justinjudefernandes/Email-Security-Phishing-Analysis-in-Microsoft-Defender
GitHub: justinjudefernandes/Email-Security-Phishing-Analysis-in-Microsoft-Defender
该项目演示了在 Microsoft Defender for Office 365 中配置邮件安全策略并执行完整网络钓鱼调查与事件响应的端到端实践。
Stars: 0 | Forks: 0
# Microsoft Defender 中的电子邮件安全与网络钓鱼分析
## 🎯 目标:
“Microsoft Defender 中的电子邮件安全与网络钓鱼分析”项目重点是在 Microsoft Defender for Office 365 中配置电子邮件安全控制机制,验证其抵御网络钓鱼威胁的有效性,并执行端到端的网络钓鱼调查。通过这个项目,我通过模拟真实世界的网络钓鱼攻击场景,巩固了我在电子邮件安全、威胁分析、OSINT、事件响应和 Microsoft Defender 技术方面的技能。
## 📊 项目概述:
本项目侧重于在 Microsoft Defender for Office 365 中实施 Safe Links 和 Safe Attachments 策略,验证电子邮件保护控制机制,调查网络钓鱼电子邮件,分析电子邮件头,对入侵指标 进行 OSINT 分析,以及记录事件响应操作。
### 🧰 使用工具:
- Microsoft Defender for Office 365
- Microsoft Defender XDR
- Microsoft 365 Explorer
- Safe Links
- Safe Attachments
- Notepad++
- VirusTotal
- AbuseIPDB
- Proton Mail
### 🛡️ 培养的技能:
- 电子邮件安全管理
- 网络钓鱼调查
- 电子邮件头分析
- IOC 识别与分析
- 威胁情报验证
- 事件响应
- Microsoft Defender for Office 365
### 📁 关键交付物:
- Safe Links 策略配置
- Safe Attachments 策略配置
- 电子邮件安全策略测试
- 电子邮件头分析
- 使用 OSINT 丰富 IOC 信息
- 网络钓鱼调查报告
- 事件响应文档
- 安全建议和补救措施
## 🔍 执行步骤:
### Safe Links 策略配置:
- 在 Microsoft Defender 中配置了 Safe Links 策略,以保护用户免受通过电子邮件传递的恶意 URL 和附件的侵害。
- 导航至:Microsoft Defender → Email & collaboration → Policies & rules → Threat policies → Safe Links
- 创建并部署了名为:“MyDFIR-Justin-SafeLinksforInvestigation”的策略。
- 启用了 URL 重写和实时链接扫描,以确保在点击时提供防范网络钓鱼和恶意重定向的保护。
📌 有关策略配置和摘要详细信息,请参阅以下屏幕截图。
### Safe Attachments 策略配置:
- 实施了 Safe Attachments 策略,为电子邮件附件提供基于引爆 的恶意软件保护。
- 导航至:Microsoft Defender → Email & collaboration → Policies & rules → Threat policies → Safe Attachments
- 创建了名为:“MyDFIR-Justin-SafeAttachments&Links”的策略。
- 配置了附件扫描,以便在送达前检测并阻止潜在的恶意 payload。
📌 有关策略摘要和配置设置,请参阅以下屏幕截图。
### 策略验证与测试:
- 执行了受控测试,以验证 Safe Links 和 Safe Attachments 策略的执行情况。
- 从新创建的外部 ProtonMail 帐户发送了一封测试性质的网络钓鱼电子邮件:“strangeaccount88@proton[.]me”
- 通过在 Defender 中检查邮件验证了策略行为。
- 确认 Safe Links 和 Safe Attachments 保护已主动应用于邮件内容。
