الاستجابة إلى موصل مُخترق

• ينطبق على:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.

يتم استخدام الموصلات لتمكين تدفق البريد بين Microsoft 365 وخوادم البريد الإلكتروني الموجودة لديك في بيئتك المحلية. لمزيد من المعلومات، راجع تكوين تدفق البريد باستخدام الموصلات في Exchange Online.

يعتبر الموصل الوارد بقيمة النوعOnPremises مخترقا عندما ينشئ المهاجم موصلا جديدا أو يعدل موصلا موجودا لإرسال بريد إلكتروني غير مرغوب فيه أو تصيد احتيالي.

تشرح هذه المقالة أعراض الموصل المخترق وكيفية استعادة السيطرة عليه.

أعراض موصل مخترق

يعرض الموصل المخترق خاصية واحدة أو أكثر من الخصائص التالية:

• ارتفاع مفاجئ في حجم البريد الصادر.
• عدم تطابق بين 5321.MailFrom العنوان (المعروف أيضا بعنوان MAIL FROM أو مرسل P1 أو مرسل المغلف) والعنوان 5322.From (المعروف أيضا باسم عنوان من أو مرسل P2) في البريد الإلكتروني الصادر. لمزيد من المعلومات حول هؤلاء المرسلين، راجع كيف يتحقق EOP من صحة عنوان من لمنع التصيد الاحتيالي.
• البريد الصادر المرسل من مجال لم يتم توفيره أو تسجيله.
• يتم حظر الموصل من إرسال البريد أو ترحيله.
• وجود موصل وارد لم يتم إنشاؤه بواسطة مسؤول.
• تغييرات غير مصرح بها في تكوين موصل موجود (على سبيل المثال، الاسم واسم المجال وعنوان IP).
• حساب مسؤول تم اختراقه مؤخرا. يتطلب إنشاء الموصلات أو تحريرها وصول المسؤول.

إذا رأيت هذه الأعراض أو أعراض أخرى غير عادية، يجب عليك التحقيق.

تأمين وظيفة البريد الإلكتروني واستعادتها إلى موصل يشتبه في اختراقه

قم بجميع الخطوات التالية لاستعادة التحكم في الموصل. انتقل إلى الخطوات في أقرب وقت تشك في وجود مشكلة وبأسرع وقت ممكن للتأكد من أن المهاجم لا يستأنف التحكم في الموصل. تساعدك هذه الخطوات أيضا على إزالة أي إدخالات الباب الخلفي التي ربما أضافها المهاجم إلى الموصل.

الخطوة 1: تحديد ما إذا كان قد تم اختراق موصل وارد

مراجعة حركة مرور الموصل المشبوهة الأخيرة أو الرسائل ذات الصلة

في Microsoft Defender لـ Office 365 الخطة 2، افتح مدخل Microsoft Defender في https://security.microsoft.com وانتقل إلى Explorer. أو، للانتقال مباشرة إلى صفحة المستكشف ، استخدم https://security.microsoft.com/threatexplorer.

1. في صفحة Explorer ، تحقق من تحديد علامة التبويب All email ثم قم بتكوين الخيارات التالية:

   • حدد النطاق الزمني/التاريخ.
   • حدد Connector.
   • أدخل اسم الموصل في مربع البحث.
   • حدد تحديث.

   

2. ابحث عن الارتفاعات أو الانخفاضات غير الطبيعية في نسبة استخدام الشبكة عبر البريد الإلكتروني.

   

3. أجب عن الأسئلة التالية:

   • هل يتطابق عنوان IP للمرسل مع عنوان IP المحلي لمؤسستك؟
   • هل تم إرسال عدد كبير من الرسائل الأخيرة إلى مجلد البريد الإلكتروني غير الهام ؟ تشير هذه النتيجة بوضوح إلى أنه تم استخدام موصل مخترق لإرسال البريد العشوائي.
   • هل من المعقول أن يتلقى مستلمو الرسائل البريد الإلكتروني من المرسلين في مؤسستك؟

   

في Microsoft Defender لـ Office 365 أو Exchange Online Protection، استخدم التنبيهاتوتتبع الرسائل للبحث عن أعراض اختراق الموصل:

1. افتح مدخل Defender في https://security.microsoft.com وانتقل إلى الحوادث & التنبيهات>. أو، للانتقال مباشرة إلى صفحة التنبيهات ، استخدم تنبيه نشاط الموصل المشبوه في https://security.microsoft.com/alerts.

