Megosztás a következőn keresztül:


Válasz feltört összekötőre

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.

Az összekötőkkel engedélyezhető az e-mail forgalom a Microsoft 365 és a helyszíni környezetben található levelezési kiszolgálók között. További információ: E-mail-forgalom konfigurálása összekötőkkel a Exchange Online.

A Type (Típus ) értékkel OnPremises rendelkező bejövő összekötők akkor minősülnek feltörtnek, ha egy támadó új összekötőt hoz létre, vagy módosítja és módosítja a meglévő összekötőt levélszemét vagy adathalász e-mail küldéséhez.

Ez a cikk ismerteti a feltört összekötő tüneteit, és azt, hogyan nyerheti vissza az irányítást.

Sérült összekötő tünetei

A feltört összekötők az alábbi jellemzők közül legalább egyet mutatnak:

  • Hirtelen megnőtt a kimenő levelek mennyisége.
  • Eltérés a cím (más néven a 5321.MailFromMAIL FROM cím, a P1 feladó vagy a boríték feladója) és a 5322.From cím (más néven feladói cím vagy P2 feladó) között a kimenő e-mailekben. További információ ezekről a feladókról: How EOP validates the From address to preventing adathalászat.
  • Olyan tartományból küldött kimenő levelek, amelyek nincsenek kiépítve vagy regisztrálva.
  • Az összekötő nem küldhet vagy küldhet át leveleket.
  • Olyan bejövő összekötő jelenléte, amelyet nem rendszergazda hozott létre.
  • Egy meglévő összekötő konfigurációjának jogosulatlan módosítása (például a név, a tartománynév és az IP-cím).
  • Egy nemrég feltört rendszergazdai fiók. Az összekötők létrehozásához vagy szerkesztéséhez rendszergazdai hozzáférés szükséges.

Ha látja ezeket a tüneteket vagy más szokatlan tüneteket, meg kell vizsgálnia.

Az e-mail-funkció biztonságossá tételét és visszaállítását gyaníthatóan feltört összekötőre

Hajtsa végre az összes alábbi lépést az összekötő irányításának visszaszerzéséhez. Haladjon végig a lépéseken, amint problémára gyanakszik, és a lehető leggyorsabban győződjön meg arról, hogy a támadó nem folytatja az összekötő irányítását. Ezekkel a lépésekkel eltávolíthatja a támadó által az összekötőhöz esetlegesen hozzáadott hátsó ajtó bejegyzéseket is.

1. lépés: Annak azonosítása, hogy feltörtek-e egy bejövő összekötőt

A Office 365-höz készült Microsoft Defender 2. csomagban nyissa meg a Microsoft Defender portált a címenhttps://security.microsoft.com, és nyissa meg az Explorert. Vagy ha közvetlenül az Explorer oldalára szeretne lépni, használja a következőt https://security.microsoft.com/threatexplorer: .

  1. Az Explorer lapon ellenőrizze, hogy a Minden e-mail lap van-e kiválasztva, majd konfigurálja a következő beállításokat:

    • Válassza ki a dátum-/időtartományt.
    • Válassza az Összekötő lehetőséget.
    • Írja be az összekötő nevét a Keresés mezőbe.
    • Válassza a Frissítés lehetőséget.

    Bejövő összekötő-kezelő nézet

  2. Keressen rendellenes kiugrást vagy visszaesést az e-mail-forgalomban.

    A levélszemétmappába kézbesített e-mailek száma

  3. Válaszoljon a következő kérdésekre:

    • A feladó IP-címe megegyezik a szervezet helyszíni IP-címével?
    • Jelentős számú legutóbbi üzenetet küldtek a Levélszemét Email mappába? Ez az eredmény egyértelműen azt jelzi, hogy egy feltört összekötőt használtak a levélszemét küldéséhez.
    • Ésszerű,hogy az üzenet címzettjei e-mailt kapjanak a szervezet feladóitól?