📌 以下屏幕截图展示了 Microsoft Defender 内部的策略执行和检查结果。
### 电子邮件调查与威胁分析:
- 使用 Microsoft Defender 对可疑电子邮件警报发起了调查。
- 导航至:Email & collaboration → Explorer
- 提取并分析了电子邮件头,以进行取证检查。
- 使用 Notepad++ 解析了关键头字段以进行结构化审查,包括:
- Received chain (邮件路由路径)
- Authentication-Results (SPF/DKIM/DMARC 验证)
- From address (发件人地址)
- Message-ID
- Return-Path
- X-Forefront-Antispam-Report
📌 以下是在电子邮件工作流分析期间捕获的屏幕截图:
#### 威胁情报关联 (OSINT):
- 使用 VirusTotal 调查了嵌入的 URL。
- 该 URL 被 5 家安全厂商标记为恶意。
- 对源 IP 地址:79.135.106.97 执行了 OSINT 分析
- 该 IP 有之前的恶意报告记录。(最后出现于约 5 个月前)
- 与同网络钓鱼基础设施一致的可疑活动模式相关联。
📌 以下是执行 OSINT 的屏幕截图:
### 事件响应操作:
- 基于确凿的 OSINT 调查结果和 Defender 遥测数据:
- 确认电子邮件包含恶意 URL 和可疑的源基础设施。
- 通过从用户邮箱中删除电子邮件来执行补救措施。
- 阻止了用户与网络钓鱼内容的进一步交互。
📌 截图如下:
## 🚨 SOC 网络钓鱼调查报告:
### 事件概述:
- 时间戳:2026年6月18日 – 21:04 (UTC +04:00)
- 收件人:bob@corp88[.]onmicrosoft[.]com
- 主题:Salary Revision
- 发件人电子邮件:strangeaccount88@proton[.]me
- 发件人 IP 地址:79.135.106.97
- 附件:Salary Revision[.]docx
- 嵌入的 URL:hxxps[://]shareholds[.]com/nam/…
一封冒充 HR 相关薪资更新的网络钓鱼电子邮件被送达至目标邮箱。该邮件包含一个恶意文档附件和一个旨在促使用户交互的凭证收集 URL。
### 入侵指标:
- 恶意 URL:被 VirusTotal 标记为多家安全厂商认定的恶意网址。
- 发件人 IP (79.135.106.97):在 AbuseIPDB 上被报告为恶意。
- 网络钓鱼基础设施:外部 ProtonMail 发件人用于传递 payload。
### 调查摘要:
- 2026年6月18日 21:04 UTC+04:00,一封标题为“Salary Revision”的网络钓鱼电子邮件被送达至组织邮箱。该电子邮件利用了与薪资单更新相关的社会工程学诱饵,并包含:
- 一个 Microsoft Word 附件。
- 一个旨在将用户重定向到外部资源的恶意 URL。
- OSINT 验证确认了与该 URL 和发件人基础设施相关的多个恶意指标。VirusTotal 的检测将该 URL 归类为恶意,而 AbuseIPDB 的报告确认了与源 IP 地址相关的先前恶意活动。
- 需要进一步调查以确定:
- 是否有其他用户成为目标。
- URL 或附件是否被访问过。
- 是否发生了凭证窃取、恶意软件执行或未经授权的访问。
### 评估 (5W1H 分析):
- Who (谁):
- 发件人:strangeaccount88@proton.me
- 源 IP:79.135.106.97(通过 AbuseIPDB 确认为恶意信誉)
- What (什么):
- 包含以下内容的网络钓鱼电子邮件:
- 恶意 URL
- 可疑附件
- When (何时):
- 2026年6月18日 – 21:04 (UTC +04:00)
- Where (何地):
- 收件人:bob@corp88.onmicrosoft.com
- 主题:Salary Revision
- Why (为什么):
- 可能的目的:凭证收集、恶意软件传递或对内部资源的未经授权访问。
- How (如何):
- 电子邮件成功绕过了电子邮件安全控制并被送达至用户邮箱;绕过途径正在调查中。
### 🛑 响应操作:
- 从所有受影响的邮箱中删除了网络钓鱼电子邮件。
- 阻止了恶意指标:
- 发件人电子邮件
- 发件人 IP 地址
- URL 域名和路径
