Svare på en kompromittert e-postkonto

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk 90-dagers prøveversjonen av Defender for Office 365 på prøveversjonen av Microsoft Defender-portalen. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Legitimasjon kontrollerer tilgang til Microsoft 365-postbokser, data og andre tjenester. Når noen stjeler denne legitimasjonen, anses den tilknyttede kontoen å være kompromittert.

Når en angriper stjeler legitimasjonen og får tilgang til kontoen, får vedkommende tilgang til den tilknyttede Microsoft 365-postboksen, SharePoint-mapper eller filer i brukerens OneDrive. Angripere bruker ofte den kompromitterte postboksen til å sende e-post som den opprinnelige brukeren til mottakere i og utenfor organisasjonen. Angripere som bruker e-post til å sende data til eksterne mottakere, kalles dataeksfiltrering.

Denne artikkelen forklarer symptomene på kontokompromisser og hvordan du kan gjenvinne kontrollen over den kompromitterte kontoen.

Symptomer på en kompromittert Microsoft-e-postkonto

Brukere legger kanskje merke til og rapporterer uvanlig aktivitet i Microsoft 365-postboksene sine. Eksempel:

• Mistenkelig aktivitet, for eksempel manglende eller slettet e-post.
• Brukere som mottar e-post fra den kompromitterte kontoen uten tilsvarende e-post i avsenderens Sendte elementer-mappe .
• Mistenkelige innboksregler. Disse reglene kan automatisk videresende e-post til ukjente adresser eller flytte meldinger til mappene Notater, Søppelpost eller RSS-abonnementer .
• Brukerens visningsnavn endres i den globale adresselisten.
• Brukerens postboks er blokkert fra å sende e-post.
• Mappene Sendte elementer eller Slettede elementer i Microsoft Outlook eller Outlook på nettet (tidligere kjent som Outlook Web App) inneholder vanlige meldinger for kompromitterte kontoer (for eksempel «Jeg sitter fast i London, send penger.»).
• Uvanlige profilendringer. Eksempel: navn, telefonnummer eller postnummeroppdateringer.
• Flere og hyppige passordendringer.
• Nylig lagt til ekstern videresending av e-post.
• Uvanlige e-postsignaturer. For eksempel, en falsk bank signatur eller en reseptbelagte narkotika signatur.

Du må umiddelbart undersøke om en bruker rapporterer disse eller andre uvanlige symptomer. Microsoft Defender-portalen og Azure-portalen tilbyr følgende verktøy for å hjelpe deg med å undersøke mistenkelig aktivitet på en brukerkonto:

• Enhetlige overvåkingslogger i Microsoft Defender-portalen: Filtrer loggene for aktivitet ved hjelp av et datoområde som starter umiddelbart før den mistenkelige aktiviteten skjedde til i dag. Ikke filtrer etter bestemte aktiviteter under søket. Hvis du vil ha mer informasjon, kan du se Søke i overvåkingsloggen.

• Microsoft Entra-påloggingslogger og andre risikorapporter i administrasjonssenteret for Microsoft Entra: Undersøk verdiene i disse kolonnene:

  • Se gjennom IP-adresse
  • påloggingsplasseringer
  • påloggingstider
  • vellykket eller mislykket pålogging

Viktig

Med følgende knapp kan du teste og identifisere mistenkelig kontoaktivitet. Du kan bruke denne informasjonen til å gjenopprette en kompromittert konto.

Kjør tester: Kompromitterte kontoer

Funksjonen Sikre og gjenopprette e-post til en kompromittert Microsoft 365-konto og -postboks

Selv etter at brukeren har fått tilgang til kontoen sin igjen, kan angriperen legge igjen bakdøroppføringer som kan gjenvinne kontrollen over kontoen.

Gjør alle følgende trinn for å få tilbake kontrollen over kontoen. Gå gjennom trinnene så snart du mistenker et problem, og så raskt som mulig for å sikre at angriperen ikke får tilbake kontrollen over kontoen. Disse trinnene hjelper deg også med å fjerne eventuelle bakdøroppføringer som angriperen har lagt til kontoen. Når du har gjort disse trinnene, anbefaler vi at du kjører en virusskanning for å sikre at klientdatamaskinen ikke er kompromittert.

Trinn 1: Tilbakestille brukerens passord

Følg fremgangsmåtene i Tilbakestill et bedriftspassord for noen.

Viktig

• Ikke send det nye passordet til brukeren via e-post, fordi angriperen fremdeles har tilgang til postboksen på dette tidspunktet.

• Pass på at du bruker et sterkt passord: store og små bokstaver, minst ett tall og minst ett spesialtegn.

