Исследование скомпрометированных учетных записей с помощью действия MailItemsAccessed

Компрометация учетной записи пользователя (или перехват учетной записи) — это тип атаки, при котором злоумышленник получает доступ к учетной записи пользователя и действует как пользователь. Эти типы атак иногда наносят больше ущерба, чем предполагалось злоумышленнику. При исследовании скомпрометированных учетных записей электронной почты необходимо предположить, что было скомпрометировано больше почтовых данных, чем может быть указано при отслеживании фактического присутствия злоумышленника. В зависимости от типа данных в сообщениях электронной почты следует предполагать, что конфиденциальная информация скомпрометирована, или заплатить предписанный штраф, если вы не можете доказать, что конфиденциальные данные не были предоставлены. Например, организации, регулируемые HIPAA, сталкиваются со значительными штрафами, если есть доказательства того, что информация о состоянии здоровья пациентов (ФИ) была раскрыта. В таких случаях, злоумышленников, скорее всего, не интересуют PHI, тем не менее организации должны сообщать о нарушении безопасности данных, если не могут доказать обратное.

Чтобы помочь вам в исследовании скомпрометированных учетных записей электронной почты, проводится аудит доступа к данным почты со стороны почтовых протоколов и клиентов с использованием действия аудита почтового ящика MailItemsAccessed. Это новое проверенное действие помогает следователям лучше понять нарушения электронной почты и выявить область компрометации определенных элементов почты, которые могут быть скомпрометированы. Целью использования этого нового действия аудита является защита от судебной экспертизы, которая помогает утверждать, что определенный фрагмент данных почты не был скомпрометирован. Если злоумышленник получил доступ к определенному фрагменту почты, Exchange Online проверяет событие, даже если нет никаких признаков того, что почтовый элемент был прочитан.

Действие аудита почтового ящика MailItemsAccessed

Действие MailItemsAccessed является частью функции аудита (Standard). Он является частью аудита почтовых ящиков Exchange и по умолчанию включен для пользователей, которым назначена лицензия Office 365 E3/E5 или Microsoft 365 E3/E5.

Действие аудита почтового ящика MailItemsAccessed применимо ко всем почтовым протоколам: POP, IMAP, MAPI, EWS, Exchange ActiveSync и REST. Его используют при обоих типах доступа к почте: для синхронизации и для привязки.

Аудит доступа для синхронизации

Операции синхронизации записываются только в том случае, если доступ к почтовому ящику осуществляется с помощью классической версии клиента Outlook для Windows или Mac. В процессе синхронизации такие клиенты обычно загружают большой набор элементов почты из облака на локальный компьютер. Объем аудита для операций синхронизации значительный. Поэтому вместо создания записи аудита для каждого синхронизированного элемента почты создается событие аудита для папки почты, содержащей синхронизированные элементы, и предполагается, что все элементы почты в синхронизированной папке скомпрометированы. Тип доступа записывается в поле OperationProperties записи аудита.

Пример доступа для синхронизации, указанного в записи аудита, см. в шаге 2 в разделе Использование записей аудита о MailItemsAccessed для экспертных исследований.

Аудит доступа для привязки

Операция привязки обеспечивает индивидуальный доступ к сообщению электронной почты. Для доступа к привязке InternetMessageId отдельных сообщений записывается в запись аудита. Действие аудита MailItemsAccessed записывает операции привязки, а затем объединяет их в одну запись аудита. Все операции привязки, которые выполняются в течение 2 минут, собираются в одну запись аудита в поле "Папки" в свойстве AuditData. Каждое сообщение, к которому был получен доступ, идентифицируется его InternetMessageId. Количество операций связывания, которые были агрегированы в записи, отображается в поле OperationCount свойства AuditData.

Пример доступа для привязки, указанного в записи аудита, см. в шаге 4 в разделе Использование записей аудита о MailItemsAccessed для экспертных исследований.

Регулирование записей аудита о MailItemsAccessed

Если менее чем за 24 часа создается более 1000 записей аудита MailItemsAccessed, Exchange Online перестает создавать записи аудита для действия MailItemsAccessed. При регулировании почтового ящика действие MailItemsAccessed не регистрируется в течение 24 часов после регулирования почтового ящика. Если почтовый ящик регулируется, существует вероятность компрометации почтового ящика в течение этого периода. Запись действия MailItemsAccessed возобновляется по истечении 24-часового периода.

Некоторые важные замечания о регулировании

• Регулируется менее 1% всех почтовых ящиков в Exchange Online
• При регулировании почтового ящика аудит не выполняется только для записей аудита о действии MailItemsAccessed. Другие действия аудита почтового ящика не затрагиваются.
• Если почтовый ящик регулируется, дополнительные действия MailItemsAccessed не записываются в журналы аудита.

Пример свойства IsThrottled, указанного в записи аудита, см. в шаге 1 в разделе Использование записей аудита о MailItemsAccessed для экспертных исследований.

