Leitfaden zur Phishing-Untersuchung

In diesem Artikel wird ein Phishing-Playbook veranschaulicht. Es ist Teil des Playbook für die Reaktion auf Vorfälle in der Disziplin Security Operations (SecOps).

Dieses Playbook ist für alle Rollen vorgesehen, die für das Erstellen oder Ausführen von Playbooks zur Reaktion auf Vorfälle verantwortlich sind, einschließlich SecOps-Analysten, Vorfallantworter, Identitätsadministratoren und IT-Betriebsmitarbeitern.

Phishingangriffe sind eine der am häufigsten verwendeten Anfänglichen Zugriffstechniken, die von Angreifern verwendet werden. Ein erfolgreicher Phishingangriff kann zu Kompromittierung von Anmeldeinformationen, Schadsoftwareausführung, Datenexfiltration und lateraler Bewegung in Identitäts-, E-Mail- und Endpunktumgebungen führen.

Die Hinweise in diesem Artikel beschreiben, was untersucht werden sollte und warum. Produktspezifische Beispiele (z. B. Microsoft Defender XDR oder Microsoft Sentinel) werden als Referenzimplementierungen bereitgestellt.

Bevor du anfängst

Stellen Sie vor dem Starten einer Phishinguntersuchung sicher, dass die folgenden grundlegenden Bereitschaftsanforderungen erfüllt sind. Diese Voraussetzungen sollten im Rahmen der Incident-Response-Planung erfüllt werden, bevor ein Vorfall eintritt.

Area Anforderung Details
Kontoinformationen Mindestens einen Bezeichner für den mutmaßlichen Zielbenutzer haben Bezeichner können sein: Benutzerprinzipalname (USER Principal Name, UPN), E-Mail-Adresse oder Benutzername/Alias.

Diese Informationen sind erforderlich, um E-Mail-Aktivitäten, Anmeldungen und downstream-Aktionen zu korrelieren.
Microsoft 365-Überwachung/Protokollierung Die Postfachüberwachung sollte organisationsweit aktiviert sein, um sicherzustellen, dass postfachzugriff und -aktionen aufgezeichnet werden. Vergewissern Sie sich, dass die Postfachüberwachung standardmäßig aktiviert ist, indem Sie den folgenden Befehl in Exchange Online PowerShell ausführen: Get-OrganizationConfig | Format-List AuditDisable/.

Der Wert "False" gibt an, dass die Postfachüberwachung für alle Postfächer aktiviert ist.
Microsoft 365-Überwachung/Protokollierung Nachrichtenablaufverfolgungsprotokolle sind erforderlich, um die ursprüngliche Phishingnachricht, den Übermittlungsstatus, alle Empfänger, Nachrichtenweiterleitungsdetails zu identifizieren. Die Nachrichtenverfolgung ist im Exchange Admin Center und im Microsoft Defender portal (E-Mail und Zusammenarbeit > Exchange-Nachrichtenverfolgung) verfügbar.

Um effektiv mit Nachrichtenablaufverfolgungsdaten zu arbeiten, müssen Ermittler in der Lage sein, Nachrichten-ID-Werte abzurufen und zu interpretieren, die aus unformatierten E-Mail-Headern abgerufen werden.
Microsoft 365-Überwachung/Protokollierung Einheitliche Überwachungsprotokolle sind erforderlich, um benutzer- und administrative Aktivitäten in Microsoft 365 Workloads zu überprüfen. Stellen Sie sicher, dass Ermittler das einheitliche Überwachungsprotokoll durchsuchen können, um Aktionen wie Postfachzugriff, E-Mail-Elementaktionen, administrative Änderungen und Anmeldeereignisse zu überprüfen.
Microsoft Entra-Protokolle Microsoft Entra ID Anmelde- und Überwachungsprotokolle werden für einen begrenzten Zeitraum aufbewahrt (je nach Lizenzierung 30 oder 90 Tage). Um Untersuchungen, historische Analysen und Überprüfungen nach dem Vorfall zu unterstützen, exportieren Sie Protokolle in ein langfristiges Repository wie Microsoft Sentinel, Azure Monitor oder ein SIEM eines Drittanbieters.
Erlaubnisse Stellen Sie sicher, dass Ermittler über ausreichende Berechtigungen für den Zugriff auf erforderliche Daten verfügen, ohne dass Konten überprivilegiert werden müssen. Microsoft Entra ID: Die empfohlene Mindestrolle ist "Sicherheitsleseberechtigter".

Defender-Portal und Microsoft Compliance-Portal: Sicherheitsleser.

Diese Rollen bieten schreibgeschützten Zugriff auf E-Mails, Warnungen und Überwachungsdaten.
Sichtbarkeit des Endpunkts Microsoft Defender für den Endpunkt Wenn Defender für Endpunkt installiert ist, verwenden Sie sie für:

– Überprüfen, ob Benutzer mit Phishing-Inhalten interagiert haben.
– Identifizieren der Nutzlastausführung.
– Korrelieren der Endpunktaktivität mit E-Mail-Ereignissen.
Hardware Ein System, das PowerShell ausführen kann.
Software Diese PowerShell-Module werden häufig bei Phishinguntersuchungen verwendet. Microsoft Graph PowerShell SDK
Exchange Online PowerShell-Modul
Microsoft Entra PowerShell-Modul zur Reaktion auf Vorfälle.

