Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Transportregel stuurt e-mail door naar extern domein [RULE-1024]

Deze regel detecteert wanneer een nieuwe e-mail transportregel (mail flow rule) wordt aangemaakt in Exchange Online die e-mail doorstuurt of redirect naar een externe ontvanger. Transportregels werken op organisatieniveau en beïnvloeden alle mailboxen in de tenant, waardoor ze een krachtig middel zijn voor data exfiltration wanneer ze worden misbruikt.

Rationale

Transportregels kunnen alleen worden aangemaakt door gebruikers met Exchange administrator rechten, wat betekent dat deze detectie ofwel duidt op een gecompromitteerd admin account, ofwel op een bewuste maar mogelijk risicovolle configuratiewijziging. Deze techniek is gekoppeld aan MITRE ATT&CK als T1114.003 (Email Collection: Email Forwarding Rule) en T1020 (Automated Exfiltration).

Na het compromitteren van een Exchange administrator account kan een aanvaller transportregels aanmaken die stilzwijgend alle organisatie-e-mail redirecten of kopieren naar een extern adres. In tegenstelling tot mailbox-level rules die alleen een enkele gebruiker treffen, kunnen transportregels e-mail onderscheppen voor de gehele organisatie. Dit maakt ze een bijzonder impactvolle bedreiging - een enkele transportregel kan elke e-mail die door elke gebruiker in de organisatie wordt verzonden of ontvangen exfiltreren.

Aanvallers gebruiken deze techniek om gevoelige communicatie in de gehele organisatie te onderscheppen, informatie te verzamelen voor BEC/CEO-fraude, security-gerelateerde notificaties te monitoren (zoals alert e-mails over verdachte activiteit) en credentials te verzamelen uit password reset e-mails. Omdat transportregels admin rechten vereisen, is het ongeautoriseerd aanmaken ervan een sterke indicator van een high-privilege account compromise die onmiddellijk onderzoek vereist.

Opvolging

Voer deze stappen uit om deze detectie adequaat op te volgen:

  1. Verifieer met de beheerder die de transportregel heeft aangemaakt of dit een bewuste en geautoriseerde wijziging was. Controleer de regelnaam, naar welk extern adres er wordt geredirect en welke e-mails worden beïnvloed. Houd er rekening mee dat transportregels van toepassing zijn op de gehele organisatie.

    • Zo nee: De transportregel is niet bewust aangemaakt en is waarschijnlijk kwaadaardig:

      1. Schakel de transportregel onmiddellijk uit of verwijder deze uit Exchange Online.
      2. Reset het wachtwoord van het administrator account dat de regel heeft aangemaakt en revoke alle actieve sessies via Microsoft Entra ID.
      3. Bekijk het Unified Audit Log op andere administratieve wijzigingen door dit account. Controleer op aanvullende transportregels, mailboxregels of configuratiewijzigingen.
      4. Overweeg om Attic in te schakelen voor een volledig incident response onderzoek, aangezien een gecompromitteerd admin account mogelijk is gebruikt voor aanvullende kwaadaardige activiteiten.

    • Zo ja: De transportregel is bewust aangemaakt door een geautoriseerde beheerder:

      1. Verifieer of het aanmaken van transportregels die e-mail extern doorsturen is toegestaan binnen het beveiligingsbeleid van uw organisatie.
      2. Indien acceptabel: documenteer de zakelijke rechtvaardiging en sluit het incident af.

Meer informatie