Investigação de phishing

Este artigo fornece orientações sobre como identificar e investigar ataques de phishing na sua organização. As instruções passo a passo ajudam você a tomar as medidas corretivas necessárias para proteger as informações e minimizar outros riscos.

Este artigo contém as seguintes seções:

  • Pré-requisitos: Abrange os requisitos específicos que você precisa preencher antes de iniciar a investigação. Por exemplo, registro em log que deve ser ativado, funções e permissões necessárias, entre outros.
  • Fluxo de trabalho: mostra o fluxo lógico que você deve seguir para executar esta investigação.
  • Lista de verificação: contém uma lista de tarefas para cada uma das etapas do fluxograma. Esta lista de verificação pode ser útil em ambientes altamente regulamentados para verificar itens concluídos ou como uma porta de qualidade para si mesmo.
  • Etapas da investigação: Inclui orientações detalhadas passo a passo para esta investigação específica.

Pré-requisitos

Aqui estão as configurações gerais que você deve concluir antes de prosseguir com a investigação de phishing.

Detalhes da conta

Antes de prosseguir com a investigação, você deve ter o nome de usuário, o nome principal do usuário (UPN) ou o endereço de e-mail da conta que você suspeita estar comprometida.

Requisitos básicos do Microsoft 365

Verificar as configurações de auditoria

Verifique se a auditoria de caixa de correio ativada por padrão está ativada executando o seguinte comando no PowerShell do Exchange Online:

Get-OrganizationConfig | Format-List AuditDisabled

O valor False indica que a auditoria de caixa de correio está habilitada para todas as caixas de correio na organização, independentemente do valor da propriedade AuditEnabled em caixas de correio individuais. Para obter mais informações, consulte Verificar se a auditoria de caixa de correio ativada por padrão está ativada.

Rastreamento de mensagens

Os logs de rastreamento de mensagens são componentes inestimáveis que ajudam a encontrar a fonte original da mensagem e os destinatários pretendidos. Você pode usar a funcionalidade de rastreamento de mensagens no Centro de administração do Exchange (EAC) em https://admin.exchange.microsoft.com/#/messagetrace ou com o cmdlet Get-MessageTrace no PowerShell do Exchange Online.

Nota

O rastreamento de mensagens também está disponível no portal do Microsoft Defender em https://security.microsoft.com Email & colaboração>Rastreamento de mensagens do Exchange, mas isso é apenas um link de passagem para o rastreamento de mensagens no EAC.

Vários componentes da funcionalidade de rastreamento de mensagens são autoexplicativos, mas o ID da mensagem é um identificador exclusivo para uma mensagem de email e requer compreensão completa. Para obter o ID de mensagem para um e-mail de interesse, você precisa examinar os cabeçalhos de e-mail brutos.

Você pesquisa o log de auditoria unificado para exibir todas as atividades do usuário e administrador em sua organização do Microsoft 365.

Os logs de entrada e/ou de auditoria são exportados para um sistema externo?

Como a maioria dos dados de entrada e auditoria do Microsoft Entra ID será substituída após 30 ou 90 dias, recomendamos que você use o Microsoft Sentinel, o Azure Monitor ou um sistema externo de gerenciamento de eventos e informações de segurança (SIEM).

Funções e permissões necessárias

Permissões no Microsoft Entra ID

Recomendamos que a conta que faz a investigação seja pelo menos um Leitor de Segurança.

Permissões no Microsoft 365

A função Leitor de Segurança no portal do Microsoft Defender ou no portal de conformidade do Microsoft Purview deve fornecer permissões suficientes para pesquisar os logs relevantes.

Se você não tiver certeza sobre a função a ser usada, consulte Localizar as permissões necessárias para executar qualquer cmdlet do Exchange.

Microsoft Defender para Ponto Final

Se você tiver o Microsoft Defender for Endpoint (MDE), deverá usá-lo para esse fluxo. Para obter mais informações, consulte Combatendo phishing com compartilhamento de sinais e aprendizado de máquina.

Requisitos de sistema

Requisitos de Hardware

O sistema deve ser capaz de executar o PowerShell.

