General
This rule compares emails in Office365 with the data in your MISP source. If an email is flagged with a hyperlink with a URL known in MISP, an alarm is raised.
Rationale
De MISP bron dient als opslag van indicatoren die duiden op kwaadaardig gedrag. Dergelijke details worden verkregen uit onderzoek naar eerdere aanvallen op andere organisaties. Uitwisseling van die data zorgt ervoor dat nieuwe vergelijkbare aanvallen tijdig worden gedetecteerd. Door de data te vermengen met logboeken in de Microsoft tenant, is detectie actief en helpt Attic met snelle incident afhandeling.
Attic ondersteunt momenteel de volgende MISP-bronnen:
Z-CERT | IBD van VNG | FERM Rotterdam |
Gebruik van deze bronnen is alleen toegestaan voor de bedoelde doelgroep, hetgeen Attic per klant zal valideren.
Manual follow-up
Follow these steps to follow up on this detection. If you have an Attic IR Strip card, you can call on our experts for this.
- Open the Exchange admin portal https://admin.exchange.microsoft.com/
- Go to Mail Flow > Message Trace
- Start a new Trace
- Enter the NetworkMessageID from the Attic alarm in the Message ID field
- Click on Search
- Examine the email.
- Check whether the email has been delivered to the mailbox. If yes, check with the user to see if they clicked the link. If yes, assess whether information was lost, especially the password, and take appropriate action.
- Collect data about the email to see if other similar emails were received that require action.
Comments
0 comments
Please sign in to leave a comment.