Freigeben über

Verwenden von MailItemsAccessed zum Untersuchen kompromittierter Konten

  • Artikel

Ein kompromittiertes Benutzerkonto (auch als Kontoübernahme bezeichnet) ist ein Angriffstyp, bei dem ein Angreifer Zugriff auf ein Benutzerkonto erhält und als Benutzer agiert. Diese Arten von Angriffen verursachen manchmal mehr Schaden als der Angreifer beabsichtigt. Bei der Untersuchung von kompromittierten E-Mail-Konten müssen Sie davon ausgehen, dass mehr E-Mail-Daten kompromittiert wurden, als durch die Nachverfolgung der tatsächlichen Anwesenheit des Angreifers angegeben werden könnten. Abhängig vom Typ der Daten in E-Mail-Nachrichten müssen Sie davon ausgehen, dass vertrauliche Informationen kompromittiert wurden, oder es werden Geldbußen im Zusammenhang mit gesetzlichen Vorschriften fällig, wenn Sie nicht nachweisen können, dass keine vertrauliche Informationen offengelegt wurden. So können beispielsweise für HIPAA-regulierte Organisationen erhebliche Geldbußen anfallen, wenn nachgewiesen wird, dass Gesundheitsinformationen von Patienten (PHI) offengelegt wurden. In diesen Fällen ist es unwahrscheinlich, dass Angreifer sich für die PHI interessieren, doch Organisationen müssen Datenverstöße trotzdem melden, wenn sie nicht das Gegenteil beweisen können.

Um Ihnen bei der Untersuchung von kompromittierten E-Mail-Konten zu helfen, wird der Zugriff auf E-Mail-Daten nun durch E-Mail-Protokolle und -Clients mit der Postfachüberwachungsaktion MailItemsAccessed überwacht. Diese neue überwachte Aktion hilft Ermittlern, E-Mail-Datenschutzverletzungen besser zu verstehen und den Umfang der Kompromittierungen für bestimmte E-Mail-Elemente zu identifizieren, die möglicherweise kompromittiert werden. Das Ziel dieser neuen Überwachungsaktion ist die Forensik-Defensierbarkeit, um zu bestätigen, dass ein bestimmter Teil der E-Mail-Daten nicht kompromittiert wurde. Wenn ein Angreifer Zugriff auf eine bestimmte E-Mail erlangt hat, überwacht Exchange Online das Ereignis, obwohl es keinen Hinweis darauf gibt, dass das E-Mail-Element gelesen wurde.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Die Postfachüberwachungsaktion "MailItemsAccessed"

Die MailItemsAccessed-Aktion ist Teil der Überwachungsfunktion (Standard). Sie ist Teil der Exchange-Postfachüberwachung und ist standardmäßig für Benutzer aktiviert, denen eine Office 365 E3/E5- oder Microsoft 365 E3/E5-Lizenz zugewiesen ist.

Die Postfachüberwachungsaktion "MailItemsAccessed" deckt alle E-Mail-Protokolle ab: POP, IMAP, MAPI, EWS, Exchange ActiveSync und REST. Außerdem werden beide Arten des Zugriffs auf E-Mails abgedeckt: Synchronisierung und Bindung.

Überwachen des Synchronisierungszugriffs

Synchronisierungsvorgänge werden nur aufgezeichnet, wenn durch eine Desktopversion des Outlook-Clients für Windows oder Mac auf ein Postfach zugegriffen wird. Während des Synchronisierungsvorgangs laden diese Clients in der Regel eine große Menge von E-Mail-Elementen aus der Cloud auf einen lokalen Computer herunter. Das Überwachungsvolumen für Synchronisierungsvorgänge ist riesig. Anstatt also einen Überwachungseintrag für jedes synchronisierte E-Mail-Element zu generieren, wird ein Überwachungsereignis für den E-Mail-Ordner generiert, der die synchronisierten Elemente enthält, und davon ausgegangen, dass alle E-Mail-Elemente im synchronisierten Ordner kompromittiert wurden. Der Zugriffstyp wird im OperationsProperties-Feld des Überwachungsdatensatzes aufgezeichnet.

