الاستجابة إلى حساب بريد إلكتروني تم اختراقه

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender لـ Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي Defender لـ Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على من يمكنه التسجيل وشروط الإصدار التجريبي في Try Microsoft Defender لـ Office 365.

تتحكم بيانات اعتماد المستخدم في الوصول إلى حسابات Microsoft Entra ID، والتي تعتبر أساسية لتسوية التحقيقات. بمجرد حصول المهاجم على حق الوصول إلى الحساب، يمكنه الوصول إلى علبة بريد Microsoft 365 أو مجلدات SharePoint أو الملفات المقترنة في OneDrive الخاص بالمستخدم. تركز معالجة المستخدم المخترق والتحقيق فيه على الحساب المتأثر والخدمات المرتبطة بالحساب.

غالبا ما يستخدم المهاجمون علبة بريد مستخدم تم اختراقها لإرسالها إلى المستلمين داخل المؤسسة وخارجها. اختراق البريد الإلكتروني للأعمال (BEC) هو نوع غزير من الهجوم ويتم تناوله في هذه المقالة.

تتناول هذه المقالة أعراض اختراق الحساب (على وجه التحديد، علبة البريد) وكيفية استعادة التحكم في الحساب المخترق.

هام

يتيح لك الزر التالي اختبار نشاط الحساب المشبوه وتحديده. استخدم هذا الاختبار مع الإرشادات الواردة في هذه المقالة للحصول على نظرة ثاقبة على الحسابات التي يحتمل اختراقها وتحديد إجراءات المعالجة الضرورية.

تشغيل الاختبارات: الحسابات المخترقة

الأعراض الشائعة لحساب البريد الإلكتروني Microsoft 365 المخترق

قد يشير نشاط واحد أو أكثر من الأنشطة التالية إلى تعرض حساب مقترن بعلبة بريد Microsoft 365 للخطر:

• تم حظر علبة البريد من إرسال البريد الإلكتروني.
• نشاط مريب. على سبيل المثال، البريد الإلكتروني المفقود أو المحذوف.
• قواعد علبة الوارد المشبوهة. على سبيل المثال:
  • القواعد التي تقوم تلقائيا بإعادة توجيه البريد الإلكتروني إلى عناوين غير معروفة.
  • القواعد التي تنقل الرسائل إلى مجلدات الملاحظات أو البريد الإلكتروني غير الهام أو اشتراكات RSS .
• تحتوي مجلدات العناصر المرسلة أو العناصر المحذوفة على رسائل مشبوهة. على سبيل المثال، "أنا عالق في لندن، أرسل المال".
• تغييرات على جهة اتصال المستخدم في قائمة العناوين العمومية (GAL). على سبيل المثال، الاسم أو رقم الهاتف أو الرمز البريدي.
• التغييرات المتكررة في كلمة المرور أو تأمين الحساب غير المبرر.
• تمت إضافة إعادة توجيه البريد الإلكتروني الخارجي مؤخرا.
• توقيعات رسائل البريد الإلكتروني المشبوهة. على سبيل المثال، توقيع مصرفي مزيف أو توقيع دواء موصوف طبيا.

إذا كانت علبة البريد تعرض أيا من هذه الأعراض، فاستخدم الخطوات الواردة في القسم التالي لاستعادة التحكم في الحساب.

تأمين وظيفة البريد الإلكتروني واستعادتها إلى حساب تم اختراقه في Microsoft 365 Mail Enabled

بعد أن يحصل المهاجم على حق الوصول إلى حساب، تحتاج إلى حظر الوصول إلى الحساب في أقرب وقت ممكن.

تتناول الخطوات التالية الطرق المعروفة التي قد تسمح للمهاجم بالحفاظ على استمرار الحساب واستعادة التحكم فيه لاحقا. تأكد من معالجة كل خطوة.

الخطوة 1: تعطيل حساب المستخدم المتأثر

• يفضل تعطيل الحساب المخترق ويوصى به بشدة حتى تكمل التحقيق.

