MailItemsAccessed
Im Sommer 2023 hat die Lücke Storm-0558 eine Lücke im Anmeldedienst beschrieben. Erkannt wurde sie aber nur, weil einige Tenants den Zugriff auf Mails überwacht und suspekte Zugriffe erkannt haben. Darum geht es auf dieser Seite
Purview Auditing
Exchange Online erlaubt umfangreiche Überwachungsfunktionen, die pro Postfach konfiguriert werden können. hier die Standardeinstellungen eines Microsoft 365 E3 Postfachs vom April 2023.
PS C:\> get-mailbox TestuserE5 | fl audit*,defaultauditset AuditEnabled : True AuditLogAgeLimit : 90.00:00:00 AuditAdmin : {Update, MoveToDeletedItems, SoftDelete, HardDelete…} AuditDelegate : {Update, MoveToDeletedItems, SoftDelete, HardDelete…} AuditOwner : {Update, MoveToDeletedItems, SoftDelete, HardDelete…} DefaultAuditSet : {Admin, Delegate, Owner}
Die drei Audit*-Properties enthalten:
Property | AuditAdmin |
AuditDelegate |
AuditOwner |
---|---|---|---|
Inhalt E3 |
Update MoveToDeletedItems SoftDelete HardDelete SendAs SendOnBehalf Create UpdateFolderPermissions UpdateInboxRules UpdateCalendarDelegation ApplyRecord |
Update MoveToDeletedItems SoftDelete HardDelete SendAs SendOnBehalf Create UpdateFolderPermissions UpdateInboxRules ApplyRecord |
Update MoveToDeletedItems SoftDelete HardDelete UpdateFolderPermissions UpdateInboxRules UpdateCalendarDelegation ApplyRecord |
Zusätzlich E5 |
MailItemsAccessed Send |
MailItemsAccessed |
MailItemsAccessed Send |
Viele Events sind bei allen drei Anwendergruppen vorhanden aber zwei Events fehlen, die in der Microsoft 365 E3-Lizenz nicht enthalten sind. Mit einer Microsoft 365 E5 Lizenz oder dem Microsoft 365 E5 Compliance-Addon sehen die Defaults etwas anders aus. Hier kommen zwei Überwachungsevents dazu, die im Standard nicht aktiv sind
- MailItemsAccessed
Protokolliere Zugriff auf Mails im Postfach - Send
Protokolliere versendete Mails. Wann und welche Mail ein Anwender versendet hat, können Sie auch über das Messagtracking ermitteln. aber dort sehen sie nur eingeschränkt Daten des Clients
Auditing funktionier nur auf Benutzerpostfächern, Shared Mailboxen und Group Mailboxen aber nicht auf Ressource Postfächern (Räume etc.) oder Postfächer für öffentliche Ordner.
- Manage mailbox auditing
https://learn.microsoft.com/en-us/purview/audit-mailboxes - Microsoft Purview Audit (Premium)
https://learn.microsoft.com/en-us/purview/audit-premium - Use Microsoft Purview Audit (Premium) to investigate compromised accounts
https://learn.microsoft.com/en-us/purview/audit-log-investigate-accounts
MailItemsAccessed aktivieren
Nun könnte ich auf den Gedanken kommen, dass ich einfach die fehlenden Audit-Einstellungen aktiviere.
PS C:\> Set-Mailbox TestuserE3 -AuditOwner @{Add="Send","MailItemsAccessed"} Set-Mailbox: |Microsoft.Exchange.Management.Tasks.RecipientTaskException|Die Überwachung des MailItemsAccessed-Ereigniss es ist nur für Benutzer mit entsprechender Lizenz verfügbar. Weitere Informationen hierzu finden Sie in der Dokumentation.
Das geht aber nur mit der passenden Lizenz. Bei einem Microsoft E5 Postfach sind die Einstellungen aber schon aktiv und ich bekomme.
PS C:\> Set-Mailbox TestuserE5 -AuditOwner @{Add="Send","MailItemsAccessed"} Set-Mailbox: |Microsoft.Exchange.Management.Tasks.RecipientTaskException|Die eingegebenen Überwachungsvorgänge werden bereits überwacht.
Allerdings hat hier Storm-0558 zu einer Veränderung geführt. Microsoft wird diese Überwachungsfunktion im September 2023 für alle Microsoft 365 E3-Benutzer ebenfalls ohne weitere Kosten verfügbar machen
Am 22. Sep 2023 war die Möglichkeit in von mit verwalteten Tenants noch nicht freigeschaltet
- Manage mailbox auditing - More information
https://learn.microsoft.com/en-us/purview/audit-mailboxes#more-information - CISA and Microsoft Partnership Expands Access to Logging Capabilities
Broadly Released July 19, 2023
https://www.cisa.gov/news-events/news/cisa-and-microsoft-partnership-expands-access-logging-capabilities-broadly - Enhanced Monitoring to Detect APT Activity Targeting Outlook Online
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-193a - Enable the MailItemsAccessed Event for Exchange Online Mailboxes
https://office365itpros.com/2023/09/11/mailitemsaccessed-event-important/
Sie können zusätzlich das Auditing auf dem Tenant global deaktivieren und reaktivieren und über "Set-MailboxAuditBypassAssociation" das Auditing einzelner Benutzer ausschließen, d.h. Zugriffe dieser Konten werden nicht protokolliert. Das kann z.B. für eigene Archivlösungen u..a sinnvoll sein.