Stellen Sie sicher, dass alle Module installiert und auf dem neuesten Stand gehalten werden.

Arbeitsablauf

Der Phishing-Untersuchungsworkflow folgt diesen allgemeinen Stufen:

  1. Identifizieren und bestätigen Sie die Phishingnachricht.
  2. Ermitteln Sie die Auswirkungen und die betroffenen Benutzer.
  3. Bewerten Sie die Benutzerinteraktion und die Offenlegung von Anmeldeinformationen.
  4. Identifizieren der nachgeschalteten Aktivität.
  5. Die Bedrohung eindämmen und ein erneutes Auftreten verhindern

Dieser Workflow hilft den Antwortenden, von der Erkennung in die Eindämmung zu wechseln, ohne kritische Überprüfungsschritte zu überspringen.

Was soll überprüft werden?

Verwenden Sie diese Checkliste während der Untersuchung als Qualitätsgater.

  • Identifizieren der Phishing-E-Mail und der ursprünglichen Nachrichten-ID
  • Ermitteln aller Empfänger und des Zustellungsstatus
  • Identifizieren, ob Benutzer mit der Nachricht interagiert haben
  • Bewertung der Kompromittierung von Anmeldeinformationen oder der Ausführung von Schadsoftware
  • Identifizieren von Lateral- oder Follow-On-Aktivitäten
  • Entfernen bösartiger Nachrichten aus Postfächern
  • Zurücksetzen oder Sichern betroffener Konten
  • Erkennung und Präventionskontrollen verbessern

Untersuchungsschritte

Schritt 1: Identifizieren der Phishingnachricht

  1. Beschaffen Sie die mutmaßliche Phishing-E-Mail.

  2. Extrahieren Sie die Nachrichten-ID aus den E-Mail-Kopfzeilen.

  3. Verwenden Sie die Nachrichtenablaufverfolgung, um Folgendes zu bestimmen:

    • Wann die Nachricht empfangen wurde
    • Welche Benutzer sie erhalten haben
    • Ob sie zugestellt, blockiert oder unter Quarantäne gestellt wurde

Schritt 2: Betroffene Benutzer eingrenzen

  1. Identifizieren aller Empfänger der Nachricht
  2. Vergewissern Sie sich, ob die Nachricht Filter umgangen hat
  3. Ermitteln, ob ähnliche Nachrichten mit Varianten derselben Kampagne gesendet wurden

Schritt 3: Bewerten der Benutzerinteraktion

  1. Bestimmen Sie für jeden betroffenen Benutzer, ob er:

    • Die E-Mail wurde geöffnet.
    • Geklickte Links
    • Geöffnete Anhänge
    • Übermittelte Anmeldeinformationen

    Korrelieren von E-Mail-Aktivitäten mit:

    • Microsoft Entra Anmeldeprotokolle
    • Überwachungsprotokolle
    • Endpunktaktivität (sofern verfügbar)

Schritt 4: Identifizieren der Folgeaktivität

  1. Wenn Anmeldeinformationen möglicherweise offengelegt wurden, prüfen Sie Folgendes:

    • Verdächtige Anmeldungen
    • Kennwortsprühen oder Brute-Force-Aktivität
    • OAuth-Zustimmungserteilungen
    • Tokenmissbrauch
    • Ungewöhnliche Postfach- oder Zusammenarbeitsaktivitäten

  2. Wenn Anlagen geöffnet wurden, überprüfen Sie, ob Schadsoftware auf Endpunkten ausgeführt wurde.

Schritt 5: Eindämmen und beheben

Basierend auf den Ergebnissen:

  1. Entfernen von Phishing-Nachrichten aus allen PostfächernDisable oder Zurücksetzen.
  2. Kompromittierte Konten.
  3. Widerrufen Sie aktive Sitzungen und Token.
  4. Blockieren bösartiger Absender, Domänen und URLs.
  5. Isolieren oder Beheben betroffener Endpunkte.

Schritt 6: Wiederherstellung

Konzentrieren Sie sich nach der Eindämmung auf die Wiederherstellung des Normalbetriebs und die Verringerung des Risikos eines erneuten Auftretens.

Wiederherstellungsaktionen können Folgendes umfassen:

  • Erzwingen des Zurücksetzens von Anmeldeinformationen und der Multi-Faktor-Authentifizierung
  • Überprüfen von Postfachregeln und Weiterleitungseinstellungen
  • Verbessern der E-Mail-Filterung und Antiphishingrichtlinien
  • Aktualisieren von Erkennungen und Warnungen
  • Aktualisieren oder Verfeinern von Playbooks für Phishingantworten

Nächste Schritte

Erfahren Sie mehr über die SecOps-Disziplin.

  • Last updated on