使用 MailItemsAccessed 调查遭到入侵的帐户

被盗用的用户账户（也称为“账户接管”）是攻击的一种类型，攻击者获取用户账户的访问权限并作为用户操作。 这些类型的攻击造成的损害有时比攻击者所需要的更大。 调查被盗电子邮件账户时，必须假设泄露的邮件数据要比通过跟踪攻击者实际存在所指示的数量要多。 根据电子邮件中的数据类型，需要假定敏感信息被盗用或面临着监管罚款，除非能够证明敏感信息未泄露。 例如，如果有证据表明患者健康信息（PHI）被公开，受 HIPAA 监管的组织面临巨额罚款。 在这些情况中，攻击者很可能对患者健康信息感兴趣，但是组织仍然必须汇报数据泄漏，除非他们提供相应证明。

为帮助调查被盗的电子邮件账户，我们现在通过 MailItemsAccessed 邮箱审核活动审核由邮件协议和客户端进行的邮件数据存取。 这项新的审核操作可帮助调查人员更好地了解电子邮件数据泄露，并帮助你确定可能遭到入侵的特定邮件项目的泄露范围。 使用此新的审核操作的目标是取证防御性，以帮助断言特定邮件数据未泄露。 如果攻击者获得了对特定邮件的访问权限，Exchange Online 会审核该事件，即使没有迹象表明邮件项已读取。

MailItemsAccessed 邮箱审核操作

MailItemsAccessed 操作是 审核 (Standard) 功能的一部分。 它是 Exchange 邮箱审核 的一部分，默认情况下为分配了 Office 365 E3/E5 或 Microsoft 365 E3/E5 许可证的用户启用。

MailItemsAccessed 邮箱审核操作包含所有邮件协议：POP、IMAP、 MAPI、EWS、Exchange ActiveSync 和 REST。 还包含了两种存取邮件的类型：同步和绑定。

审核同步访问权限

仅当邮箱由适用于 Windows 或 Mac 的桌面版 Outlook 客户端存取时，才记录同步操作。 同步操作期间，这些客户端通常从云端下载大型邮件项至本地计算机。 同步操作的审核量非常大。 因此，我们不为同步的每个邮件项目生成审核记录，而是为包含已同步项目的邮件文件夹生成审核事件，并假定已同步文件夹中的所有邮件项目已泄露。 访问权限类型会记录在审核记录的 OperationProperties 字段中。

参见“使用 MailItemsAccessed 审核记录进行司法鉴定调查”一节的第 2 步了解在审核记录中显示同步访问权限的示例。

审核绑定访问权限

绑定操作是对电子邮件所进行的一种单独访问。 对于绑定访问，单个消息的 InternetMessageId 记录在审核记录中。 MailItemsAccessed 审核操作记录绑定操作并随后聚合至单独的审核记录中。 2分钟间隔内发生的所有绑定操作都聚合在 AuditData 属性内文件夹字段中的一个单独审核记录内。 所访问的每封邮件都由其 InternetMessageId 标识。 聚合在记录中的绑定操作数将在 AuditData 属性的 OperationCount 字段中显示。

参见“使用 MailItemsAccessed 审核记录进行司法鉴定调查”一节的第 4 步了解在审核记录中显示绑定访问权限的示例。

MailItemsAccessed 审核记录的限制

如果在 24 小时内生成了超过 1,000 条 MailItemsAccessed 审核记录，Exchange Online 将停止为 MailItemsAccessed 活动生成审核记录。 当邮箱受到限制时，邮箱被限制后的 24 小时内不会记录 MailItemsAccessed 活动。 如果邮箱被限制，则在此期间邮箱可能会遭到入侵。 MailItemsAccessed 活动的记录将在 24 小时候恢复。

有关限制的事项，请注意以下几点：

• Exchange Online 中少于 1% 的邮箱被限制
• 如果邮箱被限制，只有 MailItemsAccessed 活动的审核记录不会被审核。 不影响其他邮箱审核操作。
• 仅限制邮箱进行绑定操作。 同步操作的审核记录不受限制。
• 如果邮箱被限制，可以假设存在未被记录至审核日志中的 MailItemsAccessed 活动。

参见“使用 MailItemsAccessed 审核记录进行司法鉴定调查”一节的第 1 步了解在审核记录中显示 IsThrottled 属性的示例。

使用 MailItemsAccessed 审核记录进行司法鉴定调查

Mailbox 审核生成用于存取电子邮件的审核记录，因此可以自信保证电子邮件未被泄露。 因此，在无法确定某些数据已被访问的情况中，我们假设其记录了所有邮件存取活动。

使用 MailItemsAccessed 审核记录进行司法鉴定目的，通常在解决了数据泄露且攻击者被逐出后进行。 若要开始调查，应确定它们已泄露的邮箱集，并确定攻击者有权访问你组织中的邮箱的时间范围。 然后可在 Exchange Online PowerShell 中使用 Search-UnifiedAuditLog 或 Search-MailboxAuditLog cmdlet 搜索与数据泄漏对应的审核记录。

