Reagowanie na konto e-mail z naruszonymi zabezpieczeniami

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Poświadczenia użytkownika kontrolują dostęp do kont Tożsamość Microsoft Entra, które mają kluczowe znaczenie dla badania naruszenia zabezpieczeń. Gdy osoba atakująca uzyska dostęp do konta, może uzyskać dostęp do skojarzonej skrzynki pocztowej platformy Microsoft 365, folderów programu SharePoint lub plików w usłudze OneDrive użytkownika. Korygowanie i badanie naruszonego użytkownika koncentruje się na koncie, którego dotyczy problem, i usługach skojarzonych z kontem.

Osoby atakujące często używają skrzynki pocztowej użytkownika, którego zabezpieczenia zostały naruszone, do wysyłania do adresatów w organizacji i poza nią. Business Email Compromise (BEC) jest płodnym typem ataku i jest rozwiązany w tym artykule.

W tym artykule opisano objawy naruszenia zabezpieczeń konta (w szczególności skrzynki pocztowej) i sposobu odzyskania kontroli nad naruszonym kontem.

Ważna

Poniższy przycisk umożliwia testowanie i identyfikowanie podejrzanych działań konta. Użyj tego testu ze wskazówkami w tym artykule, aby uzyskać wgląd w potencjalnie naruszone konta i określić niezbędne akcje korygowania.

Uruchamianie testów: konta z naruszonymi zabezpieczeniami

Typowe objawy naruszenia zabezpieczeń konta e-mail platformy Microsoft 365

Co najmniej jedno z następujących działań może wskazywać, że konto skojarzone ze skrzynką pocztową platformy Microsoft 365 jest zagrożone:

• Skrzynka pocztowa nie może wysyłać wiadomości e-mail.
• Podejrzane działanie. Na przykład brakujące lub usunięte wiadomości e-mail.
• Podejrzane reguły skrzynki odbiorczej. Przykład:
  • Reguły, które automatycznie przekazują wiadomości e-mail na nieznane adresy.
  • Reguły, które przenoszą komunikaty do folderów Notes, Junk Email lub RSS Subscriptions.
• Foldery Elementy wysłane lub Elementy usunięte zawierają podejrzane komunikaty. Na przykład: "Utknąłem w Londynie, wyślij pieniądze".
• Zmiany kontaktu użytkownika na globalnej liście adresowej (GAL). Na przykład nazwa, numer telefonu lub kod pocztowy.
• Częste zmiany haseł lub niewyjaśnione blokady konta.
• Ostatnio dodano zewnętrzne przekazywanie wiadomości e-mail.
• Podejrzane sygnatury wiadomości e-mail. Na przykład fałszywy podpis bankowy lub podpis leku na receptę.

Jeśli skrzynka pocztowa wykazuje którykolwiek z tych objawów, wykonaj kroki opisane w następnej sekcji, aby odzyskać kontrolę nad kontem.

Zabezpieczanie i przywracanie funkcji Email do konta z włączoną obsługą poczty platformy Microsoft 365

Gdy osoba atakująca uzyska dostęp do konta, musisz jak najszybciej zablokować dostęp do konta.

Poniższe kroki dotyczą znanych metod, które mogą umożliwić atakującemu zachowanie trwałości i odzyskanie kontroli nad kontem później. Pamiętaj, aby rozwiązać każdy krok.

Krok 1. Wyłączanie konta użytkownika, którego dotyczy problem

• Wyłączenie konta, które zostało naruszone, jest preferowane i wysoce zalecane do czasu zakończenia badania.

  1. W razie potrzeby zainstaluj moduł Programu PowerShell programu Microsoft Graph w programie PowerShell, uruchamiając następujące polecenie:

     Install-Module -Name Microsoft.Graph -Scope CurrentUser
     

  2. Połącz się z programem Microsoft Graph, uruchamiając następujące polecenie:

     Connect-MgGraph -Scopes "User.ReadWrite.All"
     

  3. Aby zapisać szczegóły konta użytkownika w zmiennej o nazwie $user, zastąp <nazwę UPN> nazwą konta użytkownika (główną nazwą użytkownika lub nazwą UPN), a następnie uruchom następujące polecenie:

     $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
     

     Przykład:

     $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
     

  4. Uruchom następujące polecenie, aby wyłączyć konto użytkownika:

     Update-MgUser -UserId $user.Id -AccountEnabled $false
     

  Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Update-MgUser

• Jeśli nie możesz wyłączyć konta, następnym najlepszym krokiem jest zresetowanie hasła. Aby uzyskać instrukcje, zobacz Resetowanie haseł na platformie Microsoft 365 dla firm.