Requisitos de software

Os seguintes módulos do PowerShell são necessários para a investigação do ambiente de nuvem:

Fluxo de Trabalho

Fluxograma de um fluxo de trabalho de investigação de phishing.

Também pode:

  • Transfira os fluxos de trabalho do manual de resposta a phishing e outros incidentes em formato PDF.
  • Baixe os fluxos de trabalho do manual de phishing e outros incidentes como um arquivo do Visio.

Lista de Verificação

Esta lista de verificação ajuda você a avaliar seu processo de investigação e verificar se as etapas foram concluídas durante a investigação:

   
Rever o e-mail inicial de phishing
Obter a lista de utilizadores que receberam este e-mail
Obter as datas mais recentes em que o usuário teve acesso à caixa de correio
O acesso delegado está configurado na caixa de correio?
Existem regras de encaminhamento configuradas na caixa de correio?
Revise suas regras de fluxo de mensagens do Exchange (regras de transporte
Localizar as mensagens de e-mail
O usuário leu ou abriu o e-mail?
Quem mais recebeu o mesmo e-mail?
O e-mail continha um anexo?
Havia carga útil no acessório?
Verifique no cabeçalho do e-mail a verdadeira origem do remetente
Verificar endereços IP para atacantes/campanhas
O usuário selecionou links no e-mail?
Em que ponto final o e-mail foi aberto?
A carga útil do anexo foi executada?
O IP ou URL de destino foi tocado ou aberto?
O código malicioso foi executado?
O que aconteceu com a conta para o cenário federado?
O que aconteceu com a conta para o cenário gerenciado?
Investigue o endereço IP de origem
Investigar o ID do dispositivo encontrado
Investigue cada ID de aplicativo

Você também pode baixar as listas de verificação de phishing e outros incidentes como um arquivo do Excel.

Passos de investigação

Para esta investigação, você tem um exemplo de e-mail de phishing ou partes do e-mail. Por exemplo, você pode ter o endereço do remetente, o assunto do e-mail ou partes da mensagem para iniciar a investigação. Certifique-se também de ter concluído e ativado todas as configurações, conforme recomendado na seção Pré-requisitos .

Obter a lista de usuários / identidades que receberam o e-mail

Como primeiro passo, você precisa obter uma lista de usuários / identidades que receberam o e-mail de phishing. O objetivo desta etapa é registrar uma lista de usuários/identidades em potencial que você usará mais tarde para iterar para obter mais etapas de investigação. Consulte a seção Fluxo de trabalho para obter um fluxograma de alto nível das etapas que você precisa seguir durante esta investigação.

Nós não damos nenhuma recomendação neste manual sobre como você deseja gravar esta lista de potenciais usuários / identidades. Dependendo do tamanho da investigação, você pode usar um livro do Excel, um arquivo CSV ou até mesmo um banco de dados para investigações maiores. Há várias maneiras de obter a lista de identidades em um determinado locatário, e aqui estão alguns exemplos.

Criar uma pesquisa de conteúdo no portal de conformidade do Microsoft Purview

Use os indicadores para criar e executar uma pesquisa de conteúdo. Para obter instruções, consulte Criar uma pesquisa de conteúdo.

Para obter uma lista completa das propriedades de e-mail pesquisáveis, consulte Propriedades de e-mail pesquisáveis.

O exemplo a seguir retorna mensagens que foram recebidas pelos usuários entre 13 de abril de 2022 e 14 de abril de 2022 e que contêm as palavras "action" e "required" na linha de assunto:

(Received:4/13/2022..4/14/2022) AND (Subject:'Action required')

A consulta de exemplo a seguir retorna mensagens enviadas por chatsuwloginsset12345@outlook.com e contém a frase exata "Atualizar as informações da sua conta" na linha de assunto.

(From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Para obter mais informações, consulte como pesquisar e excluir mensagens em sua organização.

Usar o cmdlet Search-Mailbox no PowerShell do Exchange Online

Você também pode usar o cmdlet Search-Mailbox no PowerShell do Exchange Online para executar uma consulta específica em uma caixa de correio de destino de interesse e copiar os resultados para uma caixa de correio de destino não relacionada.

