Entfernen von Malware im Posteingang mithilfe von Power Automate

  • 8 Minuten

Böswillige Posteingangsweiterleitungsregeln können verwendet werden, um vertrauliche Informationen automatisch weiterzuleiten. So könnte beispielsweise eine Posteingangsregel erstellt worden sein, die alle E-Mails weiterleitet, die die Zeichenfolge „Bestellung“ enthalten. Der Angreifer könnte sich dann in dem Wissen, dass er Ihre Preise jedes Mal unterbieten kann, mit etwas niedrigeren Angeboten an potenzielle Kunden wenden.

Microsoft Defender für Cloud-Apps enthält eine Richtlinie, die eine Warnung auslöst, wenn verdächtige Posteingangsweiterleitungsregeln für den Posteingang eines Benutzers festgelegt werden, wie z. B. die folgende Regel:

Posteingangsweiterleitungsregel.

Um eine ausgefeiltere Antwort zur Warnungsverarbeitung zu erstellen, können Sie diese Warnungen an Power Automate senden.

Entfernen von böswilligen Posteingangsweiterleitungsregeln mithilfe von Power Automate

Führen Sie die folgenden Schritte aus, um mithilfe von Power Automate eine böswillige Posteingangsweiterleitungsregel zu entfernen:

  1. Erstellen Sie einen Flow in Power Automate, um die Warnung zu verarbeiten.

    Power Automate-Flow.

  2. Für diesen Flow gibt es mehrere wichtige Komponenten:

    a. Der Flow wird durch eine Warnung von Microsoft Defender für Cloud-Apps ausgelöst.

    b. In zwei Variablen werden die Mandanten-URL von Microsoft Defender für Cloud-Apps und der vom Portal generierte API-Tokenwert gespeichert.

    c. Die Benutzerdetails werden aus der Warnung gesammelt.

    d. Der Benutzer-Manager wird von Office 365 gesammelt.

    e. Rufen Sie die Microsoft Defender für Cloud Apps-API auf, um weitere Informationen zu sammeln.

    Rufen Sie die Defender für Cloud Apps-Warnung ab.

    f. Analysieren des JSON-Codes der Warnung.

    g. Filtern des Arrays, sodass es nur Entitäten vom Typ ruleName enthält.

    h. Rufen Sie Microsoft Graph auf, um im Benutzerpostfach nach Posteingangsregeln mit einem Namen zu suchen, der dem Namen entspricht, der aus der Microsoft Defender für Cloud Apps-API abgerufen wurde.

    Abrufen der Posteingangsregel-ID.

    i. Hinzufügen eines Schalters, um nach einer Länge größer 0 zu suchen, um zu prüfen, ob eine gültige Regel gefunden wurde.

    j. Wenn eine Regel gefunden wurde, wird ein API-Aufruf mit einer PATCH-Methode erstellt, um den Wert isEnabled auf false zu setzen.

    Festlegen von

    k. Beheben Sie schließlich die Microsoft Defender für Cloud Apps-Warnung, und senden Sie eine E-Mail an den Benutzer und dessen Vorgesetzten.

  3. Aktivieren Sie die Microsoft Defender für Cloud Apps-Richtlinie Verdächtige Posteingangsweiterleitung.

  4. Bearbeiten Sie die Richtlinie Verdächtige Posteingangsweiterleitung, wählen Sie Warnungen an Power Automate senden, und wählen Sie den Power Automate-Flow aus, den Sie erstellt haben, um diese Warnungen zu verarbeiten.

Das folgende Video gibt Ihnen einen Überblick über das Entfernen einer böswilligen Posteingangsweiterleitungsregel mit Power Automate: