COME PUO’ AIUTARTI NETWRIX AUDITOR?

Se utilizzi Netwrix Auditor per Exchange, puoi verificare facilmente la presenza di esportazioni sospette di dati delle mailbox e altre attività insolite sui tuoi server Exchange, che possono essere un segnale che sono stati compromessi.

 

Passaggio 1: controlla se i dati della casella di posta sono stati esportati.

Esegui una ricerca interattiva utilizzando i seguenti filtri con la funzionalità Interactive Search:

Filtro “Who” uguale a “NT AUTHORITY \ SYSTEM”

Filtro “Object Type” uguale a “Mailbox Export Request”

Qualsiasi richiesta di esportazione della casella di posta da parte di NT AUTHORITY \ SYSTEM è sospetta e vale la pena indagare. Si spera che ciò che vedi non assomigli allo screenshot qui sotto, che mostra che sono state esportate diverse mailbox importanti, inclusa quella del CEO.

 

Passaggio 2: verifica la presenza di altre attività sospette sul tuo server Exchange.

Gli attacchi HAFNIUM non si limitano al furto dei dati delle cassette postali: una volta che gli aggressori sono entrati, possono fare tutto ciò che vogliono sul tuo server Exchange, inclusa la compromissione di altre credenziali per spostarsi lateralmente nel tuo ambiente. Pertanto, è una buona idea rivedere tutte le attività dell’account SYSTEM a partire da gennaio 2021.

Esegui semplicemente una nuova ricerca interattiva con i seguenti filtri:

  • Filtro “Who” uguale a “NT AUTHORITY \ SYSTEM”
  • Filtro “Data Source” uguale a “Exchange”
  • Filtro “When” impostato su “Date Range” da “January 1” a “Today”

Cerca qualsiasi attività normale che possa indicare una compromissione o un sabotaggio, comprese le modifiche alle autorizzazioni e deleghe delle cassette postali, modifiche ai gruppi di ruoli, eventi di accesso alle mailbox dei non proprietari, eliminazioni delle cassette postali o modifiche al database Exchange. Indaga prontamente su eventuali eventi sospetti.

 

Cos’altro puoi fare per proteggere la tua organizzazione?

È una buona idea impostare avvisi sulle richieste di esportazione delle cassette postali e altre attività sospette di Exchange Server. Ricorda, anche dopo aver installato gli ultimi aggiornamenti di Exchange Server, gli aggressori possono comunque utilizzare le backdoor create prima dell’aggiornamento.

Ogni volta che esegui una ricerca in Netwrix Auditor, puoi creare un avviso basato su quella ricerca in soli due clic:

  1. Apri il menu “Tools”.
  2. Fare clic su “Create Alert”.

 

Raccomandazioni finali

Tieni presente che la minaccia è ancora in evoluzione: ulteriori avversari stanno attivamente abusando di server privi di patch per rubare dati e propagare ransomware. Pertanto, è findamentale che tu stia in guardia da qualsiasi attività sospetta intorno al tuo server Exchange.