A consulta de exemplo a seguir pesquisa na caixa de correio de Jane Smith um e-mail que contém a frase Invoice no assunto e copia os resultados para IRMailbox em uma pasta chamada "Investigação".

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Neste comando de exemplo, a consulta pesquisa em todas as caixas de correio do locatário um email que contém a frase "InvoiceUrgent" no assunto e copia os resultados para o IRMailbox em uma pasta chamada "Investigação".

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Para obter informações detalhadas sobre sintaxe e parâmetros, consulte Search-Mailbox.

O acesso delegado está configurado na caixa de correio?

Use o seguinte script para verificar se o acesso delegado está configurado na caixa de correio: https://github.com/OfficeDev/O365-InvestigationTooling/blob/master/DumpDelegatesandForwardingRules.ps1.

Para criar esse relatório, execute um pequeno script do PowerShell que obtém uma lista de todos os seus usuários. Em seguida, use o cmdlet Get-MailboxPermission para criar um arquivo CSV de todos os delegados de caixa de correio em sua locação.

Procure nomes incomuns ou concessões de permissão. Se vir algo invulgar, contacte o proprietário da caixa de correio para verificar se é legítimo.

Existem regras de encaminhamento configuradas para a caixa de correio?

Você precisa verificar cada caixa de correio identificada para encaminhamento de caixa de correio (também conhecido como SMTP (Simple Mail Transfer Protocol)) ou regras de Caixa de Entrada que encaminham mensagens de email para destinatários externos (normalmente, regras de Caixa de Entrada recém-criadas).

  • Para verificar todas as caixas de correio para encaminhamento de caixa de correio, execute o seguinte comando no PowerShell do Exchange Online:

    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited | Format-Table -Auto MicrosoftOnlineServicesID,ForwardingSmtpAddress,DeliverToMailboxAndForward | Export-csv C:\Temp\Forwarding.csv -NoTypeInformation
    
  • Para verificar as regras da Caixa de Entrada que foram criadas em caixas de correio entre as datas especificadas, execute o seguinte comando no PowerShell do Exchange Online:

    Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -ResultSize 5000 -RecordType exchangeadmin -Operations New-InboxRule | Export-csv NoTypeInformation -Path c:\temp\Inboxrulesoutput.csv
    
  • Você também pode usar o relatório de mensagens encaminhadas automaticamente no Centro de administração do Exchange (EAC). Para obter instruções, consulte Relatório de mensagens encaminhadas automaticamente no Exchange Online.

    Notas:

    • Procure locais de destino incomuns ou qualquer tipo de endereçamento externo.
    • Procure regras de encaminhamento com palavras-chave incomuns nos critérios, como todos os e-mails com a palavra fatura no assunto. Entre em contato com o proprietário da caixa de correio para verificar se ela é legítima.

Rever as regras da Caixa de Entrada

Verifique a remoção das regras da Caixa de Entrada, considerando os carimbos de data/hora próximos à sua investigação. Como exemplo, use o seguinte comando no PowerShell do Exchange Online:

Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -Operations Remove-InboxRule | Export-CSV NoTypeInformation -Path c:\temp\removedInboxRules.csv

Revisar regras de fluxo de mensagens do Exchange (regras de transporte)

Há duas maneiras de obter a lista de regras de fluxo de mensagens do Exchange (também conhecidas como regras de transporte) em sua organização:

Procure novas regras ou regras modificadas para redirecionar o email para domínios externos. O número de regras deve ser conhecido e relativamente pequeno. Você pode fazer uma pesquisa de log de auditoria para determinar quem criou a regra e de onde a criou. Se você vir algo incomum, entre em contato com o criador para determinar se é legítimo.

Obter as datas mais recentes em que o usuário teve acesso à caixa de correio

No portal do Microsoft Defender ou no portal de conformidade do Microsoft Purview, navegue até o log de auditoria unificado. Em Atividades na lista suspensa, você pode filtrar por Atividades de Caixa de Correio do Exchange.

A capacidade de listar usuários comprometidos está disponível no portal do Microsoft Defender.