可运行下列之一命令来搜索 MailItemsAccessed 审核记录：

统一审核日志：

Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000

邮箱审核日志：

Search-MailboxAuditLog -Identity <user> -StartDate 01/06/2020 -EndDate 01/20/2020 -Operations MailItemsAccessed -ResultSize 1000 -ShowDetails

下面是使用 MailItemsAccessed 审核记录来调查被盗用用户的攻击步骤。 各步骤显示 Search-UnifiedAuditLog 或 Search-MailboxAuditLog cmdlets 的命令语法。

1. 检查邮箱是否被限制。 如果是这样，则意味着不会记录某些邮箱审核记录。 如果任何审核记录的“IsThrottled”为“True”，则应假定在生成该记录后的 24 小时内，未审核对邮箱的任何访问，并且所有邮件数据都已泄露。

   如果要搜索邮箱被限制的 MailItemsAccessed 记录，运行下列命令:

   统一审核日志：

   Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"IsThrottled","Value":"True"*'} | FL
   

   邮箱审核日志：

   Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*IsThrottled:True*"} | FL
   

2. 检查同步活动。 如果攻击者使用电子邮件客户端下载邮箱中的邮件，他们可将计算机与互联网断开并本地存取邮件，而不与服务器交互。 在这种情况下，邮箱审核将无法审核这些活动。

   若要搜索被同步操作所存取邮件项的 MailItemsAccessed 记录，运行下列命令：

   统一审核日志：

   Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 02/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Sync"*'} | FL
   

   邮箱审核日志：

   Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*MailAccessType:Sync*"} | FL
   

3. 检查同步活动，以在相同的上下文中发生的任何活动作为攻击者存取邮箱所使用的活动。 上下文通过用于存取邮箱和邮件协议的客户端计算机 IP 地址识别和区分。 有关详细信息，请参阅“识别不同审核记录的存取上下文”一节。

   使用下面列出的属性进行调查。 这些属性位于 AuditData 或 OperationProperties 属性中。 如果发生在相同上下文中的任何同步作为攻击者行为，则假定攻击者已同步所有邮件项至其客户端，即整个邮箱可能已被盗取。

   
   

4. 检查绑定活动。 执行第 2 步和第 3 步后，可以确信攻击者对电子邮件的所有其他访问，将被捕获至 MailAccessType 属性值为 "Bind" 的 MailItemsAccessed 审核记录中。

   若要搜索通过绑定操作访问邮件项目的 MailItemsAccessed 记录，请运行以下命令。

   统一审核日志：

   Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations MailItemsAccessed -ResultSize 1000 | Where {$_.AuditData -like '*"MailAccessType","Value":"Bind"*'} | FL
   

   邮箱审核日志：

   Search-MailboxAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -Identity <user> -Operations MailItemsAccessed -ResultSize 10000 -ShowDetails | Where {$_.OperationProperties -like "*MailAccessType:Bind*"} | FL
   

   被存取的的电子邮件通过 Internet 邮件 ID 进行标识。 还可检查是否有任何审核记录具有与其他攻击者活动的相同上下文。 有关详细信息，请参阅“识别不同审核记录的存取上下文”一节。

   可以使用审核数据采用两种方式进行绑定操作：

   • 访问或收集攻击者访问的所有电子邮件，方法是使用 InternetMessageId 查找这些邮件，然后检查这些邮件是否包含敏感信息。
   • 使用 InternetMessageId 搜索与一组可能敏感的电子邮件相关的审核记录。 如果你只关心几条消息，这将非常有用。

筛选重复的审核记录

一小时内所发生的相同绑定操作的重复审核记录将被依次筛选出，以清除审核噪音。 同步操作还以一小时的间隔进行筛选。 如果对于同一个 InternetMessageId，下表中所述的任何属性都不同，则会发生此重复数据删除过程的异常。 如果这些属性之一与重复操作中的不同，生成新的审核记录。 此流程在下一节中详细描述。

识别不同审核记录的存取上下文

通常攻击者在邮箱所有者访问邮箱的同时访问邮箱。 为区分攻击者和邮箱所有者的访问，提供了设定访问上下文的审核日志属性。 如前所述，如果这些属性的值不同时，即使活动在聚合间隔内发生，将生成单独的审核记录。 在下面示例中，有三个不同的审核记录。 每条记录都可通过会话 ID 和 ClientIPAddress 属性进行区分。 另外还识别被存取的邮件。

如果 上一节 中的表中列出的任何属性不相同，则会生成单独的审核记录来跟踪新的上下文。 根据活动发生的背景，访问将被排序成单独的审核记录。

例如，在以下屏幕截图中显示的审核记录中，尽管我们同时访问来自 EWSEditor 和 OWA 的邮件，但访问活动会整理到不同的审核记录中，具体取决于访问的上下文。 在这种情况中，上下文通过 ClientInfoString 属性的不同值确定。

下面是上一屏幕截图中显示的命令的语法：

Search-MailboxAuditLog -Identity admin -ShowDetails -Operations MailItemsAccessed -ResultSize 2000 | Select LastAccessed,Operation,AuditOperationsCountInAggregatedRecord,ClientInfoString