Ein Beispiel für die Darstellung des Synchronisierungszugriffstyps in einem Überwachungsdatensatz finden Sie in Schritt 2 im Abschnitt Verwenden von MailItemsAccessed-Überwachungsdatensätzen für forensische Untersuchungen.

Überwachen des Bindungszugriffs

Bei einem Bindungsvorgang handelt es sich um einen individuellen Zugriff auf eine E-Mail-Nachricht. Für den Bindungszugriff wird die InternetMessageId einzelner Nachrichten im Überwachungsdatensatz aufgezeichnet. Die MailItemsAccessed-Überwachungsaktion zeichnet Bindungsvorgänge auf, und aggregiert diese dann in einem einzigen Überwachungsdatensatz. Alle Bindungsvorgänge, die innerhalb eines 2-Minuten-Intervalls auftreten, werden in einem einzelnen Überwachungsdatensatz im Ordner-Feld innerhalb der AuditData-Eigenschaft aggregiert. Jede Nachricht, auf die zugegriffen wurde, wird anhand ihres Internetnachrichten-ID-Werts identifiziert. Die Anzahl der in dem Datensatz aggregierten Bindungsvorgänge wird im Feld „OperationCount“ in der AuditData-Eigenschaft angezeigt.

Ein Beispiel für die Darstellung des Bindungszugriffstyps in einem Überwachungsdatensatz finden Sie in Schritt 4 im Abschnitt Verwenden von MailItemsAccessed-Überwachungsdatensätzen für forensische Untersuchungen.

Drosseln von MailItemsAccessed-Überwachungsdatensätzen

Wenn in weniger als 24 Stunden mehr als 1.000 MailItemsAccessed-Überwachungsdatensätze generiert werden, beendet Exchange Online die Generierung von Überwachungsdatensätzen für die MailItemsAccessed-Aktivität. Wenn ein Postfach gedrosselt wird, wird die MailItemsAccessed-Aktivität 24 Stunden lang nicht protokolliert, nachdem das Postfach gedrosselt wurde. Wenn das Postfach gedrosselt wurde, besteht die Möglichkeit, dass das Postfach während dieses Zeitraums kompromittiert wurde. Die Aufzeichnung der MailItemsAccessed-Aktivität wird nach einem Zeitraum von 24 Stunden fortgesetzt.

Hier einige Punkte, die Sie im Hinblick auf die Drosselung beachten sollten:

  • Weniger als 1 % aller Postfächer in Exchange Online werden gedrosselt.
  • Wenn ein Postfach gedrosselt wird, werden nur Überwachungsdatensätze für MailItemsAccessed-Aktivitäten nicht überwacht. Andere Postfachüberwachungsaktionen sind davon nicht betroffen.
  • Wenn ein Postfach gedrosselt wird, wird keine zusätzliche MailItemsAccessed-Aktivität in den Überwachungsprotokollen aufgezeichnet.

Ein Beispiel für die Darstellung der IsThrottled-Eigenschaft in einem Überwachungsdatensatz finden Sie in Schritt 1 im Abschnitt Verwenden von MailItemsAccessed-Überwachungsdatensätzen für forensische Untersuchungen.

Verwenden von MailItemsAccessed-Überwachungsdatensätzen für forensische Untersuchungen

Bei der Postfachüberwachung werden Überwachungseinträge für den Zugriff auf E-Mail-Nachrichten generiert, damit Sie sicher sein können, dass E-Mail-Nachrichten nicht kompromittiert wurden. Aus diesem Grund wird in Situationen, in denen nicht sicher ist, ob auf bestimmte Daten zugegriffen wurde, davon ausgegangen, dass ein Zugriff erfolgt ist, indem alle E-Mail-Access-Aktivitäten aufgezeichnet werden.