Este relatório mostra atividades que podem indicar que uma caixa de correio está sendo acessada ilicitamente. Inclui mensagens criadas ou recebidas, mensagens movidas ou apagadas, mensagens copiadas ou limpas, mensagens enviadas usando enviar em nome ou enviar como e todas as entradas de caixa de correio. Os dados incluem data, endereço IP, usuário, atividade realizada, o item afetado e quaisquer detalhes estendidos.

Nota

Para que esses dados sejam registrados, você deve habilitar a opção de auditoria de caixa de correio.

O volume de dados incluídos aqui pode ser substancial, portanto, concentre sua pesquisa em usuários que teriam alto impacto se violados. Procure padrões incomuns, como horários ímpares do dia ou endereços IP incomuns, e procure padrões como altos volumes de movimentos, purgações ou exclusões.

O usuário leu/abriu o e-mail?

Há aqui dois casos principais:

  • A caixa de correio está no Exchange Online.
  • A caixa de correio está no Exchange local (Exchange híbrido).

O usuário do Exchange Online abriu o email

Use o cmdlet Search-Mailbox no PowerShell do Exchange Online para fazer uma consulta de pesquisa específica em uma caixa de correio de destino de interesse e copiar os resultados para uma caixa de correio de destino não relacionada.

A consulta de exemplo a seguir pesquisa na caixa de correio de Janes Smith um e-mail que contém a frase Invoice no assunto e copia os resultados para IRMailbox em uma pasta chamada Investigation.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

A consulta de exemplo a seguir pesquisa em todas as caixas de correio do locatário um email que contém a frase InvoiceUrgent no assunto e copia os resultados para IRMailbox em uma pasta chamada Investigation.

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

O usuário abriu o email no Exchange híbrido

Use o cmdlet Get-MessageTrackingLog para procurar informações de entrega de mensagens armazenadas no log de controle de mensagens. Eis um exemplo:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2022 09:00:00" -End "03/15/2022 17:00:00" -Sender "john@contoso.com"

Para obter informações detalhadas sobre sintaxe e parâmetros, consulte Get-MessageTrackingLog.

Quem mais recebeu o mesmo e-mail?

Há aqui dois casos principais:

  • A caixa de correio está no Exchange Online.
  • A caixa de correio está no Exchange local (Exchange híbrido).

O fluxo de trabalho é essencialmente o mesmo explicado na seção Obter a lista de usuários / identidades que receberam o e-mail anteriormente neste artigo.

Localizar o email no Exchange Online

Use o cmdlet Search-Mailbox para executar uma consulta de pesquisa específica em uma caixa de correio de destino de interesse e copie os resultados para uma caixa de correio de destino não relacionada.

Esta consulta de exemplo pesquisa em todas as caixas de correio do locatário um email que contém o assunto InvoiceUrgent no assunto e copia os resultados para o IRMailbox em uma pasta chamada Investigation.

Get-Mailbox | Search-Mailbox -SearchQuery "Subject:InvoiceUrgent" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Localizar o email no Exchange local

Use o cmdlet Get-MessageTrackingLog para procurar informações de entrega de mensagens armazenadas no log de controle de mensagens. Eis um exemplo:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -MessageSubject "InvoiceUrgent"

Para obter informações detalhadas sobre sintaxe e parâmetros, consulte Get-MessageTrackingLog.

O e-mail continha um anexo?

Há aqui dois casos principais:

  • A caixa de correio está no Exchange Online.
  • A caixa de correio está no Exchange local (Exchange híbrido).

Descubra se a mensagem continha um anexo no Exchange Online

Se a caixa de correio estiver no Exchange Online, você terá duas opções:

  • Usar o cmdlet clássico Search-Mailbox
  • Usar o cmdlet New-ComplianceSearch

Use o cmdlet Search-Mailbox para executar uma consulta de pesquisa específica em uma caixa de correio de destino de interesse e copie os resultados para uma caixa de correio de destino não relacionada. Eis um exemplo:

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Para obter informações detalhadas sobre sintaxe e parâmetros, consulte Search-Mailbox.

A outra opção é usar o cmdlet New-ComplianceSearch . Eis um exemplo:

New-ComplianceSearch -Name "Investigation" -ExchangeLocation "Research Department" -ContentMatchQuery "from:pilar@contoso.com AND hasattachment:true"

Para obter informações detalhadas sobre sintaxe e parâmetros, consulte New-ComplianceSearch.

