Agence web » Actualités du digital » Comment l’événement MailItemsAccessed de Microsoft 365 facilite les enquêtes judiciaires –

Comment l’événement MailItemsAccessed de Microsoft 365 facilite les enquêtes judiciaires –

Shutterstock / Sam Kresslein

Microsoft a exposé le MailItemsAccessed événement afin qu’il apparaisse dans les journaux d’audit avancé. Nous examinons comment cela est utilisé pour enquêter sur les comptes de messagerie suspects compromis.

Pourquoi une bonne journalisation est essentielle

À un degré ou à un autre, les systèmes d’exploitation, les équipements réseau, les applications logicielles et les services logiciels créent tous des journaux de diagnostic. En croisant les horodatages dans les journaux, vous pouvez créer une image précise de ce qui se passait dans votre réseau à tout moment.

L’activité des utilisateurs, la communication inter-processus, l’accès aux fichiers, le trafic réseau circulant sur votre réseau, les connexions vers et hors de votre réseau, etc. sont tous enregistrés. Il n’y a aucun ordre du jour sinistre derrière cela. La journalisation – et l’analyse ultérieure de ces journaux – est une procédure d’exploitation standard lorsque vous diagnostiquez des problèmes opérationnels ou des incidents de cybersécurité.

Lorsque vous essayez de découvrir comment un système a été compromis et ce qu’un acteur de la menace a fait lorsqu’il a eu accès à votre système, l’examen des journaux est toujours l’une des premières étapes. Être capable de se référer à un compte rendu détaillé des événements revient à essayer de reconstituer ce qui s’est passé à partir du seul témoignage des utilisateurs.

Les utilisateurs sont limités à décrire ce qu’ils ont vécu et ce qu’ils ont vu le système faire. Bien qu’ils essaient d’être utiles, tout ce qu’ils peuvent vous donner est leur souvenir de la symptômes visibles de l’incident. Cela ne donne aucun aperçu de ce que les appareils et systèmes concernés faisaient en interne – ou pensaient qu’ils faisaient – au moment de l’incident. Et les enquêteurs ont besoin de ce niveau d’information pour déterminer le cause première de l’incident.

Évidemment, plus vos journaux sont détaillés, plus ils seront utiles dans une situation médico-légale ou de diagnostic. Plus les informations fournies par les périphériques sont granulaires et plus elles sont écrites fréquemment dans le journal, mieux c’est.

Vous avez besoin d’une licence E5 ou G5

Microsoft a récemment créé un autre type d’événement: MailItemsAccessed —Apparaissent dans les journaux d’audit avancés de Microsoft 365. Ceci est important car cela permet aux enquêteurs de voir quels éléments de courrier ont été accédés lors d’une cyberattaque. Cet événement existait auparavant, mais il n’a été exposé que récemment et autorisé à filtrer dans les journaux.

Savoir quels e-mails ont été consultés lors d’une cyberattaque peut vous aider à empêcher l’exploitation des données contenues dans ces e-mails. Cela peut également être une exigence de protection des données pour que vous puissiez identifier les e-mails compromis, les expéditeurs et les destinataires de ces e-mails.

le MailItemsAccessed Cet événement vous permettra de faire exactement cela, mais Advanced Audit n’est pas disponible pour tout le monde sur Microsoft 365. Il est disponible pour les organisations disposant d’un abonnement Microsoft 365 Entreprise E5 ou G5. Ces licences fournissent la fonctionnalité d’audit avancé et la conservation des fichiers journaux pendant un an. Vous pouvez choisir de prolonger cela à 10 ans si vous le souhaitez. Cette option de conservation de 10 ans permet aux organisations de mener des enquêtes sur des événements historiques et de satisfaire à des obligations en matière de protection des données, légales ou autres.

L’événement MailItemsAccessed

le MailItemsAccessed L’événement est déclenché lors de l’accès aux e-mails. Si un acteur de la menace accède à un compte Microsft 365, le MailItemsAccessed l’action sera déclenchée – et consignée – même s’il n’y a aucune indication explicite que les e-mails compromis ont été lus. Le simple accès aux e-mails suffit pour déclencher l’événement. Bien sûr, l’événement est également déclenché lorsqu’un utilisateur régulier accède légitimement à son courrier électronique, mais une enquête va se concentrer sur des périodes de temps particulières, permettant ainsi de rejeter les actions de l’utilisateur régulier.

le MailItemsAccessed événement de boîte aux lettres remplace un événement plus ancien appelé MessageBind, et fournit plusieurs améliorations:

  • MailItemsAccessed s’applique à tous les types de connexion. MessageBind impossible de signaler les utilisateurs réguliers et les délégués par e-mail Il a rapporté sur AuditAdmin connexions uniquement.
  • le MailItemsAccessed l’événement est déclenché par synchroniser événements et lier événements. Un événement de synchronisation est déclenché lorsque le courrier est synchronisé avec un client de messagerie. Cela peut affecter de nombreux e-mails. Un événement de liaison est déclenché lorsqu’un seul e-mail est accédé. MessageBind les événements n’étaient déclenchés que pour les événements de synchronisation.
  • le MailItemsAccessed l’événement est moins bruyant. le MessageBind L’événement pourrait se déclencher à plusieurs reprises pour le même e-mail.

Dans une organisation, il peut y avoir de nombreux événements de liaison déclenchés dans un flux continu toute la journée. Microsoft 365 réduit le nombre d’événements en les agrégeant en séquences de deux minutes. Si une seule boîte aux lettres génère plus de 1 000 événements de liaison sur une période de 24 heures, Microsoft 365 limite la journalisation des événements pour cette boîte aux lettres pendant les 24 heures suivantes. Il est important que vous en teniez compte dans une enquête.

