blog.icewolf.ch

Let's talk about IT!
posts - 1870, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Sunday, August 22, 2021

Defender for Office 365 Advanced Hunting

Hallo zusammen,

Kürzlich wollte ich herausfinden wie oft ein bestimmte Dateiendung verwendet wird, bevor ich die Dateiendung in der Anti MalwareFilterPolicy sperre. Mit dem Threat Explorer konnte man dies jedoch nicht herausfinden.

Ich bin dann aber mit der erweiterten suche (advanced Hunting) erfolgreich gewesen. Hier reichen die "Exchange Administrator" Berechtigungen aus https://security.microsoft.com/advanced-hunting

Ein paar einfachere KQL Querys zum Anfangen

EmailAttachmentInfo | where FileName like '.docx' | summarize count()

oder
EmailAttachmentInfo | summarize count() by FileType
EmailAttachmentInfo | summarize count() by FileType | order by count_ | render barchart 

Es gibt aber auch komplexere Abfragen

let OfficeMacroFiles = dynamic([".docm",".dotm",".ppsm",".pptm",".potm",".xlam",".xlsm",".xltm",".xlw"]);
EmailAttachmentInfo | where FileName has_any (OfficeMacroFiles) | summarize count() by FileType | order by count_
oder
EmailAttachmentInfo
| summarize count () by bin(Timestamp, 1d), FileType
| render linechart 

Oder die Zustellung von Mails

EmailEvents
| where EmailDirection == "Inbound"
| summarize count () by bin(Timestamp, 1d), DeliveryAction
| render linechart 

Weitere Beispiele für Querys gibt es hier https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries

Liebe Grüsse
Andres Bohren

posted @ Monday, August 23, 2021 9:55 PM | Filed Under [ Exchange Microsoft365 ]

GitHub neues Format vom PersönlichenAccessToken

Hallo zusammen,

In GitHub wurden im Frühling das Authentication Token Format geändert https://github.blog/changelog/2021-03-04-authentication-token-format-updates/ 

Als ich mich kürzlich mit Visual Studio Code bei Github angemeldet habe, wurde mir folgendes Mail zugestellt.

Um einen Token im neuen Format zu erstellen geht man folgendermassen vor.

Anschliessend muss man sich nochmals anmelden

Nun kann man bestimmen, wie lange der Access Token gültig sein soll. Ich habe Custom ausgewählt und das Datum auf das Ende des Jahres festgelegt.

Der Personal Access Token wird nur einmal angezeigt. Stellt also sicher, dass ihr den Kopiert und an einem sicheren Ort wie einem Passwort Manager aufbewahrt.

Klonen vom Repository geht wie gewohnt

git clone <repository.git>
git clone https://github.com/BohrenAn/GitHub_PowerShellScripts.git

Anschliessend muss man dem Repo den Personal Access Token zuweisen

git remote set-url origin https://<Benutzername>:<PersonalAccessToken>@<gitrepo.git>

Grüsse
Andres Bohren

posted @ Monday, August 23, 2021 8:05 AM | Filed Under [ PowerShell ]

Exchange Online Plus-Adressierung (Check Script)

Hallo zusammen,

Vor etwa 10 Tagen wurde die Meldung zur Plus Adressierung in Exchange Online aktualisiert.

Ich habe das Plus Addressing bereits im Frühling aktiviert als es angekündigt wurde. Damals hat das aber nur für Cloud Only Accounts funktioniert und nicht für Accounts, welche mit AAD Connect synchronisiert wurden. Das hat sich mittlerweile geändert.

Set-OrganizationConfig -AllowPlusAddressInRecipients $true
Get-OrganizationConfig | fl AllowPlusAddressInRecipients

Ich habe mal so eine Postfachregel für Plus Adressing angelegt

m.muster@icewolf.ch

Das Plus Adressing ist, wenn nach dem LocalPart (links vom @ Zeichen und in diesem Fall m.muster) ein "+" Zeichen eingefügt wird und ein weiterer Tag verwendet wird.

m.muster+Newsletter@icewolf.ch

Ich habe nun von meinem Google Account aus eine Mail an obenstehende Plus Emailadresse gesendet und siehe da, das Mail wurde mittels der Regel direkt in den Ordner "Newsletter" verschoben.

Nun sollte man also prüfen, ob nicht bereits Emailadressen existieren, welche ein "+" aufweisen. Dazu müssen jedoch nur die Adressen mit dem SMTP: Prefix geprüft werden.

Zum Test habe ich da einer Adresse mal so eine SMTP Emailadresse hinzugefügt und danach die AAD Synchronisation abgewartet.

Ich habe ein kleines Script geschrieben, welches bei der Überprüfung hilft und das auf meinem GitHub Account veröffentlicht.

https://github.com/BohrenAn/GitHub_PowerShellScripts/blob/main/ExchangeOnline/CheckPlusEmailAddresses.ps1

Liebe Grüsse
Andres Bohren

posted @ Sunday, August 22, 2021 11:47 PM | Filed Under [ Exchange ]

Powered by:
Powered By Subtext Powered By ASP.NET