• Selv om passordloggkravet tillater det, må du ikke bruke noen av de siste fem passordene på nytt. Bruk et unikt passord som angriperen ikke kan gjette.

• Hvis brukerens identitet er i forbund med Microsoft 365, må du endre kontopassordet i det lokale miljøet og deretter varsle administratoren om kompromisset.

• Pass på å oppdatere app-passord. App-passord tilbakekalles ikke automatisk når du tilbakestiller passordet. Brukeren bør slette eksisterende app-passord og opprette nye. Hvis du vil ha instruksjoner, kan du se Administrere app-passord for totrinnskontroll.

• Vi anbefaler på det sterkeste at du aktiverer godkjenning med flere faktorer (MFA) for kontoen. MFA er en god måte å forhindre kontokompromisse på, og er svært viktig for kontoer med administrative rettigheter. Hvis du vil ha instruksjoner, kan du se Konfigurere godkjenning med flere faktorer.

Trinn 2: Fjerne mistenkelige adresser for videresending av e-post

1. Gå til Aktive brukere for brukere> i administrasjonssenteret for Microsoft 365 på .https://admin.microsoft.com Du kan også gå direkte til siden Aktive brukere ved å bruke https://admin.microsoft.com/Adminportal/Home#/users.

2. Finn brukerkontoen på Aktive brukere-siden , og velg den ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet.

3. Velg E-post-fanen i undermenyen for detaljer som åpnes.

4. Verdien som brukes i videresendingsdelen for e-post på E-post-fanen, angir at videresending av e-post er konfigurert på kontoen. Gjør følgende for å fjerne den:

   • Velg Behandle videresending av e-post.
   • Fjern merket for Videresendall e-post som sendes til denne postboksen , i undermenyen Behandle videresending av e-post som åpnes, og velg deretter Lagre endringer.

Trinn 3: Deaktiver mistenkelige innboksregler

1. Logg på brukerens postboks ved hjelp av Outlook på nettet.

2. Velg Innstillinger (tannhjulikon), skriv inn «regler» i boksen Søkeinnstillinger, og velg deretter Innboksregler i resultatene.

3. Se gjennom eksisterende regler på undermenyen Regler , og deaktiver eller slett eventuelle mistenkelige regler.

Trinn 4: Oppheve blokkeringen av brukeren fra å sende e-post

Hvis kontoen ble brukt til å sende søppelpost eller et stort volum av e-post, er det sannsynlig at postboksen er blokkert fra å sende e-post.

Hvis du vil oppheve blokkeringen av en postboks fra å sende e-post, følger du fremgangsmåten i Fjern blokkerte brukere fra siden Begrensede enheter.

Trinn 5 Valgfritt: Blokkere brukerkontoen fra å logge på

Viktig

Du kan blokkere kontoen fra å logge på til du mener det er trygt å aktivere tilgang på nytt.

1. Gjør følgende i administrasjonssenteret for Microsoft 365 på https://admin.microsoft.com:

   1. Gå til Aktive brukere>. Du kan også gå direkte til siden Aktive brukere ved å bruke https://admin.microsoft.com/Adminportal/Home#/users.
   2. Finn og velg brukerkontoen fra listen på Aktive brukere-siden ved å gjøre ett av følgende trinn:
      • Velg brukeren ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet. Velg Blokker pålogging øverst i undermenyen for detaljer som åpnes.
      • Velg brukeren ved å merke av i avmerkingsboksen ved siden av navnet. Velg Flere handlinger>Rediger påloggingsstatus.
   3. Les informasjonen i undermenyen Blokker pålogging som åpnes, og velg Blokker denne brukeren fra å logge på, velg Lagre endringer, og velg deretter Lukk øverst i undermenyen.

2. Gjør følgende i administrasjonssenteret for Exchange (EAC) på https://admin.exchange.microsoft.com:

   1. Gå til mottakeres>postbokser. Hvis du vil gå direkte til Postbokser-siden , kan du bruke https://admin.exchange.microsoft.com/#/mailboxes.

   2. Finn og velg brukeren fra listen på siden Behandle postbokser ved å klikke hvor som helst i raden bortsett fra den runde avmerkingsboksen som vises ved siden av navnet.

   3. Gjør følgende i undermenyen for detaljer som åpnes:

      1. Kontroller at Generelt-fanen er valgt, og velg deretter Behandle innstillinger for e-postapper i delen E-postapper & mobile enheter .
      2. Deaktiver alle tilgjengelige innstillinger i undermenyen Behandle innstillinger for e-postapper som åpnes, ved å endre vekslene til Deaktivert:
         • Skrivebordsversjonen av Outlook (MAPI)
         • Exchange Nettjenester
         • Mobil (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook på nettet

      Når du er ferdig i undermenyen Behandle innstillinger for e-postapper , velger du Lagre og deretter Lukk øverst i undermenyen.

