audit unificato:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000

Di seguito sono illustrati i passaggi per usare i record di controllo MailItemsAccessed per analizzare un attacco con compromissione di un account utente. Ogni passaggio mostra la sintassi del comando per il cmdlet Search-UnifiedAuditLog .

  1. Controllare se la cassetta postale è stata limitata. In questo caso, ciò significa che alcuni record di controllo delle cassette postali non sarebbero stati registrati. Nel caso in cui tutti i record di controllo abbiano "IsThrottled" è "True", si presuppone che per un periodo di 24 ore dopo tale record sia stato generato, che qualsiasi accesso alla cassetta postale non sia stato controllato e che tutti i dati di posta elettronica siano stati compromessi.

    Per cercare i record MailItemsAccessed in cui la cassetta postale era limitata, eseguire il comando seguente:

    Log di audit unificato:

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL

  2. Controllare le attività di sincronizzazione. Se un utente malintenzionato usa un client di posta elettronica per scaricare i messaggi in una cassetta postale, può disconnettere il computer da Internet e accedere ai messaggi in locale senza interagire con il server. In questo caso, l'audit della cassetta postale non sarebbe in grado di verificare queste attività.

    Per cercare i record MailItemsAccessed in cui l'accesso agli elementi di posta è avvenuto tramite un'operazione Sync, eseguire il comando seguente:

    Log di audit unificato:

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FL

  3. Controllare le attività di sincronizzazione per determinare se qualcuna di esse è avvenuta nel contesto di quella usata dall'autore dell'attacco per accedere alla cassetta postale. Il contesto è identificato e differenziato dall'indirizzo IP del computer client usato per accedere alla cassetta postale e dal protocollo di posta.

    Usare le proprietà elencate di seguito per le indagini. Queste proprietà si trovano nella proprietà AuditData o OperationProperties. Se una delle sincronizzazioni si verifica nello stesso contesto dell'attività dell'utente malintenzionato, presupporre che quest'ultimo abbia sincronizzato tutti gli elementi di posta elettronica con il suo client, il che significa che l'intera cassetta postale è stata probabilmente compromessa.

    Proprietà Descrizione
    ClientInfoString Descrive il protocollo, client (include la versione)
    ClientIPAddress Indirizzo IP del computer client.
    SessionId L'ID sessione consente di differenziare le azioni degli utenti malintenzionati rispetto alle attività quotidiane degli utenti nello stesso account (utile per gli account compromessi)
    UserId UPN dell'utente che legge il messaggio.

  4. Controllare le attività di binding. Dopo aver eseguito i passaggi 2 e 3, è possibile essere certi che tutti gli altri accessi ai messaggi di posta elettronica da parte dell'utente malintenzionato vengano acquisiti nei record di controllo MailItemsAccessed con una proprietà MailAccessType con il valore "Bind".

    Per cercare i record MailItemsAccessed in cui l'accesso agli elementi di posta è avvenuto tramite un'operazione Bind, eseguire il comando seguente.

    Log di audit unificato:

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FL

    I messaggi di posta elettronica a cui si è avuto accesso sono identificati dall'ID del messaggio Internet. È inoltre possibile verificare se i record di audit hanno lo stesso contesto di quelli relativi ad altre attività dell'attaccante.

    È possibile usare i dati di controllo per le operazioni di binding in due modi diversi:

    • Accedere o raccogliere tutti i messaggi di posta elettronica a cui ha eseguito l'accesso l'utente malintenzionato usando l'InternetMessageId per trovarli, poi verificare se uno di questi messaggi contiene informazioni riservate.
    • Usare l'InternetMessageId per cercare i record di controllo relativi a un set di messaggi di posta elettronica potenzialmente sensibili. Ciò è utile se si è interessati solo ad alcuni messaggi.

Filtro dei record di controllo duplicati

I record di controllo duplicati per le stesse operazioni di binding che si verificano entro un'ora l'una dall'altra vengono esclusi per rimuovere i dati non significativi. Anche le operazioni di sincronizzazione sono filtrate a intervalli di un'ora. L'eccezione a questo processo di deduplicazione si verifica se, per lo stesso InternetMessageId, una delle proprietà descritte nella tabella seguente è diversa. Se una di queste proprietà è diversa in un'operazione duplicata, viene generato un nuovo record di controllo. Questo processo è descritto in modo più dettagliato nella sezione successiva.

Proprietà Descrizione
ClientIPAddress Indirizzo IP del computer client.
ClientInfoString Protocollo client, client usato per accedere alla cassetta postale.
ParentFolder Percorso completo della cartella dell'elemento di posta a cui è stato eseguito l'accesso.
Logon_type Tipo di accesso dell'utente che ha eseguito l'azione. I tipi di accesso e il valore di enumerazione corrispondente sono Owner (0), Admin (1) o Delegate (2).
MailAccessType Indica se l'accesso è un'operazione Bind o Sync.
MailboxUPN UPN della cassetta postale in cui si trova il messaggio letto.
User UPN dell'utente che legge il messaggio.
SessionId L'ID sessione consente di differenziare le azioni degli utenti malintenzionati e le attività quotidiane degli utenti nella stessa cassetta postale (se un account è compromesso) Per altre informazioni sulle sessioni, vedere Contestualizzare le attività degli utenti malintenzionati all'interno delle sessioni in Exchange Online.