Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Groot aantal externe bestandsdelingen [RULE-1027]

Deze regel detecteert wanneer een gebruiker een groot aantal bestanden deelt met externe gebruikers in een kort tijdsbestek. Dit gedrag kan erop wijzen dat een gecompromitteerd account wordt gebruikt om kwaadaardige inhoud te verspreiden, data te exfiltreren of phishing links te verspreiden naar externe ontvangers via SharePoint Online of OneDrive for Business.

Rationale

Het delen van een groot aantal bestanden met externe gebruikers in een korte periode is ongebruikelijk gedrag voor de meeste gebruikers en is een veelvoorkomende indicator van account compromise. Deze techniek is gekoppeld aan MITRE ATT&CK als T1567 (Exfiltration Over Web Service) en T1566.002 (Phishing: Spearphishing Link).

Na het compromitteren van een gebruikersaccount gebruiken aanvallers vaak SharePoint Online of OneDrive for Business om kwaadaardige bestanden of phishing links te verspreiden naar een groot aantal externe ontvangers. Omdat deze sharing-uitnodigingen afkomstig zijn van een legitiem organisatie-account, zijn ontvangers eerder geneigd de gedeelde inhoud te vertrouwen en te openen. Dit maakt het een effectieve methode om malware te verspreiden of verdere phishing campagnes uit te voeren.

Daarnaast kan bulksgewijs extern delen worden gebruikt voor data exfiltration. Een aanvaller kan gevoelige documenten, vertrouwelijke bestanden of bedrijfseigen data delen met externe accounts die zij beheren, waardoor zij effectief organisatiegegevens stelen via een legitiem file sharing mechanisme dat mogelijk traditionele data loss prevention controles omzeilt. Het volume en de snelheid van de deelactiviteit onderscheiden kwaadaardig gedrag van normale zakelijke samenwerking, waarbij extern delen doorgaans in kleinere, meer bewuste hoeveelheden plaatsvindt.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Verifieer met de gebruiker of het grote aantal externe delingen bewust was. Controleer welke bestanden zijn gedeeld, met wie ze zijn gedeeld en of dit consistent is met de normale werkactiviteiten van de gebruiker.

    • Zo nee: De deelactiviteit was niet bewust en het account is mogelijk gecompromitteerd:

      1. Trek de externe deelrechten op de betreffende bestanden en mappen onmiddellijk in.
      2. Reset het wachtwoord van het betreffende account en revoke alle actieve sessies via Microsoft Entra ID.
      3. Controleer de gedeelde bestanden om vast te stellen of er gevoelige of vertrouwelijke data is blootgesteld. Bekijk de sign-in logs op verdachte inlogactiviteit op het account.
      4. Informeer de externe ontvangers dat de gedeelde inhoud mogelijk kwaadaardig is en niet geopend dient te worden. Overweeg om Attic in te schakelen voor een volledig incident response onderzoek.

    • Zo ja: Het extern delen was bewust en gerelateerd aan legitieme bedrijfsactiviteiten:

      1. Verifieer of het volume van extern delen is toegestaan binnen het data sharing en beveiligingsbeleid van uw organisatie.
      2. Indien acceptabel: documenteer de zakelijke rechtvaardiging en sluit het incident af.

Meer informatie