Reageren op een gecompromitteerde connector

Tip

Wist u dat u de functies in Microsoft 365 Defender gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft 365 Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Van toepassing op

Connectors worden gebruikt voor het inschakelen van e-mailstroom tussen Microsoft 365 of Office 365 en e-mailservers die u in uw on-premises omgeving hebt. Zie E-mailstroom configureren met connectors in Exchange Online voor meer informatie.

Een gecompromitteerde binnenkomende connector wordt gedefinieerd als wanneer een onbevoegde persoon wijziging(en) toepast op een bestaande binnenkomende connector of een nieuwe binnenkomende connector maakt in een Microsoft 365-tenant, met de bedoeling spam of phishing-e-mails te verzenden. Houd er rekening mee dat dit alleen van toepassing is op binnenkomende connectors van het type OnPremises.

Een gecompromitteerde connector detecteren

Hier volgen enkele kenmerken van een gecompromitteerde connector:

  • Plotselinge piek in uitgaande e-mailvolume.

  • Komt niet overeen tussen P1- en P2-afzenders in uitgaande e-mailberichten. Zie How EOP valideert het Van-adres om phishing te voorkomen voor meer informatie over P1- en P2-afzenders.

  • Uitgaande e-mailberichten die zijn verzonden vanuit een domein dat niet is ingericht of geregistreerd.

  • De connector kan geen e-mail doorsturen.

  • De aanwezigheid van een binnenkomende connector is niet gemaakt door de beoogde gebruiker of de beheerder.

  • Niet-geautoriseerde wijzigingen in bestaande connectorconfiguratie, zoals naam, domeinnaam en IP-adres.

  • Een onlangs gecompromitteerd beheerdersaccount. U kunt de connectorconfiguratie alleen bewerken als u beheerderstoegang hebt.

E-mailfunctie beveiligen en herstellen naar een vermoedelijk gecompromitteerde connector

U moet alle volgende stappen uitvoeren om weer toegang te krijgen tot uw connector. Met deze stappen kunt u eventuele achterdeurvermeldingen verwijderen die mogelijk aan uw connector zijn toegevoegd.

Stap 1: vaststellen of een binnenkomende connector is gecompromitteerd

Als u Microsoft Defender voor Office 365 abonnement 2 hebt, gaat u rechtstreeks naar https://security.microsoft.com/threatexplorer.

  1. Selecteer Connector, voeg Naam connector in, selecteer datumbereik en klik vervolgens op Vernieuwen.

    Verkennerweergave voor binnenkomende connector

  2. Bepaal of er sprake is van een abnormale piek of dip in het e-mailverkeer.

    Aantal e-mailberichten dat is bezorgd in de map Ongewenste e-mail

  3. Identificeren:

    • Als het IP-adres van de afzender overeenkomt met het on-premises IP-adres van uw organisatie.

    • Als er onlangs een aanzienlijk aantal e-mailberichten naar de map Ongewenste e-mail is verzonden. Dit is een goede indicator van een gecompromitteerde connector die wordt gebruikt om spam te verzenden.

    • Als de geadresseerden de geadresseerden zijn waarmee uw organisatie meestal contact houdt.

    Ip-adres van afzender en het on-premises IP-adres van uw organisatie

Als u Microsoft Defender for Office 365 Plan 1 of Exchange Online Protection hebt, gaat u naar https://admin.exchange.microsoft.com/#/messagetrace.

  1. Open waarschuwing voor verdachte connectoractiviteit in https://security.microsoft.com/alerts.

  2. Selecteer een activiteit onder Activiteitenlijst en kopieer verdacht connectordomein en IP-adres dat in de waarschuwing is gedetecteerd.

    Details van uitgaande e-mail van connector in gevaar

  3. Zoeken met behulp van connectordomein en IP-adres in Berichttracering.

    Flyout voor nieuwe berichttracering

  4. Identificeer in de zoekresultaten Berichttracering het volgende:

    • Als een aanzienlijk aantal e-mailberichten onlangs is gemarkeerd als FilteredAsSpam. Dit is een goede indicator van een gecompromitteerde connector die wordt gebruikt om spam te verzenden.

    • Als de geadresseerden de geadresseerden zijn waarmee uw organisatie meestal contact houdt.

    Zoekresultaten voor nieuwe berichttracering

Gebruik de volgende opdrachtregel in PowerShell om connectorgerelateerde activiteiten door een gebruiker in het auditlogboek te onderzoeken en te valideren. Zie Een PowerShell-script gebruiken om het auditlogboek te doorzoeken voor meer informatie.

Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector", "Set-InboundConnector", "Remove-InboundConnector

Stap 2: Niet-geautoriseerde wijzigingen in een connector controleren en herstellen

  1. Meld u aan bij https://admin.exchange.microsoft.com/.

  2. Controleer en herstel niet-geautoriseerde connectorwijziging(en).

Stap 3: de blokkering van de connector opheffen om de e-mailstroom opnieuw in te schakelen

  1. Meld u aan bij https://security.microsoft.com/restrictedentities.

  2. Selecteer de beperkte connector om de blokkering van de connector op te heffen.

Stap 4: mogelijk gecompromitteerd gebruikersaccount met beheerdersrechten onderzoeken en herstellen

Als een gebruiker met een niet-geautoriseerde connectoractiviteit wordt geïdentificeerd, kunt u deze gebruiker onderzoeken op mogelijke inbreuk. Zie Reageren op een gecompromitteerd Email-account voor meer informatie.

Meer informatie