MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1087.003: Учетная запись эл. почты

Злоумышленники могут попытаться получить список адресов и учетных записей электронной почты. Злоумышленники могут попытаться получить дампы списков адресов Exchange, например глобальных списков адресов (GAL).

В локальной версии Exchange и в Exchange Online командлет PowerShellGet-GlobalAddressList может использоваться из сеанса аутентифицированного пользователя для получения с домена списка адресов и учетных записей электронной почты.

В Google Workspace глобальный список адресов доступен пользователям Microsoft Outlook через службу Google Workspace Sync for Microsoft Outlook (GWSMO). Кроме того, Google Workspace Directory позволяет пользователю получить список других пользователей в организации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_discovery: PT-CR-658: Access_to_Exchange_OAB_File: Пользователь запросил автономную адресную книгу и получил код ответа сервера

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for newly executed processes, such as Windows Management Instrumentation and PowerShell , with arguments that can be used to enumerate email addresses and accounts.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor for execution of commands and arguments associated with enumeration or information gathering of email addresses and accounts such as Get-AddressList, Get-GlobalAddressList, and Get-OfflineAddressBook.