ビジネスメール詐欺(Business Email Compromise)🔗
ビジネスメール詐欺検知器は、攻撃者がO365メールアカウントに対して使用する特定の手法を検出します。
要件🔗
この検知器には、以下のデータソース、インテグレーション、またはスキーマが必要です。
| ソース | センサータイプ |
|---|---|
| Azureクラウド監査データのストリーミング | MICROSOFT_OFFICE_MANAGEMENT |
入力🔗
検出は、以下の正規化されたソースから行われます。
- CloudAudit
出力🔗
検出は、XDR 検出データベースおよび検出トリアージダッシュボードに送信されます。
以下の受信トレイルールが検知をトリガーします。
- すべての受信メールの削除
- メールを RSS購読 フォルダーに転送
- BECキーワードを含むメールを外部メールアカウントに転送
- メールボックス権限の委任
- すべてのメールを外部メールアカウントに転送
- (あなたのアカウントが)ハッキングまたはフィッシングされた など、セキュリティ関連のキーワードを含むメールの削除
- メールボックス監査ログのバイパス
設定オプション🔗
この検知器は、必要なデータソースまたはインテグレーションがテナントで利用可能な場合、デフォルトで有効化されます。
MITRE ATT&CK カテゴリ🔗
- MITRE Enterprise ATT&CK - Collection - Email Collection - Email Forwarding Rule。詳細は MITRE Technique T1114.003 を参照してください。
- MITRE Enterprise ATT&CK - Defense Evasion - Indicator Removal on Host。詳細は MITRE Technique T1070 を参照してください。
検知器テスト🔗
この検知機にはサポートされているテスト方法がありませんが、詳細検索を使用することで、この検知機から検出が発生したかどうかを確認できます。
注意
サポートされているテスト方法が利用できない場合でも、詳細検索を行うことで、該当するイベントが観測された場合にこの検知機から検出が発生したかどうかを確認できます。検索結果が0件であっても、検知機が動作していないことを示すものではありません。検知機に対する検索結果がない場合、単にその特定の攻撃がテナント内で観測されていないだけの可能性もあります。ただし、基礎となるデータが利用できないことを示している場合もあります。必要なスキーマがデータソースで提供されていること、およびそのスキーマに対応したデバイスタイプがサポートされていることを確認してください。
参考情報🔗
- スキーマ