Die Verwendung von MailItemsAccessed-Überwachungsdatensätzen für forensische Zwecke erfolgt in der Regel nach dem Beheben einer Datenverletzung und dem Entfernen des Angreifers. Um ihre Untersuchung zu beginnen, sollten Sie die Gruppe von Postfächern identifizieren, die kompromittiert wurden, und den Zeitrahmen bestimmen, in dem angreifer Zugriff auf Postfächer in Ihrem organization hatte. Anschließend können Sie das Cmdlet Search-UnifiedAuditLog in Exchange Online PowerShell verwenden, um Überwachungsdatensätze zu durchsuchen, die der Datenverletzung entsprechen. Sie können das Cmdlet Search-UnifiedAuditLog verwenden, um nach Überwachungsdatensätzen für Aktivitäten zu suchen, die von einem oder mehreren Benutzern ausgeführt werden.

Sie können einen der folgenden Befehle ausführen, um nach MailItemsAccessed-Überwachungsdatensätzen zu suchen:

Einheitliches Überwachungsprotokoll:

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000

Nachfolgend finden Sie die Schritte für die Verwendung von MailItemsAccessed-Überwachungsdatensätzen zur Untersuchung eines Angriffs durch einen kompromittierten Benutzer. Jeder Schritt zeigt die Befehlssyntax für das Cmdlet Search-UnifiedAuditLog .

  1. Überprüfen Sie, ob das Postfach gedrosselt wurde. Wenn dies der Fall ist, bedeutet dies, dass einige Postfachüberwachungsdatensätze nicht protokolliert wurden. Für den Fall, dass alle Überwachungsdatensätze den Wert "IsThrottled" auf "True" haben, sollten Sie davon ausgehen, dass dieser Datensatz für einen Zeitraum von 24 Stunden danach generiert wurde, dass der Zugriff auf das Postfach nicht überwacht wurde und dass alle E-Mail-Daten kompromittiert wurden.

    Führen Sie den folgenden Befehl aus, um nach MailItemsAccessed-Datensätzen zu suchen, während das Postfach gedrosselt wurde:

    Einheitliches Überwachungsprotokoll:

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL

  2. Suchen Sie nach Synchronisierungsaktivitäten. Wenn ein Angreifer Nachrichten in einem Postfach mithilfe eines E-Mail-Clients heruntergeladen hat, kann er den Computer vom Internet trennen und lokal auf die Nachrichten zugreifen, ohne mit dem Server interagieren zu müssen. In diesem Fall kann die Postfachüberwachung diese Aktivitäten nicht überwachen.

    Führen Sie den folgenden Befehl aus, um nach MailItemsAccessed-Datensätzen zu suchen, bei denen mittels Synchronisierungsvorgängen auf E-Mail-Elemente zugegriffen wurde:

    Einheitliches Überwachungsprotokoll:

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FL

  3. Überprüfen Sie die Synchronisierungsaktivitäten, um zu bestimmen, ob einzelne dieser Aktivitäten im selben Kontext aufgetreten sind, im dem der Angreifer auf das Postfach zugegriffen hat. Der Kontext wird durch die IP-Adresse des Clientcomputers identifiziert und unterschieden, der für den Zugriff auf das Postfach und das E-Mail-Protokoll verwendet wird.

    Verwenden Sie die nachstehend aufgeführten Eigenschaften für die Ermittlungen. Diese Eigenschaften befinden sich in der AuditData- oder OperationProperties-Eigenschaft. Wenn eine der Synchronisierungen im selben Kontext wie die Angreiferaktivität stattgefunden hat, gehen Sie davon aus, dass der Angreifer alle E-Mail-Elemente mit seinem Client synchronisiert hat, was wiederum bedeutet, dass das gesamte Postfach wahrscheinlich kompromittiert wurde.