  • Pamiętaj, aby użyć silnego hasła: wielkie i małe litery, co najmniej jedną liczbę i co najmniej jeden znak specjalny.
  • Nie wysyłaj nowego hasła do użytkownika za pośrednictwem poczty e-mail, ponieważ osoba atakująca może mieć dostęp do skrzynki pocztowej w tym momencie.
  • Użyj unikatowego hasła, którego osoba atakująca nie może odgadnąć. Nawet jeśli wymaganie dotyczące historii haseł na to pozwala, nie używaj ponownie żadnego z pięciu ostatnich haseł.
  • Jeśli konto jest synchronizowane z usługą Active Directory, zresetuj hasło w usłudze Active Directory i zresetuj je dwukrotnie, aby zmniejszyć ryzyko ataków typu pass-the-hash . Aby uzyskać instrukcje, zobacz Set-ADAccountPassword.
  • Jeśli tożsamość użytkownika jest sfederowana z platformą Microsoft 365, musisz zmienić hasło konta w środowisku lokalnym, a następnie powiadomić administratora o naruszeniach zabezpieczeń.
  • Pamiętaj, aby zaktualizować hasła aplikacji. Hasła aplikacji nie są automatycznie odwoływane podczas resetowania hasła. Użytkownik powinien usunąć istniejące hasła aplikacji i utworzyć nowe. Aby uzyskać więcej informacji, zobacz Zarządzanie hasłami aplikacji na potrzeby weryfikacji dwuetapowej.

• Zdecydowanie zalecamy włączenie i wymuszanie uwierzytelniania wieloskładnikowego dla konta. Uwierzytelnianie wieloskładnikowe skutecznie chroni przed naruszeniem zabezpieczeń konta i jest niezbędne dla kont z uprawnieniami administratora.

  Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

  • Konfigurowanie uwierzytelniania wieloskładnikowego
  • Wymagaj uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji dla administratorów

Krok 2. Odwoływanie dostępu użytkowników

Ten krok natychmiast unieważnia aktywny dostęp przy użyciu skradzionych poświadczeń i uniemożliwia atakującemu dostęp do bardziej poufnych danych lub wykonywanie nieautoryzowanych akcji na koncie, którego zabezpieczenia zostały naruszone.

1. Uruchom następujące polecenie w oknie programu PowerShell z podwyższonym poziomem uprawnień (otwarte okno programu PowerShell, wybierając pozycję Uruchom jako administrator):

   Set-ExecutionPolicy RemoteSigned
   

2. W razie potrzeby uruchom następujące polecenia, aby zainstalować wymagane moduły programu Microsoft Graph PowerShell:

   Install-Module Microsoft.Graph.Authentication
   
   Install-Module Microsoft.Graph.Users.Actions
   

3. Połącz się z programem Microsoft Graph, uruchamiając następujące polecenie:

   Connect-MgGraph -Scopes User.RevokeSessions.All
   

4. Zastąp <nazwę UPN> kontem użytkownika (główną nazwą użytkownika lub nazwą UPN), a następnie uruchom następujące polecenie:

   Revoke-MgUserSignInSession -UserId <UPN>
   

   Przykład:

   Revoke-MgUserSignInSession -UserId jason@contoso.onmicrosoft.com
   

Aby uzyskać więcej informacji, zobacz Odwoływanie dostępu użytkownika w nagłych wypadkach w Tożsamość Microsoft Entra.

Krok 3. Przejrzyj urządzenia zarejestrowane w usłudze MFA dla użytkownika, którego dotyczy problem

Identyfikowanie i usuwanie wszelkich podejrzanych urządzeń dodanych przez osobę atakującą. Upewnij się również, że wszystkie nierozpoznane metody uwierzytelniania wieloskładnikowego zostaną usunięte w celu zabezpieczenia konta użytkownika.

Aby uzyskać instrukcje, zobacz Metody uwierzytelniania wieloskładnikowego usunięte

Krok 4. Przeglądanie listy aplikacji za zgodą użytkownika

Usuń i odwołaj wszystkie aplikacje, które nie powinny być dozwolone.

Aby uzyskać instrukcje, zobacz Przegląd aplikacji.

Krok 5. Przeglądanie ról administracyjnych przypisanych do użytkownika

Usuń wszystkie role, które nie powinny być dozwolone.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

• Wyświetlanie listy przypisań ról platformy Azure przy użyciu Azure Portal
• Wyświetlanie listy przypisań ról Microsoft Entra
• Uprawnienia w portalu usługi Microsoft Purview
• uprawnienia Ochrona usługi Office 365 w usłudze Microsoft Defender w portalu Microsoft Defender

Krok 6. Przeglądanie usług przesyłania dalej wiadomości e-mail

Usuń wszelkie podejrzane przekazywanie skrzynki pocztowej dodane przez osobę atakującą.

