Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo demonstra um guia estratégico de phishing. Faz parte das diretrizes do guia estratégico de resposta a incidentes na disciplina de Operações de Segurança (SecOps ).
Este guia estratégico destina-se a todas as funções responsáveis pela criação ou execução de guias estratégicos de resposta a incidentes, incluindo analistas do SecOps, respondentes de incidentes, administradores de identidade e equipe de operações de TI.
Ataques de phishing são uma das técnicas de acesso iniciais mais comuns usadas pelos adversários. Um ataque de phishing bem-sucedido pode levar ao comprometimento das credenciais, à execução de malware, à exfiltração de dados e à movimentação lateral em ambientes de identidade, e-mail e dispositivos.
As diretrizes neste artigo descrevem o que investigar e por quê. Exemplos específicos do produto (como Microsoft Defender XDR ou Microsoft Sentinel) são fornecidos como implementações de referência.
Antes de começar
Antes de iniciar uma investigação de phishing, verifique se os seguintes requisitos de preparação de linha de base estão em vigor. Esses pré-requisitos devem ser concluídos antes que um incidente ocorra como parte do planejamento de resposta a incidentes.
| Area | Requisito | Detalhes |
|---|---|---|
| Informações da conta | Ter pelo menos um identificador para o usuário-alvo suspeito | Os identificadores podem ser: UPN (nome de entidade de usuário), endereço de email ou nome de usuário/alias. Essas informações são necessárias para correlacionar atividades de email, entradas e ações downstream. |
| Auditoria e registro em log do Microsoft 365 | A auditoria de caixa de correio deve ser habilitada em toda a organização para garantir que o acesso e as ações da caixa de correio sejam registrados. | Verifique se a auditoria de caixa de correio está habilitada por padrão executando o seguinte comando no PowerShell do Exchange Online: Get-OrganizationConfig | Format-List AuditDisable/. Um valor de False indica que a auditoria de caixa de correio está habilitada para todas as caixas de correio. |
| Microsoft 365 auditoria e registro em log | Os logs de rastreamento de mensagens são necessários para identificar a mensagem de phishing original, o status de entrega, todos os destinatários e os detalhes de roteamento da mensagem. | O rastreamento de mensagens está disponível no Centro de administração do Exchange, no portal Microsoft Defender (Email e colaboração > Rastreamento de mensagens do Exchange). Para trabalhar efetivamente com dados de rastreamento de mensagens, os investigadores devem ser capazes de recuperar e interpretar valores de ID de mensagem, que são obtidos de cabeçalhos de email brutos. |
| Microsoft 365 auditoria/registro | Os logs de auditoria unificada são necessários para revisar a atividade de usuários e administradores em todas as cargas de trabalho do Microsoft 365. | Garanta que os investigadores possam pesquisar no log de auditoria unificado para revisar ações como acesso à caixa de correio, ações em itens de email, alterações administrativas e eventos relacionados ao logon. |
| Logs do Microsoft Entra | Os logs de entrada e de auditoria do Microsoft Entra ID são mantidos por um período limitado (30 ou 90 dias, dependendo do licenciamento). | Para dar suporte a investigações, análises históricas e revisão pós-incidente, exporte logs para um repositório de longo prazo, como Microsoft Sentinel, Azure Monitor ou um SIEM de terceiros. |
| Permissões | Verifique se os investigadores têm permissões suficientes para acessar os dados necessários sem privilegiar demais as contas. | Microsoft Entra ID: a função mínima recomendada é Leitor de Segurança. portal Defender e portal de Conformidade Microsoft: Leitor de Segurança. Essas funções fornecem acesso somente leitura a emails, alertas e dados de auditoria. |
| Visibilidade de terminal | Microsoft Defender para Endpoint | Se o Defender for Endpoint estiver instalado, use-o para: – Valide se os usuários interagiram com o conteúdo de phishing. - Identificar a execução de carga útil. – Correlacionar a atividade do endpoint com eventos de e-mail. |
| Hardware | Um sistema capaz de executar o PowerShell. | |
| Software | Esses módulos do PowerShell são comumente usados durante investigações de phishing | SDK do PowerShell do Microsoft Graph Módulo do PowerShell para Exchange Online módulo do PowerShell de Resposta a Incidentes do Microsoft Entra Verifique se todos os módulos estão instalados e mantidos atualizados. |
Workflow
O fluxo de trabalho de investigação de phishing segue estes estágios de alto nível:
- Identifique e confirme a mensagem de phishing.
- Escopo do impacto e usuários afetados.
- Avaliar a interação do usuário e a exposição de credenciais.
- Identifique a atividade downstream.
- Conter a ameaça e evitar a recorrência
Esse fluxo de trabalho ajuda os respondentes a passar da detecção para a contenção sem ignorar as etapas críticas de validação.
O que verificar
Use essa lista de verificação como um portão de qualidade durante a investigação.
- Identificar o email de phishing e a ID de mensagem original
- Determinar todos os destinatários e o status de entrega
- Identificar se os usuários interagiram com a mensagem
- Avaliar o comprometimento de credenciais ou a execução de malware
- Identificar atividade lateral ou de acompanhamento
- Remover mensagens mal-intencionadas de caixas de correio
- Redefinir ou proteger contas afetadas
- Aprimorar detecções e controles de prevenção
Etapas de investigação
Etapa 1: identificar a mensagem de phishing
Obtenha o email de phishing suspeito.
Extraia a ID da Mensagem dos cabeçalhos de email.
Use o rastreamento de mensagens para determinar:
- Quando a mensagem foi recebida
- Quais usuários o receberam
- Se foi entregue, bloqueado ou colocado em quarentena
Etapa 2: Escopo de usuários afetados
- Identificar todos os destinatários da mensagem
- Confirmar se a mensagem ignorou filtros
- Determinar se mensagens semelhantes foram enviadas usando variantes da mesma campanha
Etapa 3: Avaliar a interação do usuário
Para cada usuário afetado, determine se ele:
- Aberto o email
- Links clicados
- Anexos abertos
- Credenciais enviadas
Correlacionar a atividade de email com:
- Logs de logon do Microsoft Entra
- Logs de auditoria
- Atividade do endpoint (se disponível)
Etapa 4: Identificar a atividade de acompanhamento
Se as credenciais possam ter sido expostas, investigue:
- Entradas suspeitas
- Pulverização de senha ou atividade de força bruta
- Concessões de consentimento do OAuth
- Abuso de tokens
- Atividade de colaboração ou caixa de correio incomum
Se os anexos foram abertos, valide se houve execução de malware nos endpoints.
Etapa 5: Conter e corrigir
Com base nos resultados:
- Remova mensagens de phishing de todas as caixas de correio. Desabilite ou redefina.
- contas comprometidas.
- Revogar sessões e tokens ativos.
- Bloqueie remetentes mal-intencionados, domínios e URLs.
- Isole ou remedeie os dispositivos afetados.
Etapa 6: Recuperação
Após a contenção, concentre-se na restauração de operações normais e na redução do risco de recorrência.
As ações de recuperação podem incluir:
- Impondo redefinições de credenciais e autenticação multifator
- Revisão de regras de caixa de correio e configurações de encaminhamento
- Aprimorando a filtragem de email e as políticas anti-phishing
- Atualizando detecções e alertas
- Atualizando ou refinando guias estratégicos de resposta de phishing
Próximas Etapas
Saiba mais sobre a disciplina de SecOps.