Descubra se a mensagem continha um anexo no Exchange local

Nota

No Exchange Server 2013, este procedimento requer a Atualização Cumulativa 12 (CU12) ou posterior. Para mais informações, consulte este artigo.

Use o cmdlet Search-Mailbox para procurar informações de entrega de mensagens armazenadas no log de controle de mensagens. Eis um exemplo:

Search-Mailbox -Identity "Jane Smith"-SearchQuery AttachmentNames:attachment_name -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Para obter informações detalhadas sobre sintaxe e parâmetros, consulte Search-Mailbox.

Havia carga útil no acessório?

Procure conteúdo malicioso potencial no anexo. Por exemplo, arquivos PDF, PowerShell ofuscado ou outros códigos de script.

A visualização Exibir dados por malware de e-mail > no relatório de status Proteção contra ameaças mostra o número de mensagens de entrada e saída que foram detetadas como contendo malware para sua organização. Para obter mais informações, consulte Relatório de status de proteção contra ameaças: Exibir dados por malware de e-mail>.

Verifique no cabeçalho do e-mail a verdadeira origem do remetente

Muitos dos componentes da funcionalidade de rastreamento de mensagens são autoexplicativos, mas você precisa entender completamente sobre o Message-ID. O Message-ID é um identificador exclusivo para uma mensagem de email.

Para obter o ID de mensagem para um e-mail de interesse, você precisa examinar os cabeçalhos de e-mail brutos. Para obter instruções sobre como fazer isso no Microsoft Outlook ou Outlook na Web (anteriormente conhecido como Outlook Web App ou OWA), consulte Exibir cabeçalhos de mensagens da Internet no Outlook

Ao exibir um cabeçalho de email, copie e cole as informações do cabeçalho em um analisador de cabeçalho de email fornecido pelo MXToolbox ou Azure para legibilidade.

  • Informações de roteamento de cabeçalhos: as informações de roteamento fornecem a rota de um e-mail à medida que ele está sendo transferido entre computadores.

  • SPF (Sender Policy Framework): uma validação de e-mail para ajudar a prevenir/detetar falsificações. No registro SPF, você pode determinar quais endereços IP e domínios podem enviar e-mails em nome do domínio.

  • SPF = Pass: O registro TXT SPF determinou que o remetente tem permissão para enviar em nome de um domínio.

    • SPF = Neutro
    • SPF = Fail: A configuração da política determina o resultado da mensagem IP do remetente
    • Email SMTP: valide se este é um domínio legítimo

    Para obter mais informações sobre SPF, consulte Como o Microsoft 365 usa SPF para evitar falsificação

  • Valores comuns: aqui está um detalhamento dos cabeçalhos mais usados e visualizados e seus valores. Essas são informações valiosas e você pode usá-las nos campos de pesquisa no Threat Explorer.

    • Endereço do remetente
    • Assunto
    • ID da mensagem
    • Para endereçar
    • Endereço do caminho de retorno
  • Resultados de autenticação: Você pode encontrar o que seu cliente de e-mail autenticou quando o e-mail foi enviado. Ele fornece autenticação SPF e DKIM.

  • IP de origem: O IP original pode ser usado para determinar se o IP está bloqueado e para obter a localização geográfica.

  • Nível de Confiança de Spam (SCL): Isso determina a probabilidade de um e-mail recebido ser spam.

    • -1: Ignore a maioria da filtragem de spam de um remetente seguro, destinatário seguro ou endereço IP de lista segura (parceiro confiável)
    • 0, 1: Não spam porque a mensagem foi verificada e determinada como limpa
    • 5, 6: Spam
    • 7, 8, 9: Spam de alta confiança

O registro SPF é armazenado em um banco de dados DNS e é empacotado com as informações de pesquisa de DNS. Você pode verificar manualmente o registro SPF (Sender Policy Framework) de um domínio usando o comando nslookup :

  1. Abra o prompt de comando (Start > Run > cmd).

  2. Digite o comando como: nslookup -type=txt" um espaço e, em seguida, o nome do domínio/host. Por exemplo:

     nslookup -type=txt domainname.com
    

Nota

-todos (rejeitá-los ou reprová-los - não entregar o e-mail se algo não corresponder), isso é recomendado.