Использование записей аудита о MailItemsAccessed для экспертных исследований

В процессе аудита почтовых ящиков создаются записи аудита для доступа к сообщениям электронной почты, чтобы можно было убедиться, что эти сообщения не скомпрометированы. В то же время, если мы не уверены в том, что к некоторым данным осуществлялся доступ, предполагается, что он осуществлялся, и записываются все действия доступа к почте.

Записи аудита о MailItemsAccessed обычно используются в целях судебной экспертизы после устранения нарушения безопасности данных и исключения злоумышленника. Чтобы начать расследование, следует определить набор скомпрометированных почтовых ящиков и определить сроки доступа злоумышленника к почтовым ящикам в вашей организации. Затем можно использовать командлет Search-UnifiedAuditLog в Exchange Online PowerShell для поиска записей аудита, соответствующих утечке данных. Командлет Search-UnifiedAuditLog можно использовать для поиска записей аудита для действий, выполняемых одним или несколькими пользователями.

Для поиска записей аудита о MailItemsAccessed можно выполнить одну из следующих команд:

Единый журнал аудита:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000

Ниже описаны шаги по использованию записей аудита о MailItemsAccessed для исследования компрометирующей пользователя атаки. На каждом шаге показан синтаксис команды для командлета Search-UnifiedAuditLog .

1. Проверьте, был ли отрегулирован почтовый ящик. Если это так, это означает, что некоторые записи аудита почтовых ящиков не были зарегистрированы. В случае, если в записях аудита имеется значение "IsThrottled" имеет значение True, следует предположить, что в течение 24-часового периода после создания этой записи любой доступ к почтовому ящику не подвергался аудиту и что все почтовые данные были скомпрометированы.

   Чтобы найти записи о MailItemsAccessed, относящиеся к регулировке почтового ящика, выполните следующую команду:

   Единый журнал аудита:

   Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL
   

2. Проверьте наличие действий синхронизации. Если злоумышленник использует клиент электронной почты для скачивания сообщений в почтовом ящике, можно отключить компьютер от Интернета и осуществлять доступ к сообщениям локально, не взаимодействуя с сервером. В этом случае аудит почтовых ящиков не сможет выполнять аудит этих действий.

   Чтобы найти записи о MailItemsAccessed, связанные с доступом к элементам почты с помощью операции синхронизации, выполните следующую команду:

   Единый журнал аудита:

   Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FL
   

3. Проверьте действия синхронизации, чтобы определить, не возникли ли они в том же контексте, что и действие, использованное злоумышленником для доступа к почтовому ящику. Контекст определяется и отличается от других IP-адресом клиентского компьютера, используемого для доступа к почтовому ящику, и почтовым протоколом.

   Для исследования используйте свойства, перечисленные ниже. Эти свойства находятся в AuditData или OperationProperties. Если операция синхронизации возникает в том же контексте, что и действие злоумышленника, можно предположить, что злоумышленник синхронизировал все элементы почты со своим клиентом. Это означает, что, скорее всего, скомпрометирован весь почтовый ящик.

   Свойство	Описание
   ClientInfoString	Описание протокола, клиента (включая версию)
   ClientIPAddress	IP-адрес клиентского компьютера.
   SessionId	ИД сеанса помогает различать действия злоумышленника и повседневные действия пользователя с одной и той же учетной записью (удобно для скомпрометированных учетных записей)
   UserId	Имя участника-пользователя, читающего сообщение.

4. Проверьте наличие действий привязки. После выполнения шагов 2 и 3 вы можете быть уверены, что все остальные доступ к сообщениям электронной почты злоумышленника фиксируются в записях аудита MailItemsAccessed со свойством MailAccessType со значением "Bind".

   Чтобы найти записи о MailItemsAccessed, связанные с доступом к элементам почты с помощью операции привязки, выполните следующую команду:

   Единый журнал аудита:

   Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FL
   

   Email сообщения, к которым был предоставлен доступ, идентифицируются по идентификатору сообщения в Интернете. Вы также можете проверка, чтобы узнать, имеют ли какие-либо записи аудита тот же контекст, что и записи для других действий злоумышленников.

   Данные аудита для операций привязки можно использовать двумя различными способами:

   • Получите доступ или соберите все сообщения электронной почты, к которым злоумышленник получил доступ, используя InternetMessageId, чтобы найти их, а затем проверив, содержит ли какое-либо из этих сообщений конфиденциальную информацию.
   • Используйте InternetMessageId для поиска записей аудита, связанных с набором потенциально конфиденциальных сообщений электронной почты. Это удобно, если вас беспокоит лишь несколько сообщений.

Фильтрация повторяющихся записей аудита

Повторяющиеся записи аудита для одних и тех же операций привязки, выполняющихся в течение часа, отфильтровываются, чтобы избежать "шума" в аудите. Операции синхронизации также отфильтровываются с интервалом в один час. Исключение из этого процесса дедупликации возникает, если для того же InternetMessageId какие-либо свойства, описанные в следующей таблице, отличаются. Если при операции дублирования какое-либо из этих свойств отличается, создается новая запись аудита. Этот процесс описан подробнее в следующем разделе.