ASmithSecurity/m365-phishing-identity-compromise-case-study

# Microsoft 365 钓鱼与身份入侵事件案例研究 ## 项目概述 本项目是一个针对疑似 Microsoft 365 钓鱼与身份入侵场景的模拟事件响应案例研究。 本项目的目的是展示 SOC 支持技能，包括事件沟通、调查文档、面向客户的摘要、升级说明、遏制规划和知识库编写。 本项目符合初级 SOC 支持专员、网络安全支持分析师和 IT 安全支持岗位的要求。 ## 场景 一位合作方报告称，某员工收到了一封钓鱼邮件，随后注意到 Microsoft 365 邮箱存在可疑行为。 报告的活动包括： - 异常登录行为 - 可疑的邮箱规则 - 可能存在的外部转发 - 丢失或被移动的邮件 - 潜在的凭据泄露 - 合作方请求提供遏制指导 调查的目标是确定这些行为是否符合身份入侵的特征，并提供明确的下一步遏制措施。 ## 展示技能 - SOC 告警分类概念 - 钓鱼调查基础 - Microsoft 365 身份入侵分析 - 邮箱规则滥用审查 - 面向合作方的事件沟通 - 内部 SOC 文档 - 升级推理 - 遏制与修复规划 - 知识库文章编写 - 事件时间线文档 - 将技术发现转化为通俗易懂的语言 ## 使用的工具与概念 - Microsoft 365 安全概念 - Entra ID / Azure AD 登录行为概念 - 邮箱规则滥用指标 - 多因素认证审查 - 会话撤销 - 密码重置程序 - SIEM 与日志分析概念 - MITRE ATT&CK 映射 - 事件响应生命周期 - SOC 文档实践 ## 仓库内容 | 文件 | 目的 | |---|---| | [`partner-facing-summary.md`](partner-facing-summary.md) | 面向客户/合作方的疑似事件及建议行动说明 | | [`internal-soc-escalation-note.md`](internal-soc-escalation-note.md) | 包含证据、影响和升级标准的内部 SOC 风格升级说明 | | [`investigation-template.md`](investigation-template.md) | 用于记录未来告警的可重用 SOC 调查模板 | | [`knowledge-base-article.md`](knowledge-base-article.md) | 用于响应 Microsoft 365 钓鱼和邮箱入侵的模拟知识库文章 | | [`incident-flow-diagram.md`](incident-flow-diagram.md) | 展示调查与遏制流程的基于文本的事件工作流图 | | [`simulated-evidence-review.md`](simulated-evidence-review.md) | 模拟的登录、邮箱规则、转发和指标审查 | | [`project-overview-and-takeaways.md`](project-overview-and-takeaways.md) | 面向雇主的项目目标、关键发现、遏制行动、MITRE 映射和经验教训摘要 | | [`screenshots/`](screenshots/) | 存放项目截图和文档预览的文件夹 | | [`notes/`](notes/) | 存放额外调查笔记的文件夹 | | [`resources/`](resources/) | 存放支持资源和参考资料的文件夹 | ## 模拟告警摘要 | 字段 | 详情 | |---|---| | 告警类型 | 疑似 Microsoft 365 账户被入侵 | | 严重性 | 高 | | 受影响资产 | 用户邮箱 / Microsoft 365 账户 | | 报告人 | 合作方 / 客户 | | 主要担忧 | 可能的凭据窃取和未经授权的邮箱访问 | ## 报告的症状 - 用户收到并与可疑邮件进行了交互 - 观察到异常登录活动 - 发现了意外的邮箱转发行为 - 发现了可疑的收件箱规则 - 用户报告邮件丢失或被移动 - 合作方请求提供关于遏制和下一步措施的指导 ## 调查工作流 1. 确认受影响的用户账户。 2. 审查钓鱼报告和用户交互时间线。 3. 审查登录活动，查找陌生的 IP 地址、设备或位置。 4. 检查邮箱规则中是否存在可疑的移动、删除、转发或隐藏行为。 5. 确定是否启用了外部转发。 6. 确认是否已启用并强制执行 MFA。 7. 确定是否应撤销活动会话。 8. 将发现记录在内部 SOC 笔记中。 9. 提供面向合作方的遏制建议。 10. 创建知识库文章，以实现可重复的响应处理。 ## 事件流程 ``` User receives phishing email | v User clicks link and enters credentials | v Unusual Microsoft 365 sign-in detected | v Suspicious mailbox rule or forwarding behavior observed | v Partner reports suspicious mailbox activity | v SOC reviews indicators and documents findings | v Containment recommendations provided | v Password reset, session revocation, mailbox rule cleanup, MFA review | v Partner receives final summary and follow-up recommendations ```

标签：子域枚举, 安全文档, 安全运营, 库, 应急响应, 微软365安全, 扫描框架, 身份安全, 钓鱼攻击分析, 防御加固