Verifique se o DKIM está habilitado em seus domínios personalizados no Microsoft 365

Você precisa publicar dois registros CNAME para cada domínio que eles desejam adicionar as chaves de domínio identificadas mail (DKIM). Veja como usar o DKIM para validar emails de saída enviados do seu domínio personalizado.

Verifique se há autenticação, relatórios e conformidade de mensagens com base em domínio (DMARC)

Você pode usar esse recurso para validar emails de saída no Microsoft 365.

Verificar endereços IP para atacantes/campanhas

Para verificar ou investigar endereços IP identificados nas etapas de investigação anteriores, você pode usar qualquer uma destas opções:

  • VirusTotal
  • Microsoft Defender para Ponto Final
  • Fontes Públicas:
    • Ipinfo.io - Tem uma opção gratuita para obter geo-localização
    • Censys.io - Tem uma opção gratuita para obter informações sobre o que suas varreduras passivas da internet sabem
    • AbuseIPDB.com - Tem uma opção gratuita que proporciona alguma geolocalização
    • Pergunte ao Bing e ao Google - Pesquise no endereço IP

Reputação de URL

Você pode usar qualquer dispositivo Windows 10 e navegador Microsoft Edge que usa a tecnologia SmartScreen .

Aqui estão alguns exemplos de reputação de URL de terceiros:

Ao investigar os endereços IP e URLs, procure e correlacione endereços IP com indicadores de comprometimento (IOCs) ou outros indicadores, dependendo da saída ou resultados e adicione-os a uma lista de fontes do adversário.

Se o usuário clicou no link no e-mail (de propósito ou não), essa ação normalmente leva à criação de um novo processo no próprio dispositivo. Dependendo do dispositivo que foi executado, você precisa executar investigações específicas do dispositivo. Por exemplo, Windows vs Android vs iOS. Neste artigo, descrevemos uma abordagem geral, juntamente com alguns detalhes para dispositivos baseados no Windows. Se você estiver usando o Microsoft Defender for Endpoint (MDE), também poderá usá-lo para iOS e, em breve, Android.

Você pode investigar esses eventos usando o Microsoft Defender for Endpoint.

  • Logs de VPN/proxy Dependendo do fornecedor das soluções de proxy e VPN, você precisa verificar os logs relevantes. O ideal é que você encaminhe os eventos para o SIEM ou para o Microsoft Sentinel.

  • Usando o Microsoft Defender for Endpoint Este é o melhor cenário, porque você pode usar nossa inteligência de ameaças e análise automatizada para ajudar sua investigação. Para obter mais informações, consulte como investigar alertas no Microsoft Defender for Endpoint.

    A árvore do processo de alerta leva a triagem e a investigação de alertas para o próximo nível, exibindo os alertas agregados e as evidências circundantes que ocorreram dentro do mesmo contexto de execução e período de tempo. Captura de ecrã da árvore do processo de alerta.

  • Dispositivos cliente baseados no Windows Certifique-se de ter ativado a opção Eventos de criação de processos . Idealmente, você também deve habilitar eventos de rastreamento de linha de comando.

    Em clientes Windows, que têm os Eventos de Auditoria acima mencionados habilitados antes da investigação, você pode verificar o Evento de Auditoria 4688 e determinar a hora em que o email foi entregue ao usuário:

    Exemplo de captura de tela do evento de auditoria 4688.

    Outro exemplo de captura de tela do evento de auditoria 4688.

Em que ponto final o e-mail foi aberto?

As tarefas aqui são semelhantes à etapa de investigação anterior: o usuário selecionou links no e-mail?

A carga útil anexada foi executada?

As tarefas aqui são semelhantes à etapa de investigação anterior: o usuário selecionou links no e-mail?

O IP / URL de destino foi tocado ou aberto?

As tarefas aqui são semelhantes à etapa de investigação anterior: o usuário selecionou links no e-mail?

O código malicioso foi executado?

As tarefas aqui são semelhantes à etapa de investigação anterior: o usuário selecionou links no e-mail?