2. في صفحة التنبيهات، استخدمنشاط موصل نهجالتصفية>> المشبوه للعثور على أي تنبيهات تتعلق بنشاط الموصل المشبوه.

3. حدد تنبيه نشاط موصل مشبوه بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار بجوار الاسم. في صفحة التفاصيل التي تفتح، حدد نشاطا ضمن قائمة النشاط، وانسخ قيم مجال الموصلوعنوان IP من التنبيه.

   

4. افتح مركز إدارة Exchange في https://admin.exchange.microsoft.com وانتقل إلىتتبع رسالةتدفق> البريد. أو، للانتقال مباشرة إلى صفحة تتبع الرسائل ، استخدم https://admin.exchange.microsoft.com/#/messagetrace.

   في صفحة تتبع الرسائل ، حدد علامة التبويب استعلامات مخصصة ، وحدد بدء تتبع، واستخدم قيم مجال الموصل وعنوان IP من الخطوة السابقة.

   لمزيد من المعلومات حول تتبع الرسائل، راجع تتبع الرسائل في مركز إدارة Exchange الحديث في Exchange Online.

   

5. في نتائج تتبع الرسائل، ابحث عن المعلومات التالية:

   • تم مؤخرا وضع علامة على عدد كبير من الرسائل على أنها FilteredAsSpam. تشير هذه النتيجة بوضوح إلى أنه تم استخدام موصل مخترق لإرسال البريد العشوائي.
   • ما إذا كان من المعقول أن يتلقى مستلمو الرسائل البريد الإلكتروني من المرسلين في مؤسستك

   

التحقق من النشاط المتعلق بالموصل والتحقق من صحته

في Exchange Online PowerShell، استبدل <StartDate> وEndDate <> بقيمك، ثم قم بتشغيل الأمر التالي للبحث عن نشاط الموصل المتعلق بالمسؤول والتحقق من صحته في سجل التدقيق. لمزيد من المعلومات، راجع استخدام برنامج نصي PowerShell للبحث في سجل التدقيق.

Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector

للحصول على معلومات مفصلة عن بناء الجملة والمعلمة، راجع Search-UnifiedAuditLog.

الخطوة 2: مراجعة التغيير (التغييرات) غير المصرح به في موصل وإعادته

افتح مركز إدارة Exchange في https://admin.exchange.microsoft.com وانتقل إلىموصلاتتدفق> البريد. أو، للانتقال مباشرة إلى صفحة الموصلات ، استخدم https://admin.exchange.microsoft.com/#/connectors.

في صفحة الموصلات ، راجع قائمة الموصلات. قم بإزالة أي موصلات غير معروفة أو إيقاف تشغيلها، وتحقق من كل موصل بحثا عن تغييرات التكوين غير المصرح بها.

الخطوة 3: إلغاء حظر الموصل لإعادة تمكين تدفق البريد

بعد استعادة التحكم في الموصل المخترق، قم بإلغاء حظر الموصل على صفحة الكيانات المقيدة في مدخل Defender. للحصول على الإرشادات، راجع إزالة الموصلات المحظورة من صفحة الكيانات المقيدة.

الخطوة 4: التحقيق في حسابات المسؤولين المحتمل اختراقها ومعالجتها

بعد تحديد حساب المسؤول المسؤول المسؤول عن نشاط تكوين الموصل غير المصرح به، تحقق من حساب المسؤول للاختراق. للحصول على الإرشادات، راجع الرد على حساب بريد إلكتروني مخترق.

معلومات إضافية

• إزالة الموصلات المحظورة
• إزالة المستخدمين المحظورين