Thông báo từ Local IT về khả năng User bị compromise. Nhận được thông báo này mình bắt đầu Investigating

Bởi vì hệ thống đã được bảo vệ bởi Entraid protection, defender for endpoint, microsoft intune.

Sau khi kiểm tra 1 loạt các Sign-in và audit logs thì thấy được User có hành vi bất thường được hệ thống đánh giá ở mức độ cao và đã remediate (đã password enforcement).

Kiểm tra thêm bên Microsoft Intune thì trạng thái device chưa được đồng bộ.

Vì user dùng entraid p1 kết hợp với entraid p2 nên có khả năng protect, detect và auto-response nên mình có thể Detect được thông qua Defender portal.

Kiểm tra các hành vi liên quan đến Suspicious IP: 168.231.77.195

Nhưng vì user là nhân viên bình thường nên không có Defender for office P1 nên không thể detect được từ defender portal. Mình có chức năng explore của exchange online protection để tìm mail thì phát hiện hầu hết các user nhận được mail này đều được quarantine chỉ riêng user này là phải cần quanrantine bằng ZAP.

Nói thêm về ZAP (Zero-hour Auto Purge): là một cơ chế bảo vệ sau khi gửi (post-delivery protection). Nó hoạt động liên tục trên mailbox để rà quét và loại bỏ các IOCs mà Microsoft xác định là độc hại sau khi mail vượt qua các lớp filter của Exchange online protection và gửi vào mailbox.

Trong trường hợp này, payload độc hại trong tệp đính kèm ban đầu chưa bị nhận diện là nguy hiểm. Microsoft chỉ đánh giá là độc hại sau đó, có thể do người dùng đã mở tệp và thực hiện một số thao tác mà Microsoft đã đánh giá và phát hiện.

Screenshot của Attachment