Que logins aconteceram com a conta?

Verifique os vários logins que aconteceram com a conta.

Cenário federado

As configurações e os eventos do log de auditoria diferem com base no nível do sistema operacional (SO) e na versão do servidor dos Serviços de Federação do Ative Directory (ADFS).

Consulte as seções a seguir para diferentes versões de servidor.

Server 2012 R2

Por padrão, os eventos de segurança não são auditados no Server 2012 R2. Você precisa habilitar esse recurso em cada Servidor ADFS no Farm. No console de Gerenciamento do ADFS e selecione Editar Propriedades do Serviço de Federação.

Captura de tela de editar propriedades federadas.

Você também precisa ativar a Política de auditoria do sistema operacional.

Abra o prompt de comando e execute o seguinte comando como administrador.

auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

Para obter mais informações, consulte como configurar servidores ADFS para solução de problemas.

Você também pode baixar os módulos do PowerShell do ADFS de:

Server 2016 e mais recente

Por padrão, o ADFS no Windows Server 2016 tem a auditoria básica habilitada. Com a auditoria básica, os administradores podem ver cinco ou menos eventos para uma única solicitação. Mas você pode aumentar ou diminuir o nível de auditoria usando este comando:

Set-AdfsProperties -AuditLevel Verbose

Para obter mais informações, consulte aprimoramentos de auditoria para ADFS no servidor Windows.

Se você tiver o Microsoft Entra Connect Health instalado, você também deve olhar para o relatório de IP de risco. Os endereços IP do cliente da atividade de entrada com falha são agregados por meio de servidores proxy de Aplicativo Web. Cada item no relatório de IP de Risco mostra informações agregadas sobre atividades de entrada do AD FS com falha que excedem o limite designado.

Exemplo de captura de tela do relatório de IP arriscado.

Para obter mais informações, consulte Relatório de IP de risco.

Server 2012 R2

ID do Evento 342 – "O nome de usuário ou senha estão incorretos" nos logs de administração do ADFS.

Para os eventos de auditoria reais, você precisa examinar os logs de eventos de segurança e deve procurar eventos com a ID de Evento 411 para Falha de Auditoria Clássica com a origem como Auditoria do ADFS. Procure também a ID de Evento 412 na autenticação bem-sucedida.

ID do Evento 411 - SecurityTokenValidationFailureFalha na validação do token de auditoria . Consulte exceção interna para obter mais detalhes.

Exemplo de captura de tela de um evento 411.

Exemplo de captura de tela de um evento 412.

Talvez seja necessário correlacionar o evento com a ID de evento correspondente 501.

Server 2016 e mais recente

Para os eventos de auditoria reais, você precisa examinar os logs de eventos de segurança e deve procurar eventos com a ID de Evento 1202 para eventos de autenticação bem-sucedidos e 1203 para falhas

Exemplo de evento ID1202:

ID do Evento 1202 FreshCredentialSuccessAudit O Serviço de Federação validou uma nova credencial. Consulte XML para obter detalhes.

Exemplo de ID de Evento 1203:

ID do Evento 1203 FreshCredentialFailureAudit O Serviço de Federação não conseguiu validar uma nova credencial. Consulte XML para obter detalhes sobre falhas.

Exemplo de um evento 1203

Exemplo de um evento 4624

Para obter a lista completa de ID de Evento do ADFS por Nível de SO, consulte GetADFSEventList.

Cenário gerenciado

Verifique os logs de entrada do Microsoft Entra para um ou mais usuários que você está investigando.

No centro de administração do Microsoft Entra, navegue até a tela Entradas e adicione/modifique o filtro de exibição para o período de tempo encontrado nas etapas de investigação anteriores e adicione o nome de usuário como filtro, conforme mostrado nesta imagem.

Exemplo de captura de tela de um filtro de exibição com um período de tempo.

Você também pode pesquisar usando a Graph API. Por exemplo, filtre as propriedades do usuário e obtenha lastSignInDate junto com ele. Procure um usuário específico para obter a última data de login para esse usuário. Por exemplo, https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'Dhanyah')&$select=displayName,signInActivity

Ou você pode usar o comando Get-AzureADUserLastSignInActivity PowerShell para obter a última atividade de entrada interativa para o usuário, direcionada por sua ID de objeto. Este exemplo grava a saída em um arquivo CSV com carimbo de data e hora no diretório de execução.