- 关联的附件指标
- 跨以下内容进行了租户范围的搜索:
- 发件人地址
- IP 地址
- URL
- 附件名称和相关工件
- 调查了用户交互情况,涉及:
- URL 访问
- 凭证提交尝试
- 附件执行或下载
- 部署了针对“Salary Revision”网络钓鱼尝试的定向用户感知通知。
### 💡 建议:
- 使用以下方法增强电子邮件安全态势:
- Microsoft Defender for Office 365 Safe Links
- Safe Attachments 引爆策略
- 防网络钓鱼冒充保护
- 加强电子邮件身份验证执行:
- SPF、DKIM 和 DMARC 对齐及严格的策略执行。
- 改进针对以 HR/薪资为主题的网络钓鱼活动的检测调整。
- 启用对异常身份验证和凭证滥用模式的持续监控。
- 进行定期的网络钓鱼模拟演练以增强用户意识。
- 对电子邮件安全控制执行差距分析,以识别绕过条件。
### 🧠 经验教训:
- 当使用看似可信的 HR 或薪资单诱饵时,基于电子邮件的威胁可以绕过初始过滤器。
- OSINT 验证 (VirusTotal、AbuseIPDB) 对于快速确认恶意指标至关重要。
- 邮件头分析提供了对电子邮件真实性和路由的关键可见性。
- 尽早防止用户交互对于限制凭证窃取和 payload 执行至关重要。
- 定期调整 Safe Links 和 Safe Attachments 策略可改善检测覆盖率。
- 租户范围的主动搜索有助于评估影响范围并识别其他受影响的用户。
### Safe Attachments 策略配置:
- 实施了 Safe Attachments 策略,为电子邮件附件提供基于引爆 的恶意软件保护。
- 导航至:Microsoft Defender → Email & collaboration → Policies & rules → Threat policies → Safe Attachments
- 创建了名为:“MyDFIR-Justin-SafeAttachments&Links”的策略。
- 配置了附件扫描,以便在送达前检测并阻止潜在的恶意 payload。
📌 有关策略摘要和配置设置,请参阅以下屏幕截图。
### 策略验证与测试:
- 执行了受控测试,以验证 Safe Links 和 Safe Attachments 策略的执行情况。
- 从新创建的外部 ProtonMail 帐户发送了一封测试性质的网络钓鱼电子邮件:“strangeaccount88@proton[.]me”
- 通过在 Defender 中检查邮件验证了策略行为。
- 确认 Safe Links 和 Safe Attachments 保护已主动应用于邮件内容。
📌 以下屏幕截图展示了 Microsoft Defender 内部的策略执行和检查结果。
### 电子邮件调查与威胁分析:
- 使用 Microsoft Defender 对可疑电子邮件警报发起了调查。
- 导航至:Email & collaboration → Explorer
- 提取并分析了电子邮件头,以进行取证检查。
- 使用 Notepad++ 解析了关键头字段以进行结构化审查,包括:
- Received chain (邮件路由路径)
- Authentication-Results (SPF/DKIM/DMARC 验证)
- From address (发件人地址)
- Message-ID
- Return-Path
- X-Forefront-Antispam-Report
📌 以下是在电子邮件工作流分析期间捕获的屏幕截图:
#### 威胁情报关联 (OSINT):
- 使用 VirusTotal 调查了嵌入的 URL。
- 该 URL 被 5 家安全厂商标记为恶意。
- 对源 IP 地址:79.135.106.97 执行了 OSINT 分析
- 该 IP 有之前的恶意报告记录。(最后出现于约 5 个月前)
- 与同网络钓鱼基础设施一致的可疑活动模式相关联。
📌 以下是执行 OSINT 的屏幕截图:
### 事件响应操作:
- 基于确凿的 OSINT 调查结果和 Defender 遥测数据:
- 确认电子邮件包含恶意 URL 和可疑的源基础设施。
- 通过从用户邮箱中删除电子邮件来执行补救措施。
- 阻止了用户与网络钓鱼内容的进一步交互。
📌 截图如下:
## 🚨 SOC 网络钓鱼调查报告:
### 事件概述:
- 时间戳:2026年6月18日 – 21:04 (UTC +04:00)