- Set-MailboxAuditBypassAssociation
https://learn.microsoft.com/en-us/powershell/module/exchange/set-mailboxauditbypassassociation?view=exchange-ps - Bypass mailbox audit logging
https://learn.microsoft.com/en-us/purview/audit-mailboxes#bypass-mailbox-audit-logging
Manuelle Suche
Für das Auswerten der Logs kommt es auf ihren Einsatzzweck an. Es macht wenig Sinn alles zu protokollieren, wenn Sie nie reinschauen. Aufgrund der Menge der Zugriffe macht es aber auch wenig Sinn, manuell diese Logs zu durchsuchen. Das geht, wenn Sie genau das Problem eines Benutzers analysieren wollen aber erlaubt keine strukturellen Auswertungen.
Quelle:
https://compliance.microsoft.com/
Nach der Auswahl der Kriterien starten Sie die Suche die einige Minuten dauern kann. Der Status wird weiter unten auf der Webseite angezeigt:
Da in meinem Tenant auch die "Send", "MailItemsAccessed"-Funktion noch nicht aktiv war, habe ich noch nichts gesehen.
Beispielevents liefert ich nach.
- Purview Portal
https://compliance.microsoft.com/ - Audit New Search
https://learn.microsoft.com/en-us/purview/audit-new-search - Purview - Manage mailbox auditing
https://learn.microsoft.com/en-us/purview/audit-mailboxes - Search the audit log with Classic Search (obsolet)
https://learn.microsoft.com/en-us/purview/audit-log-search
PowerShell
Natürlich können Sie auch per PowerShell die Logs abgreifen.
$SusMailItems = Search-UnifiedAuditLog ` -StartDate (get-date).adddays(-1) ` -EndDate (get-date) ` -Operations "MailItemsAccessed" ` -ResultSize 5000 ` -FreeText $searchtext ` -Verbose ` | Select-Object -ExpandProperty AuditData | Convertfrom-Json ` | Out-file .\report.txt
- Search-UnifiedAuditLog
https://learn.microsoft.com/en-us/powershell/module/exchange/search-unifiedauditlog?view=exchange-ps - Sparrow.ps1
https://github.com/cisagov/Sparrow
"Sparrow.ps1 was created by CISA's Cloud Forensics team to help detect possible compromised accounts and applications in the Azure/m365 environment "
SIEM
Die meisten Firmen konfigurieren sich daher eine Verbindung zu einem SIEM (Splunk, Azure Sentinel o.ä.), um diese Events direkt in eine eigene Plattform zu überführen, auf der automatisierte Regeln und Erkennungen nach kritischen Vorgängen suchen. Allerdings sollten Sie diese Events dann nicht per PowerShell abrufen, sondern über die Office 365 Management Activity API.
Ihre Lösung meldet sich per HTTPS und z.B. Zertifikat und OAUTH an der REST-API mit den entsprechenden Berechtigungen an.
Interessant ist hier die "Subscription", über die Sie dann auch eine Benachrichtigung auf einen von ihrer Lösung bereitgestellten Webhook. Es geht aber auch ohne Webhook, wenn Sie dann zyklisch abfragen (Polling).
- Office 365 Management Activity API reference
https://learn.microsoft.com/en-us/office/office-365-management-api/office-365-management-activity-api-reference - Microsoft Purview audit log activities via O365 Management API
Part 1: https://techcommunity.microsoft.com/t5/security-compliance-and-identity/microsoft-365-compliance-audit-log-activities-via-o365/ba-p/2957171
Part 2: https://techcommunity.microsoft.com/t5/security-compliance-and-identity/microsoft-365-compliance-audit-log-activities-via-o365/ba-p/2957297 - Connect Azure Active Directory (Azure
AD) data to Microsoft Sentinel
https://learn.microsoft.com/en-us/azure/sentinel/connect-azure-active-directory - Learning Path 6 - Lab 1 - Exercise 1 - Connect data to Microsoft Sentinel
using data connectors
https://microsoftlearning.github.io/SC-200T00A-Microsoft-Security-Operations-Analyst/Instructions/Labs/LAB_AK_06_Lab1_Ex1_Connect_Services.html - Configure Inputs for the Splunk Add-on for Microsoft Office 365
https://docs.splunk.com/Documentation/AddOns/released/MSO365/Configureinputs - Detecting Post-Compromise Threat Activity in Microsoft Cloud Environments
https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-008a
Weitere Links
- Storm-0558
- Storm 0588 Nachbereitung
- Use Microsoft Purview Audit (Premium) to investigate compromised accounts
https://learn.microsoft.com/en-us/purview/audit-log-investigate-accounts - Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes
Cloud-Logging bereit
https://www.borncity.com/blog/2023/07/20/microsoft-stellt-kunden-nach-cisa-intervention-erweitertes-logging-in-der-cloud-bereit/ - Storm-0558: Understanding How Microsoft Failed to Protect Itself
https://practical365.com/storm-0558-snafus/