  1. إذا لزم الأمر، قم بتثبيت الوحدة النمطية Microsoft Graph PowerShell في PowerShell عن طريق تشغيل الأمر التالي:

     Install-Module -Name Microsoft.Graph -Scope CurrentUser
     

  2. اتصل ب Microsoft Graph عن طريق تشغيل الأمر التالي:

     Connect-MgGraph -Scopes "User.ReadWrite.All"
     

  3. لتخزين تفاصيل حساب المستخدم في المتغير المسمى $user، استبدل <UPN> باسم حساب المستخدم (اسم المستخدم الأساسي أو UPN)، ثم قم بتشغيل الأمر التالي:

     $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
     

     على سبيل المثال:

     $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
     

  4. قم بتشغيل الأمر التالي لتعطيل حساب المستخدم:

     Update-MgUser -UserId $user.Id -AccountEnabled $false
     

  للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Update-MgUser

• إذا لم تتمكن من تعطيل الحساب، فإن أفضل خطوة تالية هي إعادة تعيين كلمة المرور. للحصول على الإرشادات، راجع إعادة تعيين كلمات المرور في Microsoft 365 للأعمال.

  • تأكد من استخدام كلمة مرور قوية: أحرف كبيرة وأحرف صغيرة ورقم واحد على الأقل وحرف خاص واحد على الأقل.
  • لا ترسل كلمة المرور الجديدة إلى المستخدم عبر البريد الإلكتروني، لأنه يمكن للمهاجم الوصول إلى علبة البريد في هذه المرحلة.
  • استخدم كلمة مرور فريدة لا يمكن للمهاجم تخمينها. حتى إذا كان متطلبات محفوظات كلمة المرور تسمح بذلك، فلا تعيد استخدام أي من كلمات المرور الخمس الأخيرة.
  • إذا تمت مزامنة الحساب من Active Directory، قم بإعادة تعيين كلمة المرور في Active Directory وإعادة تعيينها مرتين للتخفيف من مخاطر هجمات تمرير التجزئة . للحصول على الإرشادات، راجع Set-ADAccountPassword.
  • إذا تم توحيد هوية المستخدم مع Microsoft 365، يجب تغيير كلمة مرور الحساب في البيئة المحلية ثم إعلام المسؤول بالاختراق.
  • تأكد من تحديث كلمات مرور التطبيق. لا يتم إبطال كلمات مرور التطبيقات تلقائيا عند إعادة تعيين كلمة المرور. يجب على المستخدم حذف كلمات مرور التطبيق الموجودة وإنشاء كلمات مرور جديدة. لمزيد من المعلومات، راجع إدارة كلمات مرور التطبيق للتحقق على خطوتين.

• نوصي بشدة بتمكين وفرض المصادقة متعددة العوامل (MFA) للحساب. تحمي المصادقة متعددة العوامل (MFA) بشكل فعال من اختراق الحساب وهي ضرورية للحسابات ذات امتيازات المسؤول.

  لمزيد من المعلومات، راجع المقالات التالية:

  • إعداد المصادقة متعددة العوامل
  • طلب المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي للمسؤولين

الخطوة 2: إبطال وصول المستخدم

تبطل هذه الخطوة على الفور أي وصول نشط باستخدام بيانات الاعتماد المسروقة، وتمنع المهاجم من الوصول إلى بيانات أكثر حساسية أو القيام بإجراءات غير مصرح بها على الحساب المخترق.

