Usar MailItemsAccessed para investigar contas comprometidas

Uma conta de usuário comprometida (também chamada de tomada de controle da conta) é um tipo de ataque quando um invasor obtém acesso a uma conta de usuário e opera como o usuário. Por vezes, estes tipos de ataques causam mais danos do que o atacante pretendia. Ao investigar contas de e-mail comprometidas, tem de assumir que mais dados de correio foram comprometidos do que podem ser indicados ao rastrear a presença real do atacante. Dependendo do tipo de dados nas mensagens de email, você deve supor que as informações confidenciais foram comprometidas ou pagar multas regulatórias, a menos que seja possível provar que as informações confidenciais não tenham sido expostas. Por exemplo, as organizações regulamentadas pelo HIPAA terão de pagar multas significativas se houver evidências de que informações de saúde do paciente (PHI) tenham sido expostas. Nesses casos, os invasores provavelmente não têm interesse nas PHI, mas as organizações ainda devem relatar violações de dados, a menos que possam provar o contrário.

Para ajudar você a investigar contas de email de comprometimento, agora estamos auditando acessos de dados de email por protocolos de email e clientes com a ação de auditoria de caixa de correio MailItemsAccessed. Esta nova ação auditada ajuda os investigadores a compreender melhor as violações de dados de e-mail e ajuda-o a identificar o âmbito dos compromissos para itens de correio específicos que podem estar comprometidos. O objetivo de utilizar esta nova ação de auditoria é a defensibilidade forense para ajudar a afirmar que uma parte específica dos dados de correio não foi comprometida. Se um atacante tiver obtido acesso a uma parte específica do correio, Exchange Online audita o evento, mesmo que não exista indicação de que o item de correio foi lido.

A ação de auditoria de caixa de correio MailItemsAccessed

A ação MailItemsAccessed faz parte da funcionalidade auditoria (Standard). Faz parte da auditoria da caixa de correio do Exchange e está ativada por predefinição para os utilizadores a quem é atribuída uma licença Office 365 E3/E5 ou Microsoft 365 E3/E5.

A ação de auditoria de caixa de correio MailItemsAccessed abrange todos os protocolos de email: POP, IMAP, MAPI, EWS, Exchange ActiveSync e REST. Ela também aborda os dois tipos de acesso a email: sincronização e vinculação.

Auditoria do acesso de sincronização

As operações de sincronização só são registradas quando uma caixa de correio é acessada por uma versão de área de trabalho do cliente do Outlook para Windows ou Mac. Durante a operação de sincronização, esses clientes geralmente baixam um grande conjunto de itens de email da nuvem para um computador local. O volume de auditoria para operações de sincronização é enorme. Portanto, em vez de gerar um registro de auditoria para cada item de correio sincronizado, geramos um evento de auditoria para a pasta de correio que contém os itens que foram sincronizados e presumimos que todos os itens de correio na pasta sincronizada foram comprometidos. O tipo de acesso é registrado no campo OperationProperties do registro de auditoria.

Confira a etapa 2 na seção Usar os registros de auditoria MailItemsAccessed para investigações de perícia para obter um exemplo de como exibir o tipo de acesso de sincronização em um registro de auditoria.

Auditoria do acesso de vinculação

Uma operação de vinculação é um acesso individual a uma mensagem de email. Para acesso ao enlace, o InternetMessageId de mensagens individuais é registado no registo de auditoria. A ação de auditoria MailItemsAccessed registra as operações de vinculação e, em seguida, agrega-as em um único registro de auditoria. Todas as operações de vinculação que ocorrem em um intervalo de 2 minutos são agregadas em um único registro de auditoria no campo Pastas dentro da propriedade AuditData. Cada mensagem acessada é identificada por seu InternetMessageId. O número de operações de ligação que foram agregadas no registro é exibido no campo OperationCount na propriedade AuditData.

Confira a etapa 4 na seção Usar os registros de auditoria MailItemsAccessed para investigações forenses para obter um exemplo de como exibir o tipo de acesso de vinculação em um registro de auditoria.

Limitação de registros de auditoria MailItemsAccessed

Se forem gerados mais de 1000 registos de auditoria MailItemsAccessed em menos de 24 horas, Exchange Online deixa de gerar registos de auditoria para a atividade MailItemsAccessed. Quando uma caixa de correio é limitada, a atividade MailItemsAccessed não será registada durante 24 horas após a limitação da caixa de correio. Se a caixa de correio foi limitada, há um potencial de que a caixa de correio tenha sido comprometida durante esse período. A gravação da atividade MailItemsAccessed é retomada após um período de 24 horas.

Aqui estão alguns pontos para lembrar sobre a limitação:

• Menos de 1% de todas as caixas de correio no Exchange Online são limitadas.
• Quando uma caixa de correio é limitada, apenas os registros de auditoria para a atividade MailItemsAccessed não são auditados. Outras ações de auditoria da caixa de correio não são afetadas.
• Se uma caixa de correio estiver limitada, a atividade MailItemsAccessed adicional não será registada nos registos de auditoria.

Confira a etapa 1 na seção Usar registros de auditoria MailItemsAccessed para investigações de perícia para obter um exemplo de como exibir a propriedade IsThrottled em um registro de auditoria.