1. Połącz się z usługą Exchange Online w programie PowerShell.

2. Aby sprawdzić, czy przekazywanie skrzynek pocztowych (nazywane również przekazywaniem SMTP) jest skonfigurowane w skrzynce pocztowej, zastąp ciąg <Identity> nazwą, adresem e-mail lub nazwą konta skrzynki pocztowej, a następnie uruchom następujące polecenie:

   Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
   

   Przykład:

   Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
   

   Zwróć uwagę na wartości następujących właściwości:

   • ForwardingAddress: niepusta wartość oznacza, że wiadomość e-mail jest przekazywana do określonego wewnętrznego odbiorcy.
   • ForwardingSmtpAddress: niepusta wartość oznacza, że wiadomość e-mail jest przekazywana do określonego adresata zewnętrznego. Jeśli skonfigurowano zarówno usługę ForwardingAddress , jak i ForwardingSmtpAddress , wiadomość e-mail jest przekazywana tylko do wewnętrznego adresata usługi ForwardingAddress .
   • DeliverToMailboxAndForward: określa, jak komunikaty są dostarczane i przekazywane do adresatów określonych przez forwardingAddress lub ForwardingSmtpAddress:
     • Prawda: wiadomości są dostarczane do tej skrzynki pocztowej i przekazywane do określonego adresata.
     • Fałsz: komunikaty są przekazywane do określonego adresata. Wiadomości nie są dostarczane do tej skrzynki pocztowej.

3. Aby sprawdzić, czy jakiekolwiek reguły skrzynki odbiorczej przekazują wiadomości e-mail ze skrzynki pocztowej, zastąp ciąg <Identity> nazwą, adresem e-mail lub nazwą konta skrzynki pocztowej, a następnie uruchom następujące polecenie:

   Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   Przykład:

   Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   Zwróć uwagę na wartości następujących właściwości:

   • Włączone: czy reguła jest włączona (true), czy wyłączona (false).

   • RedirectTo: Niepusta wartość oznacza, że wiadomość e-mail jest przekierowywana do określonych adresatów. Wiadomości nie są dostarczane do tej skrzynki pocztowej.

   • ForwardTo: niepusta wartość oznacza, że wiadomość e-mail jest przekazywana do określonych adresatów.

   • ForwardAsAttachmentTo: niepusta wartość oznacza, że wiadomość e-mail jest przekazywana do określonych adresatów jako załącznik wiadomości e-mail.

   • Tożsamość: globalnie unikatowa wartość reguły. Aby wyświetlić pełne szczegóły reguły, zastąp <wartość Identity wartością Identity(Tożsamość> ), a następnie uruchom następujące polecenie:

     Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
     

     Przykład:

     Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
     

Aby uzyskać więcej informacji, zobacz Konfigurowanie i kontrolowanie przekazywania zewnętrznych wiadomości e-mail na platformie Microsoft 365.

Przeprowadzanie badania

Gdy użytkownik zgłasza nietypowe objawy, ważne jest przeprowadzenie dokładnego badania. Centrum administracyjne Microsoft Entra i portal Microsoft Defender udostępniają kilka narzędzi ułatwiających badanie podejrzanych działań na kontach użytkowników. Pamiętaj, aby przejrzeć dzienniki inspekcji od początku podejrzanego działania do momentu wykonania kroków korygowania.

• Microsoft Entra dzienniki logowania i inne raporty o ryzyku w centrum administracyjne Microsoft Entra: Sprawdź wartości w tych kolumnach:

  • Adres IP
  • Lokalizacje logowania
  • Czasy logowania
  • Powodzenie lub niepowodzenie logowania

  Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

  • Co to są dzienniki inspekcji Microsoft Entra?
  • Co to są Microsoft Entra dzienniki logowania?

• Dzienniki inspekcji platformy Azure: Aby uzyskać więcej informacji, zobacz Rejestrowanie i inspekcja zabezpieczeń platformy Azure.

• Dzienniki inspekcji w portalu usługi Defender: filtruj dzienniki pod kątem aktywności przy użyciu zakresu dat, który rozpoczyna się bezpośrednio przed wystąpieniem podejrzanego działania. Nie filtruj określonych działań podczas wyszukiwania początkowego.

  Aby uzyskać więcej informacji, zobacz Przeszukiwanie dziennika inspekcji.

Analizując podane dzienniki, można określić konkretny przedział czasu, który wymaga dalszej uwagi. Po zidentyfikowaniu przejrzyj komunikaty wysyłane przez użytkownika w tym okresie, aby uzyskać więcej informacji.

• Śledzenie komunikatów w portalu usługi Defender: sprawdź zawartość folderu Wysłane elementy konta w programie Outlook lub Outlook w sieci Web.

  Aby uzyskać więcej informacji, zobacz Śledzenie komunikatów w portalu Microsoft Defender.

Po zakończeniu badania

1. Jeśli konto zostało wyłączone podczas badania, zresetuj hasło, a następnie włącz konto zgodnie z opisem we wcześniejszej części tego artykułu

2. Jeśli konto było używane do wysyłania spamu lub dużej liczby wiadomości e-mail, prawdopodobnie skrzynka pocztowa nie może wysyłać wiadomości e-mail. Usuń użytkownika ze strony Jednostek z ograniczeniami zgodnie z opisem w temacie Usuwanie zablokowanych użytkowników ze strony Jednostki z ograniczeniami.

Więcej zasobów

Wykrywanie i korygowanie reguł programu Outlook i niestandardowych ataków iniekcji Forms na platformie Microsoft 365

Wykrywanie i korygowanie niedozwolonych dotacji na zgodę

Zgłoś firmie Microsoft spam, nonspam, phishing, podejrzaną wiadomość e-mail i pliki