« Google Workspace 自定义管理员角色创建 Google Workspace 驱动器加密密钥被匿名用户访问 »
Elastic 文档 Elastic 安全解决方案 [8.16] 检测和警报 预构建规则参考

Google Workspace 自定义 Gmail 路由创建或修改

编辑

Google Workspace 自定义 Gmail 路由创建或修改

编辑

检测在 Google Workspace 中添加或修改自定义 Gmail 路由的情况。攻击者可以添加用于出站邮件的自定义电子邮件路由,将这些电子邮件路由到他们选择的收件箱以收集数据。这使得攻击者能够捕获来自电子邮件和潜在附件的敏感信息,例如发票或付款文件。默认情况下,来自当前具有 Google Workspace 帐户的所有用户的电子邮件都通过域的邮件服务器进行入站和出站邮件路由。

规则类型: 查询

规则索引:

  • filebeat-*
  • logs-google_workspace*

严重性: 中等

风险评分: 47

每隔: 10 分钟

搜索索引时间范围: now-130m (日期数学格式,另请参见 其他回溯时间)

每次执行的最大警报数: 100

参考:

标签:

  • 域:云
  • 数据源:Google Workspace
  • 战术:收集
  • 资源:调查指南

版本: 107

规则作者:

  • Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查 Google Workspace 自定义 Gmail 路由创建或修改

Gmail 是 Google 开发和管理的一种流行的基于云的电子邮件服务。Gmail 是 Google Workspace 帐户用户可用的众多服务之一。

威胁参与者通常会向公司 Gmail 帐户发送包含恶意 URL 链接或附件的网络钓鱼电子邮件。Google Workspace 身份依赖于公司用户 Gmail 帐户,如果被盗,则允许威胁参与者从有效用户帐户进一步开展入侵活动。

此规则识别管理员从 Google Workspace 管理控制台创建自定义全局 Gmail 路由的情况。自定义电子邮件路由可能表明试图秘密地将敏感电子邮件转发给非预期收件人。

可能的调查步骤

  • 识别创建自定义电子邮件路由的用户帐户,并验证他们是否应该具有管理员权限。
  • 查看自定义电子邮件路由中添加的收件人和潜在电子邮件内容的机密性。
  • 识别用户帐户,然后查看过去 48 小时内相关活动的 event.action 值。
  • 如果 Google Workspace 许可证为企业版 Plus 或教育版 Plus,请搜索与路由过滤器匹配的电子邮件。要查找 Gmail 事件日志,请转到 报告 > 审计和调查 > Gmail 日志事件
  • 如果已发送的现有电子邮件与自定义路由条件匹配,请查看发件人和内容以查找恶意 URL 链接和附件。
  • 已识别的 URL 或附件可以提交到 VirusTotal 以获取声誉服务。

误报分析

  • 此规则搜索在 Google Workspace 的管理控制台中创建的域范围自定义电子邮件路由。管理员可能会创建自定义电子邮件路由以满足组织要求。

响应和补救

  • 根据分类结果启动事件响应流程。
  • 在调查和响应期间禁用或限制帐户。
  • 确定事件的可能影响并相应地进行优先级排序;以下操作可以帮助您获得上下文
  • 确定帐户在云环境中的角色。
  • 评估受影响服务和服务器的关键性。
  • 与您的 IT 团队合作,识别并最大程度地减少对用户的影响。
  • 确定攻击者是否正在横向移动并入侵其他帐户、服务器或服务。
  • 确定与此活动相关的任何监管或法律后果。
  • 调查受攻击者入侵或使用的系统上的凭据泄露,以确保识别所有受入侵的帐户。根据需要重置密码或删除 API 密钥以撤销攻击者对环境的访问权限。与您的 IT 团队合作,在执行这些操作期间最大程度地减少对业务运营的影响。
  • 审查分配给涉嫌用户的权限,以确保遵循最小权限原则。
  • 实施 Google 概述的安全最佳实践。
  • 确定攻击者滥用的初始载体,并采取措施防止通过相同载体再次感染。
  • 利用事件响应数据,更新日志记录和审计策略,以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

有关 Google Workspace 事件延迟时间的重要信息

  • 根据 Google 的文档,Google Workspace 管理员可能会观察到事件发生时间与事件在 Google Workspace 管理/审计日志中可见时间之间存在从几分钟到 3 天不等的延迟时间。
  • 此规则配置为每 10 分钟运行一次,回溯时间为 130 分钟。
  • 为了降低误报的风险,请考虑减少 Google Workspace(以前称为 G Suite)Filebeat 模块轮询 Google 报告 API 以获取新事件的间隔时间。
  • 默认情况下,var.interval 设置为 2 小时 (2h)。请考虑将此间隔更改为较低的值,例如 10 分钟 (10m)。
  • 有关更多信息,请参阅以下参考
  • https://support.google.com/a/answer/7061566
  • https://elastic.ac.cn/guide/en/beats/filebeat/current/filebeat-module-google_workspace.html

设置

编辑

Google Workspace 集群集成、Filebeat 模块或类似结构的数据必须与此规则兼容。

规则查询

编辑
event.dataset:"google_workspace.admin" and event.action:("CREATE_GMAIL_SETTING" or "CHANGE_GMAIL_SETTING")
  and google_workspace.event.type:"EMAIL_SETTINGS" and google_workspace.admin.setting.name:("EMAIL_ROUTE" or "MESSAGE_SECURITY_RULE")

框架: MITRE ATT&CKTM

« Google Workspace 自定义管理员角色创建 Google Workspace 驱动器加密密钥被匿名用户访问 »