1. قم بتشغيل الأمر التالي في نافذة PowerShell غير مقيدة (نافذة PowerShell التي تفتحها عن طريق تحديد تشغيل كمسؤول):

   Set-ExecutionPolicy RemoteSigned
   

2. إذا لزم الأمر، قم بتشغيل الأوامر التالية لتثبيت الوحدات النمطية المطلوبة ل Microsoft Graph PowerShell:

   Install-Module Microsoft.Graph.Authentication
   
   Install-Module Microsoft.Graph.Users.Actions
   

3. اتصل ب Microsoft Graph عن طريق تشغيل الأمر التالي:

   Connect-MgGraph -Scopes User.RevokeSessions.All
   

4. استبدل <UPN> بحساب المستخدم (اسم المستخدم الأساسي أو UPN)، ثم قم بتشغيل الأمر التالي:

   Revoke-MgUserSignInSession -UserId <UPN>
   

   على سبيل المثال:

   Revoke-MgUserSignInSession -UserId jason@contoso.onmicrosoft.com
   

لمزيد من المعلومات، راجع إبطال وصول المستخدم في حالة الطوارئ في Microsoft Entra ID.

الخطوة 3: مراجعة الأجهزة المسجلة بمصادقة متعددة العوامل (MFA) للمستخدم المتأثر

تحديد أي أجهزة مشبوهة تمت إضافتها بواسطة المهاجم وإزالتها. تأكد أيضا من إزالة أي أساليب MFA غير معترف بها لتأمين حساب المستخدم.

للحصول على الإرشادات، راجع إزالة أساليب المصادقة متعددة العوامل

الخطوة 4: مراجعة قائمة التطبيقات بموافقة المستخدم

قم بإزالة وإبطال أي تطبيقات لا ينبغي السماح بها.

للحصول على الإرشادات، راجع مراجعة التطبيق.

الخطوة 5: مراجعة الأدوار الإدارية المعينة للمستخدم

قم بإزالة أي أدوار لا ينبغي السماح بها.

لمزيد من المعلومات، راجع المقالات التالية:

• سرد تعيينات دور Azure باستخدام مدخل Microsoft Azure
• سرد تعيينات دور Microsoft Entra
• الأذونات في مدخل Microsoft Purview
• أذونات Microsoft Defender لـ Office 365 في مدخل Microsoft Defender

الخطوة 6: مراجعة معادي توجيه البريد

قم بإزالة أي إعادة توجيه لعلبة البريد المشبوهة التي أضافها المهاجم.

1. اتصل ب Exchange Online PowerShell.

2. لمعرفة ما إذا كان قد تم تكوين إعادة توجيه علبة البريد (المعروفة أيضا بإعادة توجيه SMTP) على علبة البريد، استبدل <الهوية> باسم علبة البريد أو عنوان البريد الإلكتروني أو اسم حسابها، ثم قم بتشغيل الأمر التالي:

   Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
   

   على سبيل المثال:

   Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
   

   لاحظ قيم الخصائص التالية:

   • ForwardingAddress: تعني القيمة غير المائلة أنه تتم إعادة توجيه البريد الإلكتروني إلى المستلم الداخلي المحدد.
   • إعادة التوجيهSmtpAddress: تعني القيمة غير الأساسية أنه تتم إعادة توجيه البريد الإلكتروني إلى المستلم الخارجي المحدد. إذا تم تكوين كل من ForwardingAddress و ForwardingSmtpAddress ، تتم إعادة توجيه البريد الإلكتروني فقط إلى المستلم الداخلي إعادة التوجيهAddress .
   • DeliverToMailboxAndForward: يتحكم في كيفية تسليم الرسائل وإعادة توجيهها إلى المستلمين المحددين بواسطة ForwardingAddress أو ForwardingSmtpAddress:
     • صحيح: يتم تسليم الرسائل إلى علبة البريد هذه وإعادة توجيهها إلى المستلم المحدد.
     • خطأ: تتم إعادة توجيه الرسائل إلى المستلم المحدد. لا يتم تسليم الرسائل إلى علبة البريد هذه.

3. لمعرفة ما إذا كانت أي قواعد علبة وارد تقوم بإعادة توجيه البريد الإلكتروني من علبة البريد، استبدل <الهوية> باسم علبة البريد أو عنوان البريد الإلكتروني أو اسم الحساب، ثم قم بتشغيل الأمر التالي:

   Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   على سبيل المثال:

   Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   لاحظ قيم الخصائص التالية:

   • ممكن: سواء تم تمكين القاعدة (صواب) أو تعطيلها (خطأ).