    Eigenschaft Beschreibung
    ClientInfoString Beschreibt Protokoll und Client (einschließlich Version)
    ClientIPAddress IP-Adresse des Clientcomputers.
    SessionId Die Sitzungs-ID trägt dazu bei, die Aktionen eines Angreifers von täglichen Benutzeraktivitäten im gleichen Konto zu unterscheiden (nützlich bei kompromittierten Konten).
    UserId UPN des Benutzers, der die Nachricht liest.

  4. Suchen Sie nach Bindungsaktivitäten. Nachdem Sie die Schritte 2 und 3 ausgeführt haben, können Sie sicher sein, dass alle anderen Zugriffe des Angreifers auf E-Mail-Nachrichten in den MailItemsAccessed-Überwachungsdatensätzen erfasst werden, die über eine MailAccessType-Eigenschaft mit dem Wert "Bind" verfügen.

    Führen Sie den folgenden Befehl aus, um nach MailItemsAccessed-Datensätzen zu suchen, auf die von einem Bindungsvorgang auf die E-Mail-Elemente zugegriffen wurde.

    Einheitliches Überwachungsprotokoll:

    Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FL

    E-Mail-Nachrichten, auf die zugegriffen wurde, werden durch ihre Internetnachrichten-ID identifiziert. Sie können auch überprüfen, ob Überwachungsdatensätze den gleichen Kontext aufweisen wie diejenigen anderer Angreiferaktivitäten.

    Sie können die Überwachungsdaten für Bindungsvorgänge auf zwei verschiedene Arten verwenden:

    • Zugreifen oder Sammeln aller E-Mail-Nachrichten, auf die der Angreifer zugegriffen hat, anhand der Internetnachrichten-ID (internet-message-id), um die Nachrichten zu finden und zu überprüfen, ob eine dieser Nachrichten vertrauliche Informationen enthält.
    • Verwenden Sie die Internetnachrichten-ID zum Durchsuchen von Überwachungsdatensätzen, die sich auf einen Satz potenziell vertraulicher E-Mails beziehen. Dies ist nützlich, wenn Sie nur hinsichtlich einer kleinen Anzahl von Nachrichten besorgt sind.

Filtern von doppelten Überwachungsdatensätzen

Duplikate von Überwachungsdatensätzen für innerhalb einer Stunde auftretende gleiche Bindungsvorgänge werden herausgefiltert, um Stördatenverkehr bei der Überwachung zu entfernen. Synchronisierungsvorgänge werden ebenfalls in 1-Stunden-Intervallen herausgefiltert. Die Ausnahme von diesem Deduplizierungsprozess tritt auf, wenn sich für dieselbe InternetMessageId eine der in der folgenden Tabelle beschriebenen Eigenschaften unterscheidet. Wenn sich eine dieser Eigenschaften in einem doppelten Vorgang unterscheidet, wird ein neuer Überwachungsdatensatz generiert. Dieser Vorgang wird im nächsten Abschnitt ausführlicher beschrieben.

Eigenschaft Beschreibung
ClientIPAddress IP-Adresse des Clientcomputers.
ClientInfoString Clientprotokoll, für den Zugriff auf das Postfach verwendeter Client.
ParentFolder Vollständiger Ordnerpfad des E-Mail-Elements, auf das zugegriffen wurde.
Logon_type Anmeldetyp des Benutzers, der die Aktion ausgeführt hat. Die Anmeldetypen (und deren zugehörige Enum-Werte) sind Besitzer (0), Administrator (1) oder Stellvertreter (2).
MailAccessType Gibt an, ob es sich bei dem Zugriff um einen Bindungs oder Synchronisierungsvorgang handelt.
MailboxUPN UPN des Postfachs, in dem sich die gelesene Nachricht befindet.
User UPN des Benutzers, der die Nachricht liest.
SessionId Die Sitzungs-ID hilft dabei, Angreiferaktionen und tägliche Benutzeraktivitäten im selben Postfach zu unterscheiden (wenn ein Konto kompromittiert wird). Weitere Informationen zu Sitzungen finden Sie unter Kontextualisieren von Angreiferaktivitäten innerhalb von Sitzungen in Exchange Online.