Válasz feltört összekötőre
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
Az összekötőkkel engedélyezhető az e-mail forgalom a Microsoft 365 és a helyszíni környezetben található levelezési kiszolgálók között. További információ: E-mail-forgalom konfigurálása összekötőkkel a Exchange Online.
A Type (Típus ) értékkel OnPremises
rendelkező bejövő összekötők akkor minősülnek feltörtnek, ha egy támadó új összekötőt hoz létre, vagy módosítja és módosítja a meglévő összekötőt levélszemét vagy adathalász e-mail küldéséhez.
Ez a cikk ismerteti a feltört összekötő tüneteit, és azt, hogyan nyerheti vissza az irányítást.
Sérült összekötő tünetei
A feltört összekötők az alábbi jellemzők közül legalább egyet mutatnak:
- Hirtelen megnőtt a kimenő levelek mennyisége.
- Eltérés a cím (más néven a
5321.MailFrom
MAIL FROM cím, a P1 feladó vagy a boríték feladója) és a5322.From
cím (más néven feladói cím vagy P2 feladó) között a kimenő e-mailekben. További információ ezekről a feladókról: How EOP validates the From address to preventing adathalászat. - Olyan tartományból küldött kimenő levelek, amelyek nincsenek kiépítve vagy regisztrálva.
- Az összekötő nem küldhet vagy küldhet át leveleket.
- Olyan bejövő összekötő jelenléte, amelyet nem rendszergazda hozott létre.
- Egy meglévő összekötő konfigurációjának jogosulatlan módosítása (például a név, a tartománynév és az IP-cím).
- Egy nemrég feltört rendszergazdai fiók. Az összekötők létrehozásához vagy szerkesztéséhez rendszergazdai hozzáférés szükséges.
Ha látja ezeket a tüneteket vagy más szokatlan tüneteket, meg kell vizsgálnia.
Az e-mail-funkció biztonságossá tételét és visszaállítását gyaníthatóan feltört összekötőre
Hajtsa végre az összes alábbi lépést az összekötő irányításának visszaszerzéséhez. Haladjon végig a lépéseken, amint problémára gyanakszik, és a lehető leggyorsabban győződjön meg arról, hogy a támadó nem folytatja az összekötő irányítását. Ezekkel a lépésekkel eltávolíthatja a támadó által az összekötőhöz esetlegesen hozzáadott hátsó ajtó bejegyzéseket is.
1. lépés: Annak azonosítása, hogy feltörtek-e egy bejövő összekötőt
Tekintse át a legutóbbi gyanús összekötő-forgalmat vagy a kapcsolódó üzeneteket
A Office 365-höz készült Microsoft Defender 2. csomagban nyissa meg a Microsoft Defender portált a címenhttps://security.microsoft.com, és nyissa meg az Explorert. Vagy ha közvetlenül az Explorer oldalára szeretne lépni, használja a következőt https://security.microsoft.com/threatexplorer: .
Az Explorer lapon ellenőrizze, hogy a Minden e-mail lap van-e kiválasztva, majd konfigurálja a következő beállításokat:
- Válassza ki a dátum-/időtartományt.
- Válassza az Összekötő lehetőséget.
- Írja be az összekötő nevét a Keresés mezőbe.
- Válassza a Frissítés lehetőséget.
Keressen rendellenes kiugrást vagy visszaesést az e-mail-forgalomban.
Válaszoljon a következő kérdésekre:
- A feladó IP-címe megegyezik a szervezet helyszíni IP-címével?
- Jelentős számú legutóbbi üzenetet küldtek a Levélszemét Email mappába? Ez az eredmény egyértelműen azt jelzi, hogy egy feltört összekötőt használtak a levélszemét küldéséhez.
- Ésszerű,hogy az üzenet címzettjei e-mailt kapjanak a szervezet feladóitól?