Use os registros de auditoria MailItemsAccessed para investigações de perícia

A auditoria de caixa de correio gera registros de auditoria para acesso a mensagens de email para que você tenha certeza de que as mensagens de email não foram comprometidas. Por esse motivo, em situações em que não sabemos que alguns dados foram acessados, supomos que foram acessados gravando todas as atividades de acesso ao email.

Geralmente usa-se os registros de auditoria MailItemsAccessed para fins de perícia após uma violação de dados ser resolvida e o invasor ser removido. Para iniciar a investigação, deve identificar o conjunto de caixas de correio que foram comprometidas e determinar o período de tempo em que o atacante teve acesso às caixas de correio na sua organização. Em seguida, pode utilizar o cmdlet Search-UnifiedAuditLog no Exchange Online PowerShell para procurar registos de auditoria que correspondam à falha de segurança de dados. Pode utilizar o cmdlet Search-UnifiedAuditLog para procurar registos de auditoria para atividade realizada por um ou mais utilizadores.

Você pode executar um dos seguintes comandos para pesquisar registros de auditoria MailItemsAccessed:

Log de auditoria unificado:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000

Estas são as etapas para usar os registros de auditoria MailItemsAccessed para investigar uma invasão a um usuário comprometido. Cada passo mostra a sintaxe do comando para o cmdlet Search-UnifiedAuditLog .

1. Verifique se a caixa de correio foi limitada. Em caso afirmativo, tal significaria que alguns registos de auditoria de caixas de correio não teriam sido registados. No caso de os registos de auditoria terem "IsThrottled" como "Verdadeiro", deve assumir que, durante um período de 24 horas depois, esse registo foi gerado, que qualquer acesso à caixa de correio não foi auditado e que todos os dados de correio foram comprometidos.

   Para procurar registros MailItemsAccessed em que a caixa de correio foi limitada, execute o seguinte comando:

   Log de auditoria unificado:

   Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL
   

2. Verifique se há atividades de sincronização. Se um invasor usa um cliente de email para baixar mensagens em uma caixa de correio, ele pode desconectar o computador da Internet e acessar as mensagens localmente sem interagir com o servidor. Nesse caso, a auditoria de caixa de correio não seria capaz de auditar essas atividades.

   Para procurar registros MailItemsAccessed em que os itens de email foram acessados por uma operação de sincronização, execute o seguinte comando:

   Log de auditoria unificado:

   Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FL
   

3. Verifique as atividades de sincronização para determinar se alguma delas ocorreu no mesmo contexto que aquele usado pelo invasor para acessar a caixa de correio. O contexto é identificado e diferenciado pelo endereço IP do computador cliente usado para acessar a caixa de correio e o protocolo de email.

   Use as propriedades listadas abaixo para investigar. Essas propriedades estão localizadas na propriedade AuditData ou OperationProperties. Se qualquer uma das sincronizações ocorrer no mesmo contexto da atividade do invasor, suponha que o invasor sincronizou todos os itens de email com seu cliente, o que significa que a caixa de correio inteira provavelmente foi comprometida.

   Propriedade	Descrição
   ClientInfoString	Descreve protocolo, cliente (inclui versão)
   ClientIPAddress	Endereço IP do computador cliente.
   SessionId	A ID da sessão ajuda a diferenciar as ações do invasor versus as atividades diárias do usuário na mesma conta (útil para contas comprometidas)
   UserId	UPN do usuário que está lendo a mensagem.

4. Verifique as atividades de vinculação. Depois de executar os passos 2 e 3, pode ter a certeza de que todos os outros acessos às mensagens de e-mail do atacante são capturados nos registos de auditoria MailItemsAccessed que têm uma propriedade MailAccessType com um valor de "Bind".

   Para procurar registros MailItemsAccessed em que os itens de email foram acessados por uma operação de vinculação, execute o seguinte comando.

   Log de auditoria unificado:

   Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FL
   

   As mensagens de email que foram acessadas são identificadas pelos seus ID de mensagem de internet. Você também pode verificar se algum registro de auditoria tem o mesmo contexto que os de outras atividades do invasor.

   Você pode usar os dados de auditoria para operações de vinculação de duas maneiras diferentes:

   • Acesse ou colete todas as mensagens de e-mail acessadas pelo invasor usando o InternetMessageId para localizá-las e verifique se alguma dessas mensagens contém informações confidenciais.
   • Use o InternetMessageId para pesquisar registros de auditoria relacionados a um conjunto de mensagens de e-mail potencialmente sensíveis. Isso será útil se você estiver preocupado apenas com algumas mensagens.

Filtragem de registros de auditoria duplicados

Os registros de auditoria duplicados para as mesma operações de vinculação que ocorrem dentro de uma hora entre si são filtrados para remover o ruído de auditoria. As operações de sincronização também são filtradas em intervalos de uma hora. A exceção a este processo de eliminação de duplicados ocorre se, para o mesmo InternetMessageId, qualquer uma das propriedades descritas na tabela seguinte for diferente. Se uma dessas propriedades for diferente em uma operação duplicada, um novo registro de auditoria será gerado. Esse processo é descrito em mais detalhes na próxima seção.