Algemeen
Met deze regel worden e-mails in Office365 vergeleken met de data in uw MISP bron. Indien een e-mail wordt gesignaleerd met daarin een hyperlink met een URL die bekend is in MISP, wordt alarm geslagen.
Rationale
De MISP bron dient als opslag van indicatoren die duiden op kwaadaardig gedrag. Dergelijke details worden verkregen uit onderzoek naar eerdere aanvallen op andere organisaties. Uitwisseling van die data zorgt ervoor dat nieuwe vergelijkbare aanvallen tijdig worden gedetecteerd. Door de data te vermengen met logboeken in de Microsoft tenant, is detectie actief en helpt Attic met snelle incident afhandeling.
Attic ondersteunt momenteel de volgende MISP-bronnen:
Z-CERT | IBD van VNG | FERM Rotterdam |
Gebruik van deze bronnen is alleen toegestaan voor de bedoelde doelgroep, hetgeen Attic per klant zal valideren.
Handmatige opvolging
Voer deze stappen uit om deze detecie adequaat op te volgen. Indien u over een Attic IR Strippenkaart beschikt, kunt u onze experts hiervoor inschakelen.
- Open het Exchange admin portal https://admin.exchange.microsoft.com/
- Ga naar Mail Flow > Message Trace
- Start een nieuwe Trace
- Vul in het veld Message ID het NetworkMessageID in uit het Attic alarm
- Klik op Search
- Onderzoek de e-mail.
- Bekijk of de e-mail in de mailbox is afgeleverd. Zo ja: ga bij de gebruiker na of deze de link heeft geklikt. Zo ja: beoordeel of informatie verloren is gegaan, met name het wachtwoord, en neem gepaste maatregelen.
- Verzamelen gegevens over de e-mail om te zien of meer vergelijkbare e-mails ontvangen zijn die actie nodig hebben.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.