A Office 365-höz készült Microsoft Defender vagy Exchange Online Védelmi szolgáltatásriasztások és üzenetkövetés használatával keresse meg az összekötők sérülésének tüneteit:
Nyissa meg a Defender portált a címenhttps://security.microsoft.com, és lépjen az Incidensek & riasztások riasztások> elemre. Vagy ha közvetlenül a Riasztások lapra szeretne lépni, használja a Gyanús összekötő tevékenységriasztásának megnyitása lehetőséget a alkalmazásban https://security.microsoft.com/alerts.
A Riasztások lapon a Szűrőszabályzat>>gyanús összekötő tevékenységével keresse meg a gyanús összekötő tevékenységével kapcsolatos riasztásokat.
Jelöljön ki egy gyanús összekötőtevékenység-riasztást, ha a név melletti jelölőnégyzeten kívül bárhová kattint. A megnyíló részletek lapon válasszon ki egy tevékenységet a Tevékenységlista területen, és másolja ki az Összekötő tartománya és IP-cím értékeit a riasztásból.
Nyissa meg az Exchange Felügyeleti központot a címen https://admin.exchange.microsoft.com , és lépjen a Levélforgalom>üzenetkövetése elemre. Vagy ha közvetlenül az Üzenetkövetés oldalra szeretne lépni, használja a parancsot https://admin.exchange.microsoft.com/#/messagetrace.
Az Üzenetkövetés lapon válassza az Egyéni lekérdezések lapot, válassza a Nyomkövetés indítása lehetőséget, és használja az összekötő tartomány- és IP-címértékeit az előző lépésben.
Az üzenetkövetésről további információt az Üzenetkövetés a modern Exchange Felügyeleti központban Exchange Online című témakörben talál.
Az üzenetkövetési eredmények között keresse meg a következő információkat:
- A közelmúltban jelentős számú üzenetet jelölt meg FilteredAsSpam néven. Ez az eredmény egyértelműen azt jelzi, hogy egy feltört összekötőt használtak a levélszemét küldéséhez.
- Ésszerű-e, hogy az üzenet címzettjei e-mailt kapjanak a szervezet feladóitól
Összekötővel kapcsolatos tevékenység vizsgálata és ellenőrzése
A Exchange Online PowerShellben cserélje le <a StartDate> és <az EndDate> értéket a saját értékeire, majd futtassa a következő parancsot a rendszergazdai összekötő tevékenységének megkereséséhez és ellenőrzéséhez az auditnaplóban. További információ: PowerShell-szkript használata az auditnaplóban való kereséshez.
Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector
Részletes szintaxis- és paraméterinformációkért lásd: Search-UnifiedAuditLog.
2. lépés: Jogosulatlan módosítások áttekintése és visszaállítása egy összekötőben
Nyissa meg az Exchange Felügyeleti központot a címen https://admin.exchange.microsoft.com , és lépjen a Levélforgalmi>összekötők elemre. Vagy ha közvetlenül az Összekötők lapra szeretne lépni, használja a következőt https://admin.exchange.microsoft.com/#/connectors: .
Az Összekötők lapon tekintse át az összekötők listáját. Távolítsa el vagy kapcsolja ki az ismeretlen összekötőket, és ellenőrizze, hogy nincsenek-e jogosulatlan konfigurációs módosítások az egyes összekötőkben.
3. lépés: Az összekötő blokkolásának feloldása az e-mail-forgalom újbóli engedélyezéséhez
Miután visszanyerte a feltört összekötő feletti irányítást, oldja fel az összekötő letiltását a Defender portál Korlátozott entitások lapján. Útmutatásért lásd: Tiltott összekötők eltávolítása a Korlátozott entitások lapról.
4. lépés: A potenciálisan feltört rendszergazdai fiókok vizsgálata és elhárítása
Miután azonosította a jogosulatlan összekötők konfigurációs tevékenységéért felelős rendszergazdai fiókot, vizsgálja meg, hogy a rendszergazdai fiók sérült-e. Útmutatásért lásd: Válasz feltört Email fiókra.