- 收件人:bob@corp88[.]onmicrosoft[.]com
- 主题:Salary Revision
- 发件人电子邮件:strangeaccount88@proton[.]me
- 发件人 IP 地址:79.135.106.97
- 附件:Salary Revision[.]docx
- 嵌入的 URL:hxxps[://]shareholds[.]com/nam/…
一封冒充 HR 相关薪资更新的网络钓鱼电子邮件被送达至目标邮箱。该邮件包含一个恶意文档附件和一个旨在促使用户交互的凭证收集 URL。
### 入侵指标:
- 恶意 URL:被 VirusTotal 标记为多家安全厂商认定的恶意网址。
- 发件人 IP (79.135.106.97):在 AbuseIPDB 上被报告为恶意。
- 网络钓鱼基础设施:外部 ProtonMail 发件人用于传递 payload。
### 调查摘要:
- 2026年6月18日 21:04 UTC+04:00,一封标题为“Salary Revision”的网络钓鱼电子邮件被送达至组织邮箱。该电子邮件利用了与薪资单更新相关的社会工程学诱饵,并包含:
- 一个 Microsoft Word 附件。
- 一个旨在将用户重定向到外部资源的恶意 URL。
- OSINT 验证确认了与该 URL 和发件人基础设施相关的多个恶意指标。VirusTotal 的检测将该 URL 归类为恶意,而 AbuseIPDB 的报告确认了与源 IP 地址相关的先前恶意活动。
- 需要进一步调查以确定:
- 是否有其他用户成为目标。
- URL 或附件是否被访问过。
- 是否发生了凭证窃取、恶意软件执行或未经授权的访问。
### 评估 (5W1H 分析):
- Who (谁):
- 发件人:strangeaccount88@proton.me
- 源 IP:79.135.106.97(通过 AbuseIPDB 确认为恶意信誉)
- What (什么):
- 包含以下内容的网络钓鱼电子邮件:
- 恶意 URL
- 可疑附件
- When (何时):
- 2026年6月18日 – 21:04 (UTC +04:00)
- Where (何地):
- 收件人:bob@corp88.onmicrosoft.com
- 主题:Salary Revision
- Why (为什么):
- 可能的目的:凭证收集、恶意软件传递或对内部资源的未经授权访问。
- How (如何):
- 电子邮件成功绕过了电子邮件安全控制并被送达至用户邮箱;绕过途径正在调查中。
### 🛑 响应操作:
- 从所有受影响的邮箱中删除了网络钓鱼电子邮件。
- 阻止了恶意指标:
- 发件人电子邮件
- 发件人 IP 地址
- URL 域名和路径
- 关联的附件指标
- 跨以下内容进行了租户范围的搜索:
- 发件人地址
- IP 地址
- URL
- 附件名称和相关工件
- 调查了用户交互情况,涉及:
- URL 访问
- 凭证提交尝试
- 附件执行或下载
- 部署了针对“Salary Revision”网络钓鱼尝试的定向用户感知通知。
### 💡 建议:
- 使用以下方法增强电子邮件安全态势:
- Microsoft Defender for Office 365 Safe Links
- Safe Attachments 引爆策略
- 防网络钓鱼冒充保护
- 加强电子邮件身份验证执行:
- SPF、DKIM 和 DMARC 对齐及严格的策略执行。
- 改进针对以 HR/薪资为主题的网络钓鱼活动的检测调整。
- 启用对异常身份验证和凭证滥用模式的持续监控。
- 进行定期的网络钓鱼模拟演练以增强用户意识。
- 对电子邮件安全控制执行差距分析,以识别绕过条件。
### 🧠 经验教训:
- 当使用看似可信的 HR 或薪资单诱饵时,基于电子邮件的威胁可以绕过初始过滤器。
- OSINT 验证 (VirusTotal、AbuseIPDB) 对于快速确认恶意指标至关重要。
- 邮件头分析提供了对电子邮件真实性和路由的关键可见性。
- 尽早防止用户交互对于限制凭证窃取和 payload 执行至关重要。
- 定期调整 Safe Links 和 Safe Attachments 策略可改善检测覆盖率。
- 租户范围的主动搜索有助于评估影响范围并识别其他受影响的用户。标签:Microsoft Defender, 威胁情报, 安全运营, 库, 应急响应, 开发者工具, 扫描框架, 电子邮件安全, 钓鱼攻击分析