Trinn 6 Valgfritt: Fjern den mistenkte kompromitterte kontoen fra alle administrative roller

Obs!

Du kan gjenopprette brukerens medlemskap i administrative roller etter at kontoen er sikret.

1. Gjør følgende i administrasjonssenteret for Microsoft 365 på https://admin.microsoft.com:

   1. Gå til Aktive brukere>. Du kan også gå direkte til siden Aktive brukere ved å bruke https://admin.microsoft.com/Adminportal/Home#/users.

   2. Finn og velg brukerkontoen fra listen på Aktive brukere-siden ved å gjøre ett av følgende trinn:

      • Velg brukeren ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet. Kontroller kontofanen i undermenyen for detaljer som åpnes, og velg deretter Behandle roller i Roller-delen .
      • Velg brukeren ved å merke av i avmerkingsboksen ved siden av navnet. Velg Flere handlinger>Behandle roller.

   3. Gjør følgende i undermenyen Behandle administratorroller som åpnes:

      • Registrer all informasjon du vil gjenopprette senere.
      • Fjern medlemskap i administrative roller ved å velge Bruker (ingen tilgang til administrasjonssenteret).

      Når du er ferdig med undermenyen Behandle administratorroller , velger du Lagre endringer.

2. Gjør følgende i Microsoft Defender-portalen på https://security.microsoft.com:

   1. Gå tilE-& samarbeidsroller> for tillatelser>. Hvis du vil gå direkte til siden Tillatelser, kan du bruke https://security.microsoft.com/emailandcollabpermissions.

   2. Velg en rollegruppe fra listen på Tillatelser-siden ved å merke av for navnet (for eksempel Organisasjonsadministrasjon), og velg deretter Rediger handling som vises.

   3. Se gjennom listen over medlemmer på rediger medlemmer av rollegruppesiden som åpnes. Hvis rollegruppen inneholder brukerkontoen, fjerner du brukeren ved å merke av for navnet og deretter velge Fjern medlemmer.

      Når du er ferdig på Rediger medlemmer på rollegruppesiden , velger du Neste

   4. Se gjennom informasjonen på siden Se gjennom rollegruppen og fullfør , og velg deretter Lagre.

   5. Gjenta de forrige trinnene for hver rollegruppe i listen.

3. Gjør følgende i administrasjonssenteret for Exchange på https://admin.exchange.microsoft.com/:

   1. Gå til roller>som administrator. Eller hvis du vil gå direkte til siden for administratorroller , kan du bruke https://admin.exchange.microsoft.com/#/adminRoles.

   2. Velg en rollegruppe fra listen på administratorrollesiden ved å klikke hvor som helst i raden bortsett fra den runde avmerkingsboksen som vises ved siden av navnet.

   3. Velg Tilordnet-fanen i undermenyen for detaljer som åpnes, og se deretter etter brukerkontoen. Hvis rollegruppen inneholder brukerkontoen, gjør du følgende:

      1. Velg brukerkontoen ved å merke av for den runde boksen som vises ved siden av navnet.
      2. Velg Slett-handlingen som vises, velg Ja, fjern i advarselsdialogboksen, og velg deretter Lukk øverst på undermenyen.

   4. Gjenta de forrige trinnene for hver rollegruppe i listen.

Trinn 7 Valgfritt: Flere forholdsregler

1. Kontroller innholdet i sendte elementer-mappen for kontoen i Outlook eller Outlook på nettet.

   Du må kanskje informere brukerens kontakter om at kontoen ble kompromittert. Angriperen kan for eksempel ha sendt meldinger som ber kontakter om penger, eller angriperen kan ha sendt et virus for å kapre datamaskinene sine.

2. Andre tjenester som bruker denne kontoen som en alternativ e-postadresse, kan også bli kompromittert. Når du har gjort trinnene i denne artikkelen for kontoen i denne Microsoft 365-organisasjonen, utfører du de tilsvarende trinnene i de andre tjenestene.

3. Kontroller kontaktinformasjonen (for eksempel telefonnumre og adresser) for kontoen.

Se også

• Oppdage og utbedre Outlook-regler og innsettinger av egendefinerte skjemaer i Microsoft 365
• Oppdage og utbedre ulovlige samtykketilskudd
• Klagesenter for Internett-kriminalitet
• Securities and Exchange Commission – «Phishing»-svindel
• Bruk rapportmeldingstillegget til å rapportere søppelpost direkte til Microsoft og/eller administratorer (avhengig av hvordan brukerrapporterte innstillinger er konfigurert).