Utilisation de MailItemsAccessed dans les recherches

Pour rechercher les journaux d’audit avancés dans Microsoft 365, vous devez disposer des rôles Journaux d’audit en lecture seule ou Journaux d’audit. Les recherches sont effectuées à l’aide d’Exchange Online Powershell ou du Centre de sécurité et de conformité Microsoft.

S’il n’est pas déjà activé, vous devrez activer la fonction de recherche d’audit:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

Il s’agit de la commande générique pour rechercher dans les journaux d’audit de la boîte aux lettres MailItemsAccessed événements, pendant une période spécifiée, pour un compte utilisateur spécifié.

Search-MailboxAuditLog -Identity -StartDate 02/01/2021 -EndDate 02/28/2021 -Operations MailItemsAccessed -ResultSize 1000 -ShowDetails

Enquête sur une boîte aux lettres compromise

La première étape consiste à vérifier si la boîte aux lettres a été limitée. Si tel était le cas, vous devez supposer le pire des cas et traiter tous les e-mails envoyés à ce compte d’utilisateur au cours de cette période de 24 heures comme compromis.

Cela reviendra MailItemsAccessed enregistrements qui ont été générés pendant que la boîte aux lettres était limitée, pendant la période spécifiée, pour un compte d’utilisateur spécifié.

Search-MailboxAuditLog -StartDate 02/01/2021 -EndDate 02/28/2021 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "IsThrottled:True"} | FL

Vous devez savoir si des événements de synchronisation ont eu lieu. Si tel est le cas, l’auteur de la menace a téléchargé l’e-mail sur son client de messagerie local. Ils peuvent ensuite se déconnecter du serveur et consulter et rechercher l’e-mail sans générer plus d’événements sur le serveur.

Cette commande recherche les événements de synchronisation pendant une période spécifiée, pour un compte d’utilisateur spécifié.

Search-MailboxAuditLog -StartDate 02/01/2021 -EndDate 02/28/2021 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "MailAccessType:Sync"} | FL

Si des événements de synchronisation sont détectés, vous devez déterminer à partir de l’adresse IP si cette action a été effectuée par l’acteur de la menace. Si tel est le cas, vous devez à nouveau supposer le pire des cas et partir du principe que toute la boîte aux lettres a été compromise.

Vous devez également rechercher des événements de liaison pour la boîte aux lettres compromise, pour la période qui vous intéresse.

Search-MailboxAuditLog -StartDate 02/01/2021 -EndDate 02/28/2021 -Identity -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "MailAccessType:Bind"} | FL

Les e-mails Microsoft 365 sont identifiés par un identifiant de message Internet, conservé dans leur InternetMessageId valeur. Vous pouvez utiliser les résultats de la recherche de liaison pour identifier les e-mails individuels. Vous pouvez ensuite les consulter pour voir s’ils contenaient des informations sensibles ou confidentielles de l’entreprise.

Vous pouvez également faire cela dans l’autre sens. Si vous connaissez le InternetMessageId des e-mails connus pour contenir des informations sensibles, vous pouvez rechercher les résultats pour ces InternetMessageIds .

Un exemple du monde réel

L’équipe Cloud Forensics de la Cybersecurity and Infrastructure Security Agency (CISA) a publié un script conçu pour aider à détecter d’éventuels comptes et applications compromis dans les environnements Microsoft Azure et Microsoft 365.

Le script installera tous les modules PowerShell dont il a besoin et qui ne sont pas présents sur la machine utilisée pour l’enquête. Alors:

  • Vérifie le journal d’audit unifié dans les environnements Azure / Microsft 365 pour détecter les signes typiques de compromission.
  • Répertorie les domaines Azure AD.
  • Vérifie les principaux de service Azure et leurs autorisations d’API Microsoft Graph pour essayer d’identifier l’activité des acteurs de la menace.
  • Crée plusieurs fichiers CSV pour un examen plus approfondi.

le MailItemsAccessed l’événement est référencé plusieurs fois dans le script. Ceci est une courte section du script qui utilise le MailItemsAccessed événement pour vérifier si les éléments de courrier ont été consultés.

If ($AppIdInvestigation -eq "Single"){
  If ($LicenseAnswer -eq "Yes"){
    #Searches for the AppID to see if it accessed mail items.
    Write-Verbose "Searching for $SusAppId in the MailItemsAccessed operation in the UAL."
    $SusMailItems = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate -Operations "MailItemsAccessed" -ResultSize 5000 -FreeText $SusAppId -Verbose | Select-Object -ExpandProperty AuditData | Convertfrom-Json
    #You can modify the resultant CSV output by changing the -CsvName parameter
    #By default, it will show up as MailItems_Operations_Export.csv
    If ($null -ne $SusMailItems){
      #Determines if the AppInvestigation sub-directory by displayname path exists, and if not, creates that path
      Export-UALData -ExportDir $InvestigationExportParentDir -UALInput $SusMailItems -CsvName "MailItems_Operations_Export" -WorkloadType "EXO"
      } Else{
        Write-Verbose "No MailItemsAccessed data returned for $($SusAppId) and no CSV will be produced."
      } 
    } Else{
        Write-Host "MailItemsAccessed query will be skipped as it is not present without an E5/G5 license."
    }

Le script et quelques autres outils utiles sont disponibles gratuitement, ainsi que des conseils complets sur la façon de les utiliser.

★★★★★