    Feladó IP-címe és a szervezet helyszíni IP-címe

A Office 365-höz készült Microsoft Defender vagy Exchange Online Védelmi szolgáltatásriasztások és üzenetkövetés használatával keresse meg az összekötők sérülésének tüneteit:

  1. Nyissa meg a Defender portált a címenhttps://security.microsoft.com, és lépjen az Incidensek & riasztások riasztások> elemre. Vagy ha közvetlenül a Riasztások lapra szeretne lépni, használja a Gyanús összekötő tevékenységriasztásának megnyitása lehetőséget a alkalmazásban https://security.microsoft.com/alerts.

  2. A Riasztások lapon a Szűrőszabályzat>>gyanús összekötő tevékenységével keresse meg a gyanús összekötő tevékenységével kapcsolatos riasztásokat.

  3. Jelöljön ki egy gyanús összekötőtevékenység-riasztást, ha a név melletti jelölőnégyzeten kívül bárhová kattint. A megnyíló részletek lapon válasszon ki egy tevékenységet a Tevékenységlista területen, és másolja ki az Összekötő tartománya és IP-cím értékeit a riasztásból.

    Összekötő feltörése a kimenő e-mail részleteiben

  4. Nyissa meg az Exchange Felügyeleti központot a címen https://admin.exchange.microsoft.com , és lépjen a Levélforgalom>üzenetkövetése elemre. Vagy ha közvetlenül az Üzenetkövetés oldalra szeretne lépni, használja a parancsot https://admin.exchange.microsoft.com/#/messagetrace.

    Az Üzenetkövetés lapon válassza az Egyéni lekérdezések lapot, válassza a Nyomkövetés indítása lehetőséget, és használja az összekötő tartomány- és IP-címértékeit az előző lépésben.

    Az üzenetkövetésről további információt az Üzenetkövetés a modern Exchange Felügyeleti központban Exchange Online című témakörben talál.

    Új üzenetkövetési úszó panel

  5. Az üzenetkövetési eredmények között keresse meg a következő információkat:

    • A közelmúltban jelentős számú üzenetet jelölt meg FilteredAsSpam néven. Ez az eredmény egyértelműen azt jelzi, hogy egy feltört összekötőt használtak a levélszemét küldéséhez.
    • Ésszerű-e, hogy az üzenet címzettjei e-mailt kapjanak a szervezet feladóitól

    Új üzenetkövetési keresési eredmények

A Exchange Online PowerShellben cserélje le <a StartDate> és <az EndDate> értéket a saját értékeire, majd futtassa a következő parancsot a rendszergazdai összekötő tevékenységének megkereséséhez és ellenőrzéséhez az auditnaplóban. További információ: PowerShell-szkript használata az auditnaplóban való kereséshez.

Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector

Részletes szintaxis- és paraméterinformációkért lásd: Search-UnifiedAuditLog.

2. lépés: Jogosulatlan módosítások áttekintése és visszaállítása egy összekötőben

Nyissa meg az Exchange Felügyeleti központot a címen https://admin.exchange.microsoft.com , és lépjen a Levélforgalmi>összekötők elemre. Vagy ha közvetlenül az Összekötők lapra szeretne lépni, használja a következőt https://admin.exchange.microsoft.com/#/connectors: .

Az Összekötők lapon tekintse át az összekötők listáját. Távolítsa el vagy kapcsolja ki az ismeretlen összekötőket, és ellenőrizze, hogy nincsenek-e jogosulatlan konfigurációs módosítások az egyes összekötőkben.

3. lépés: Az összekötő blokkolásának feloldása az e-mail-forgalom újbóli engedélyezéséhez

Miután visszanyerte a feltört összekötő feletti irányítást, oldja fel az összekötő letiltását a Defender portál Korlátozott entitások lapján. Útmutatásért lásd: Tiltott összekötők eltávolítása a Korlátozott entitások lapról.

4. lépés: A potenciálisan feltört rendszergazdai fiókok vizsgálata és elhárítása

Miután azonosította a jogosulatlan összekötők konfigurációs tevékenységéért felelős rendszergazdai fiókot, vizsgálja meg, hogy a rendszergazdai fiók sérült-e. Útmutatásért lásd: Válasz feltört Email fiókra.

További információ