Экспертиза MaxPatrol SIEM

В Windows отслеживайте создание подозрительных правил для папки "Входящие" с помощью таких командлетов PowerShell, как New-InboxRule, Set-InboxRule, New-TransportRule и Set-TransportRule.

Отслеживайте создание сетевых соединений с недоверенными узлами.

Отслеживать такие случаи довольно сложно, поскольку автоматически переадресованные письма выглядят так же, как и пересланные вручную. Кроме того, пользователь может не знать о включении правила автоматической переадресации и не подозревать о компрометации учетной записи, так как изменение этих правил не влияет на обычное использование почты. Это особенно актуально в случаях, когда применяются правила скрытой автоматической переадресации. Существует лишь два надежных способа обнаружения скрытых правил автоматической переадресации: проверка журналов отслеживания сообщений и поиск измененных значений свойств правила с помощью редактора MAPI. Автоматически переадресованные сообщения обычно содержат определяемые артефакты, например, в заголовке, и их тип зависит от применяемой платформы. Примеры: X-MS-Exchange-Organization-AutoForwarded со значением true, X-MailFwdBy и X-Forwarded-To. При переадресации используется параметр forwardingSMTPAddress, менять который могут только администраторы. Все сообщения переадресовываются из почтового ящика на SMTP-адрес. Такие сообщения не помечаются как переадресованные, как это было бы с типовыми клиентскими правилами, и выглядят как отправленные напрямую на указанный адрес. Несоответствие между количеством сообщений с заголовком X-MS-Exchange-Organization-AutoForwarded (указывающим на автоматическую переадресацию) и количеством писем, помеченных как переадресованные, может потребовать расследования на уровне администратора, а не пользователя.

В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение правил обработки потоков почты.

Отслеживайте нетипичные попытки входа в систему из неизвестных или аномальных точек. Особое внимание уделяйте учетным записям с высокими привилегиями (например, учетной записи администратора Exchange).

Отслеживайте нетипичные процессы, которые пытаются получить доступ к файлам электронной почты в локальной системе — злоумышленники могут использовать электронную почту пользователей в локальных системах для получения важной или конфиденциальной информации.

Использование многофакторной аутентификации на публичных серверах веб-почты — это рекомендуемая передовая практика, позволяющая свести к минимуму полезность имен пользователей и паролей для злоумышленников.

Использование шифрования обеспечивает дополнительный уровень безопасности конфиденциальной информации, отправляемой по электронной почте. Для расшифровки сообщений с помощью криптографии с открытым ключом злоумышленнику необходимо получить личный сертификат вместе с ключом шифрования.

Корпоративные почтовые решения имеют механизмы мониторинга, которые могут включать возможность регулярного аудита правил автопереадресации.

В среде Exchange администраторы могут использовать Get-InboxRule / Remove-InboxRule и Get-TransportRule / Remove-TransportRule для обнаружения и удаления потенциально вредоносных правил автопереадресации и транспортировки. В дополнение к этому можно использовать MAPI Editor для изучения основной структуры базы данных и обнаружения любых изменений/подделок свойств правил автопереадресации.