Get-AzureADUserLastSignInActivity -TenantId 536279f6-1234-2567-be2d-61e352b51eef -UserObjectId 69447235-0974-4af6-bfa3-d0e922a92048 -CsvOutput

Ou você pode usar este comando do módulo AzureADIncidentResponse PowerShell:

Get-AzureADIRSignInDetail -UserId johcast@Contoso.com -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3

Investigar o endereço IP de origem

Com base nos endereços IP de origem que você encontrou no log de entrada do Microsoft Entra ou nos arquivos de log do ADFS/Federation Server, investigue mais para saber de onde o tráfego se originou.

Usuário gerenciado

Para um cenário gerenciado, você deve começar a examinar os logs de entrada e filtrar com base no endereço IP de origem:

Exemplo de captura de ecrã de um endereço IP de utilizador gerido.

Ou você pode usar este comando do módulo AzureADIncidentResponse PowerShell:

Get-AzureADIRSignInDetail -IpAddress 1.2.3.4 -TenantId 536279f6-1234-2567-be2d-61e352b51eef -RangeFromDaysAgo 29 -RangeToDaysAgo 3 -OutGridView

Quando você olhar para a lista de resultados, navegue até a guia Informações do dispositivo. Dependendo do dispositivo usado, você obtém resultados variáveis. Eis alguns exemplos:

  • Exemplo 1 - Dispositivo não gerenciado (BYOD):

    Exemplo de captura de ecrã de um dispositivo não gerido.

  • Exemplo 2 - Dispositivo gerenciado (Microsoft Entra join ou Microsoft Entra hybrid join):

    Exemplo de captura de tela de informações do dispositivo gerenciado.

Verifique o DeviceID se houver um. Você também deve procurar o sistema operacional e o navegador ou a cadeia de caracteres UserAgent .

Exemplo de captura de ecrã de um ID de dispositivo.

Registre o CorrelationID, o ID da solicitação e o carimbo de data/hora. Você deve usar CorrelationID e timestamp para correlacionar suas descobertas a outros eventos.

Usuário/aplicativo federado

Siga o mesmo procedimento fornecido para o cenário de entrada federada.

Procure e registre o DeviceID, OS Level, CorrelationID, RequestID.

Investigue o DeviceID identificado

Esta etapa é relevante apenas para os dispositivos que são conhecidos pela ID do Microsoft Entra. Por exemplo, nas etapas anteriores, se você encontrou um ou mais IDs de dispositivo em potencial, poderá investigar mais sobre esse dispositivo. Procure e registre o DeviceID e o Device Owner.

Investigue cada AppID

Comece com os logs de entrada e a configuração do aplicativo do locatário ou a configuração dos servidores de federação.

Cenário gerenciado

A partir dos detalhes do log de entrada encontrados anteriormente, verifique a ID do aplicativo na guia Informações básicas:

Captura de ecrã de como verificar o ID da Aplicação no separador Informações Básicas.

Observe as diferenças entre o Aplicativo (e ID) para o Recurso (e ID). O aplicativo é o componente cliente envolvido, enquanto o Recurso é o serviço/aplicativo no Microsoft Entra ID.

Com esse AppID, agora você pode realizar pesquisas no locatário. Eis um exemplo:

Get-MgApplication -Filter "AppId eq '30d4cbf1-c561-454e-bf01-528cd5eafd58'"
Id                                       AppId                                    DisplayName

3af6dc4e-b0e5-45ec-8272-56f3f3f875ad     30d4cbf1-c561-454e-bf01-528cd5eafd58     Claims X-Ray

Com essas informações, você pode pesquisar no portal de Aplicativos Empresariais. Navegue até Todos os aplicativos e procure o AppID específico.

Exemplo de captura de tela de uma ID de aplicativo.

Manuais extras de resposta a incidentes

Examine as orientações para identificar e investigar esses outros tipos de ataques:

Recursos de resposta a incidentes