   • RedirectTo: تعني القيمة nonblank أنه تتم إعادة توجيه البريد الإلكتروني إلى المستلمين المحددين. لا يتم تسليم الرسائل إلى علبة البريد هذه.

   • ForwardTo: تعني القيمة nonblank أنه تتم إعادة توجيه البريد الإلكتروني إلى المستلمين المحددين.

   • ForwardAsAttachmentTo: تعني القيمة غير الأساسية أنه تتم إعادة توجيه البريد الإلكتروني إلى المستلمين المحددين كمرفق بريد إلكتروني.

   • الهوية: القيمة الفريدة عالميا للقاعدة. للاطلاع على التفاصيل الكاملة للقاعدة، استبدل <Identity> بقيمة Identity، ثم قم بتشغيل الأمر التالي:

     Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
     

     على سبيل المثال:

     Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
     

لمزيد من المعلومات، راجع تكوين إعادة توجيه البريد الإلكتروني الخارجي والتحكم فيه في Microsoft 365.

إجراء تحقيق

عندما يبلغ المستخدم عن أعراض غير عادية، من الضروري إجراء تحقيق شامل. يوفر مركز مسؤولي Microsoft Entra ومدخل Microsoft Defender العديد من الأدوات للمساعدة في فحص النشاط المشبوه على حسابات المستخدمين. تأكد من مراجعة سجلات التدقيق من بداية النشاط المشبوه حتى تكمل خطوات المعالجة.

• Microsoft Entra سجلات تسجيل الدخول وتقارير المخاطر الأخرى في مركز مسؤولي Microsoft Entra: فحص القيم الموجودة في هذه الأعمدة:

  • عنوان IP
  • مواقع تسجيل الدخول
  • أوقات تسجيل الدخول
  • نجاح تسجيل الدخول أو فشله

  لمزيد من المعلومات، راجع المقالات التالية:

  • ما هي سجلات تدقيق Microsoft Entra؟
  • ما هي سجلات تسجيل الدخول Microsoft Entra؟

• سجلات تدقيق Azure: لمزيد من المعلومات، راجع تسجيل أمان Azure وتدقيقه.

• سجلات التدقيق في مدخل Defender: تصفية سجلات النشاط باستخدام نطاق تاريخ يبدأ مباشرة قبل حدوث النشاط المشبوه. لا تقم بتصفية أنشطة معينة أثناء البحث الأولي.

  لمزيد من المعلومات، راجع البحث في سجل التدقيق.

من خلال تحليل السجلات المتوفرة، يمكنك تحديد الإطار الزمني المحدد الذي يتطلب مزيدا من الاهتمام. بمجرد تحديدها، راجع الرسائل المرسلة من قبل المستخدم خلال هذه الفترة لمزيد من التفاصيل.

• تتبع الرسائل في مدخل Defender: تحقق من محتويات مجلد العناصر المرسلة للحساب في Outlook أو Outlook على ويب.

  لمزيد من المعلومات، راجع تتبع الرسائل في مدخل Microsoft Defender.

بعد اكتمال التحقيق

1. إذا قمت بتعطيل الحساب أثناء التحقيق، فأعاد تعيين كلمة المرور ثم قم بتمكين الحساب كما هو موضح سابقا في هذه المقالة

2. إذا تم استخدام الحساب لإرسال بريد عشوائي أو حجم كبير من البريد الإلكتروني، فمن المحتمل أن يتم حظر علبة البريد من إرسال البريد. قم بإزالة المستخدم من صفحة الكيانات المقيدة كما هو موضح في إزالة المستخدمين المحظورين من صفحة الكيانات المقيدة.

موارد إضافية

الكشف عن قواعد Outlook وهجمات حقن Forms المخصصة ومعالجتها في Microsoft 365

الكشف عن منح الموافقة غير المشروعة ومعالجتها

الإبلاغ عن البريد العشوائي وغير التصيد الاحتيالي والبريد الإلكتروني المشبوه والملفات إلى Microsoft