Válasz feltört összekötőre

• A következőre érvényes::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Az összekötőkkel engedélyezhető az e-mail forgalom a Microsoft 365 és a helyszíni környezetben található levelezési kiszolgálók között. További információ: E-mail-forgalom konfigurálása összekötőkkel a Exchange Online.

A Type (Típus ) értékkel OnPremises rendelkező bejövő összekötők akkor minősülnek feltörtnek, ha egy támadó új összekötőt hoz létre, vagy módosítja és módosítja a meglévő összekötőt levélszemét vagy adathalász e-mail küldéséhez.

Ez a cikk ismerteti a feltört összekötő tüneteit, és azt, hogyan nyerheti vissza az irányítást.

Sérült összekötő tünetei

A feltört összekötők az alábbi jellemzők közül legalább egyet mutatnak:

• Hirtelen megnőtt a kimenő levelek mennyisége.
• Eltérés a cím (más néven a 5321.MailFromMAIL FROM cím, a P1 feladó vagy a boríték feladója) és a 5322.From cím (más néven feladói cím vagy P2 feladó) között a kimenő e-mailekben. További információ ezekről a feladókról: How EOP validates the From address to preventing adathalászat.
• Olyan tartományból küldött kimenő levelek, amelyek nincsenek kiépítve vagy regisztrálva.
• Az összekötő nem küldhet vagy küldhet át leveleket.
• Olyan bejövő összekötő jelenléte, amelyet nem rendszergazda hozott létre.
• Egy meglévő összekötő konfigurációjának jogosulatlan módosítása (például a név, a tartománynév és az IP-cím).
• Egy nemrég feltört rendszergazdai fiók. Az összekötők létrehozásához vagy szerkesztéséhez rendszergazdai hozzáférés szükséges.

Ha látja ezeket a tüneteket vagy más szokatlan tüneteket, meg kell vizsgálnia.

Az e-mail-funkció biztonságossá tételét és visszaállítását gyaníthatóan feltört összekötőre

Hajtsa végre az összes alábbi lépést az összekötő irányításának visszaszerzéséhez. Haladjon végig a lépéseken, amint problémára gyanakszik, és a lehető leggyorsabban győződjön meg arról, hogy a támadó nem folytatja az összekötő irányítását. Ezekkel a lépésekkel eltávolíthatja a támadó által az összekötőhöz esetlegesen hozzáadott hátsó ajtó bejegyzéseket is.

1. lépés: Annak azonosítása, hogy feltörtek-e egy bejövő összekötőt

Tekintse át a legutóbbi gyanús összekötő-forgalmat vagy a kapcsolódó üzeneteket

A Office 365-höz készült Microsoft Defender 2. csomagban nyissa meg a Microsoft Defender portált a címenhttps://security.microsoft.com, és nyissa meg az Explorert. Vagy ha közvetlenül az Explorer oldalára szeretne lépni, használja a következőt https://security.microsoft.com/threatexplorer: .

1. Az Explorer lapon ellenőrizze, hogy a Minden e-mail lap van-e kiválasztva, majd konfigurálja a következő beállításokat:

   • Válassza ki a dátum-/időtartományt.
   • Válassza az Összekötő lehetőséget.
   • Írja be az összekötő nevét a Keresés mezőbe.
   • Válassza a Frissítés lehetőséget.

   

2. Keressen rendellenes kiugrást vagy visszaesést az e-mail-forgalomban.

   

3. Válaszoljon a következő kérdésekre:

   • A feladó IP-címe megegyezik a szervezet helyszíni IP-címével?
   • Jelentős számú legutóbbi üzenetet küldtek a Levélszemét Email mappába? Ez az eredmény egyértelműen azt jelzi, hogy egy feltört összekötőt használtak a levélszemét küldéséhez.
   • Ésszerű,hogy az üzenet címzettjei e-mailt kapjanak a szervezet feladóitól?

