손상된 커넥터에 응답
팁
Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
커넥터는 온-프레미스 환경에 있는 Microsoft 365와 전자 메일 서버 간의 메일 흐름을 사용하도록 설정하는 데 사용됩니다. 자세한 내용은 Exchange Online에서 커넥터를 사용하여 메일 흐름 구성을 참조하세요.
유형 값 OnPremises
이 있는 인바운드 커넥터는 공격자가 새 커넥터를 만들거나 스팸 또는 피싱 이메일을 보내기 위해 기존 커넥터를 수정할 때 손상된 것으로 간주됩니다.
이 문서에서는 손상된 커넥터의 증상과 커넥터를 다시 제어하는 방법을 설명합니다.
손상된 커넥터의 증상
손상된 커넥터는 다음 특성 중 하나 이상을 나타냅니다.
- 아웃바운드 메일 볼륨이 갑자기 급증했습니다.
- 아웃바운드 전자 메일의
5321.MailFrom
주소( 메일 보낸 사람 주소, P1 보낸 사람 또는 봉투 보낸 사람라고도 함)와5322.From
주소(보낸 사람 주소 또는 P2 보낸 사람라고도 함)가 일치하지 않습니다. 이러한 보낸 사람에 대한 자세한 내용은 EOP가 피싱을 방지하기 위해 보낸 사람 주소의 유효성을 검사하는 방법을 참조하세요. - 프로비전되거나 등록되지 않은 도메인에서 보낸 아웃바운드 메일입니다.
- 커넥터가 메일을 보내거나 릴레이하지 못하도록 차단됩니다.
- 관리자가 만들지 않은 인바운드 커넥터가 있는 경우
- 기존 커넥터 구성의 무단 변경(예: 이름, 도메인 이름 및 IP 주소).
- 최근에 손상된 관리자 계정입니다. 커넥터를 만들거나 편집하려면 관리자 액세스 권한이 필요합니다.
이러한 증상이나 기타 비정상적인 증상이 보이면 조사해야 합니다.
손상된 것으로 의심되는 커넥터에 전자 메일 함수 보호 및 복원
커넥터를 다시 제어하려면 다음 단계를 모두 수행합니다. 문제가 의심되는 즉시 가능한 한 빨리 단계를 진행하여 공격자가 커넥터의 제어를 다시 시작하지 않도록 합니다. 또한 이러한 단계를 통해 공격자가 커넥터에 추가했을 수 있는 백도어 항목을 제거할 수 있습니다.
1단계: 인바운드 커넥터가 손상되었는지 확인
최근 의심스러운 커넥터 트래픽 또는 관련 메시지 검토
Office 365용 Microsoft Defender 계획 2에서 에서 Microsoft Defender 포털 https://security.microsoft.com 을 열고 Explorer 이동합니다. 또는 Explorer 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/threatexplorer.
Explorer 페이지에서 모든 전자 메일 탭이 선택되어 있는지 확인한 다음, 다음 옵션을 구성합니다.
- 날짜/시간 범위를 선택합니다.
- 커넥터를 선택합니다.
- 검색 상자에 커넥터 이름을 입력합니다.
- 새로 고침을 선택합니다.
이메일 트래픽의 비정상적인 급증 또는 급락을 찾습니다.
다음 질문에 답변합니다.
- 보낸 사람 IP가 organization 온-프레미스 IP 주소와 일치하나요?
- 최근 메시지 중 상당수가 정크 Email 폴더로 전송되었나요? 이 결과는 손상된 커넥터가 스팸을 보내는 데 사용되었음을 명확하게 나타냅니다.
- 메시지 수신자가 organization 보낸 사람으로부터 전자 메일을 받는 것이 합리적입니까?
Office 365용 Microsoft Defender 또는 Exchange Online Protection 경고 및 메시지 추적을 사용하여 커넥터 손상의 증상을 찾습니다.
에서 https://security.microsoft.com Defender 포털을 열고 인시던트 & 경고 경고로> 이동합니다. 또는 경고 페이지로 직접 이동하려면 에서 의심스러운 커넥터 활동 경고 열기를 https://security.microsoft.com/alerts사용합니다.
경고 페이지에서 필터>정책>의심스러운 커넥터 작업을 사용하여 의심스러운 커넥터 활동과 관련된 경고를 찾습니다.
이름 옆에 있는 검사 상자 이외의 행의 아무 곳이나 클릭하여 의심스러운 커넥터 활동 경고를 선택합니다. 열리는 세부 정보 페이지에서 활동 목록에서 활동을 선택하고 경고에서 커넥터 도메인 및 IP 주소 값을 복사합니다.
에서 https://admin.exchange.microsoft.com Exchange 관리 센터를 열고 메일 흐름>메시지 추적으로 이동합니다. 또는 메시지 추적 페이지로 직접 이동하려면 를 사용합니다 https://admin.exchange.microsoft.com/#/messagetrace.
메시지 추적 페이지에서 사용자 지정 쿼리 탭을 선택하고 추적 시작을 선택한 다음 이전 단계의 커넥터 도메인 및 IP 주소 값을 사용합니다.
메시지 추적에 대한 자세한 내용은 Exchange Online 최신 Exchange 관리 센터의 메시지 추적을 참조하세요.
메시지 추적 결과에서 다음 정보를 찾습니다.
- 최근에 많은 수의 메시지가 FilteredAsSpam으로 표시되었습니다. 이 결과는 손상된 커넥터가 스팸을 보내는 데 사용되었음을 명확하게 나타냅니다.
- 메시지 수신자가 organization 보낸 사람으로부터 전자 메일을 받는 것이 적절한지 여부
커넥터 관련 활동 조사 및 유효성 검사
PowerShell< Exchange Online StartDate 및 <EndDate>>를 값으로 바꾼 다음 다음 명령을 실행하여 감사 로그에서 관리자 관련 커넥터 활동을 찾아 유효성을 검사합니다. 자세한 내용은 PowerShell 스크립트를 사용하여 감사 로그 검색을 참조하세요.
Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector
자세한 구문 및 매개 변수 정보는 Search-UnifiedAuditLog를 참조하세요.
2단계: 커넥터에서 무단 변경 검토 및 되돌리기
에서 https://admin.exchange.microsoft.com Exchange 관리 센터를 열고 메일 흐름>커넥터로 이동합니다. 또는 https://admin.exchange.microsoft.com/#/connectors을 통해 커넥터 페이지로 바로 이동하세요.
커넥터 페이지에서 커넥터 목록을 검토합니다. 알 수 없는 커넥터를 제거하거나 끄고, 무단 구성 변경에 대해 각 커넥터를 검사.
3단계: 메일 흐름을 다시 사용하도록 커넥터 차단 해제
손상된 커넥터를 다시 제어한 후 Defender 포털의 제한된 엔터티 페이지에서 커넥터 차단을 해제합니다. 자세한 내용은 제한된 엔터티 페이지에서 차단된 커넥터 제거를 참조하세요.
4단계: 잠재적으로 손상된 관리자 계정 조사 및 수정
권한 없는 커넥터 구성 작업을 담당하는 관리자 계정을 식별한 후 관리자 계정에서 손상이 있는지 조사합니다. 자세한 내용은 손상된 Email 계정에 응답을 참조하세요.