   

A Office 365-höz készült Microsoft Defender vagy Exchange Online Védelmi szolgáltatásriasztások és üzenetkövetés használatával keresse meg az összekötők sérülésének tüneteit:

1. Nyissa meg a Defender portált a címenhttps://security.microsoft.com, és lépjen az Incidensek & riasztások riasztások> elemre. Vagy ha közvetlenül a Riasztások lapra szeretne lépni, használja a Gyanús összekötő tevékenységriasztásának megnyitása lehetőséget a alkalmazásban https://security.microsoft.com/alerts.

2. A Riasztások lapon a Szűrőszabályzat>>gyanús összekötő tevékenységével keresse meg a gyanús összekötő tevékenységével kapcsolatos riasztásokat.

3. Jelöljön ki egy gyanús összekötőtevékenység-riasztást, ha a név melletti jelölőnégyzeten kívül bárhová kattint. A megnyíló részletek lapon válasszon ki egy tevékenységet a Tevékenységlista területen, és másolja ki az Összekötő tartománya és IP-cím értékeit a riasztásból.

   

4. Nyissa meg az Exchange Felügyeleti központot a címen https://admin.exchange.microsoft.com , és lépjen a Levélforgalom>üzenetkövetése elemre. Vagy ha közvetlenül az Üzenetkövetés oldalra szeretne lépni, használja a parancsot https://admin.exchange.microsoft.com/#/messagetrace.

   Az Üzenetkövetés lapon válassza az Egyéni lekérdezések lapot, válassza a Nyomkövetés indítása lehetőséget, és használja az összekötő tartomány- és IP-címértékeit az előző lépésben.

   Az üzenetkövetésről további információt az Üzenetkövetés a modern Exchange Felügyeleti központban Exchange Online című témakörben talál.

   

5. Az üzenetkövetési eredmények között keresse meg a következő információkat:

   • A közelmúltban jelentős számú üzenetet jelölt meg FilteredAsSpam néven. Ez az eredmény egyértelműen azt jelzi, hogy egy feltört összekötőt használtak a levélszemét küldéséhez.
   • Ésszerű-e, hogy az üzenet címzettjei e-mailt kapjanak a szervezet feladóitól

   

Összekötővel kapcsolatos tevékenység vizsgálata és ellenőrzése

A Exchange Online PowerShellben cserélje le <a StartDate> és <az EndDate> értéket a saját értékeire, majd futtassa a következő parancsot a rendszergazdai összekötő tevékenységének megkereséséhez és ellenőrzéséhez az auditnaplóban. További információ: PowerShell-szkript használata az auditnaplóban való kereséshez.

Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector

Részletes szintaxis- és paraméterinformációkért lásd: Keresés-UnifiedAuditLog.

2. lépés: Jogosulatlan módosítások áttekintése és visszaállítása egy összekötőben

Nyissa meg az Exchange Felügyeleti központot a címen https://admin.exchange.microsoft.com , és lépjen a Levélforgalmi>összekötők elemre. Vagy ha közvetlenül az Összekötők lapra szeretne lépni, használja a következőt https://admin.exchange.microsoft.com/#/connectors: .

Az Összekötők lapon tekintse át az összekötők listáját. Távolítsa el vagy kapcsolja ki az ismeretlen összekötőket, és ellenőrizze, hogy nincsenek-e jogosulatlan konfigurációs módosítások az egyes összekötőkben.

3. lépés: Az összekötő blokkolásának feloldása az e-mail-forgalom újbóli engedélyezéséhez

Miután visszanyerte a feltört összekötő feletti irányítást, oldja fel az összekötő letiltását a Defender portál Korlátozott entitások lapján. Útmutatásért lásd: Tiltott összekötők eltávolítása a Korlátozott entitások lapról.

4. lépés: A potenciálisan feltört rendszergazdai fiókok vizsgálata és elhárítása

Miután azonosította a jogosulatlan összekötők konfigurációs tevékenységéért felelős rendszergazdai fiókot, vizsgálja meg, hogy a rendszergazdai fiók sérült-e. Útmutatásért lásd: Válasz feltört Email fiókra.

További információ

• Letiltott összekötők eltávolítása
• Letiltott felhasználók eltávolítása