Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Dica
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
As credenciais de utilizador controlam o acesso a contas Microsoft Entra ID, que são centrais para comprometer as investigações. Quando um atacante obtém acesso à conta, pode aceder à caixa de correio do Microsoft 365, pastas do SharePoint ou ficheiros associados no OneDrive do utilizador. A remediação e investigação de um utilizador comprometido concentra-se na conta afetada e nos serviços associados à conta.
Os atacantes utilizam frequentemente a caixa de correio de um utilizador comprometido para enviar aos destinatários dentro e fora da organização. Business Email Compromise (BEC) é um tipo prolífico de ataque e é abordado neste artigo.
Este artigo aborda os sintomas de comprometimento da conta (especificamente, a caixa de correio) e como recuperar o controlo da conta comprometida.
Importante
O botão seguinte permite-lhe testar e identificar atividades suspeitas da conta. Utilize este teste com a documentação de orientação neste artigo para obter informações sobre contas potencialmente comprometidas e determinar as ações de remediação necessárias.
Sintomas comuns de uma conta de e-mail do Microsoft 365 comprometida
Uma ou mais das seguintes atividades podem indicar que uma conta associada a uma caixa de correio do Microsoft 365 está comprometida:
- A caixa de correio está impedida de enviar e-mails.
- Atividade suspeita. Por exemplo, e-mail em falta ou eliminado.
-
Regras suspeitas da Caixa de Entrada. Por exemplo:
- Regras que reencaminham automaticamente o e-mail para endereços desconhecidos.
- Regras que movem mensagens para as pastas Notas, Email de Lixo ou Subscrições RSS.
- As pastas Itens Enviados ou Itens Eliminados contêm mensagens suspeitas. Por exemplo, "Estou preso em Londres, envio dinheiro".
- Alterações ao contacto do utilizador na Lista de Endereços Global (GAL). Por exemplo, nome, número de telefone ou código postal.
- Alterações frequentes de palavras-passe ou bloqueios inexplicáveis da conta.
- Reencaminhamento de e-mail externo adicionado recentemente.
- Assinaturas de mensagens de e-mail suspeitas. Por exemplo, uma assinatura bancária falsa ou uma assinatura de medicamentos prescritos.
Se a caixa de correio apresentar algum destes sintomas, utilize os passos na secção seguinte para recuperar o controlo da conta.
Proteger e Restaurar a Função de Email para uma Conta De Correio Comprometida do Microsoft 365 Ativada
Depois de o atacante obter acesso a uma conta, tem de bloquear o acesso à conta o mais rapidamente possível.
Os passos seguintes abordam métodos conhecidos que podem permitir ao atacante manter a persistência e recuperar o controlo da conta mais tarde. Certifique-se de que aborda cada passo.
Passo 1: Desativar a conta de utilizador afetada
A desativação da conta comprometida é preferencial e altamente recomendada até concluir a investigação.
Se necessário, instale o módulo do PowerShell do Microsoft Graph no PowerShell ao executar o seguinte comando:
Install-Module -Name Microsoft.Graph -Scope CurrentUser
Ligue-se ao Microsoft Graph ao executar o seguinte comando:
Connect-MgGraph -Scopes "User.ReadWrite.All"
Para armazenar os detalhes da conta de utilizador na variável com o nome
$user
, substitua <UPN> pelo nome da conta do utilizador (nome principal de utilizador ou UPN) e, em seguida, execute o seguinte comando:$user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
Por exemplo:
$user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
Execute o seguinte comando para desativar a conta de utilizador:
Update-MgUser -UserId $user.Id -AccountEnabled $false
Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Update-MgUser
Se não conseguir desativar a conta, o passo seguinte é repor a palavra-passe. Para obter instruções, consulte Repor palavras-passe no Microsoft 365 para empresas.
- Certifique-se de que utiliza uma palavra-passe segura: letras maiúsculas e minúsculas, pelo menos um número e, pelo menos, um caráter especial.
- Não envie a nova palavra-passe ao utilizador por e-mail, porque o atacante pode ter acesso à caixa de correio neste momento.
- Utilize uma palavra-passe exclusiva que o atacante não consegue adivinhar. Mesmo que o requisito do histórico de palavras-passe o permita, não reutilize nenhuma das últimas cinco palavras-passe.
- Se a conta for sincronizada a partir do Active Directory, reponha a palavra-passe no Active Directory e reponha-a duas vezes para mitigar o risco de ataques de passagem do hash . Para obter instruções, consulte Set-ADAccountPassword.
- Se a identidade do utilizador estiver federada com o Microsoft 365, tem de alterar a palavra-passe da conta no ambiente no local e, em seguida, notificar o administrador do compromisso.
- Certifique-se de atualizar as senhas do aplicativo. As palavras-passe de aplicação não são revogadas automaticamente quando repõe a palavra-passe. O usuário deve excluir as senhas dos aplicativos existentes e criar novas. Para obter mais informações, veja Gerir palavras-passe de aplicação para verificação de dois passos.
Recomendamos vivamente que ative e aplique a autenticação multifator (MFA) para a conta. A MFA protege eficazmente contra o compromisso da conta e é essencial para contas com privilégios de administrador.
Para saber mais, confira os seguintes artigos:
Passo 2: Revogar o Acesso do Utilizador
Este passo invalida imediatamente qualquer acesso ativo através das credenciais roubadas e impede o atacante de aceder a dados mais confidenciais ou de realizar ações não autorizadas na conta comprometida.
Execute o seguinte comando numa janela elevada do PowerShell (uma janela do PowerShell que abre ao selecionar Executar como administrador):
Set-ExecutionPolicy RemoteSigned
Se necessário, execute os seguintes comandos para instalar os módulos necessários para o Microsoft Graph PowerShell:
Install-Module Microsoft.Graph.Authentication Install-Module Microsoft.Graph.Users.Actions
Ligue-se ao Microsoft Graph ao executar o seguinte comando:
Connect-MgGraph -Scopes User.RevokeSessions.All
Substitua <UPN> pela conta do utilizador (nome principal de utilizador ou UPN) e, em seguida, execute o seguinte comando:
Revoke-MgUserSignInSession -UserId <UPN>
Por exemplo:
Revoke-MgUserSignInSession -UserId jason@contoso.onmicrosoft.com
Para obter mais informações, veja Revogar o acesso do utilizador numa emergência no Microsoft Entra ID.
Passo 3: rever os dispositivos registados na MFA para o utilizador afetado
Identifique e remova quaisquer dispositivos suspeitos adicionados por um atacante. Além disso, certifique-se de que todos os métodos de MFA não reconhecidos são removidos para proteger a conta do utilizador.
Para obter instruções, veja Métodos MFA removidos
Passo 4: rever a lista de aplicações com o consentimento do utilizador
Remova e revogue quaisquer aplicações que não devem ser permitidas.
Para obter instruções, veja Revisão da aplicação.
Passo 5: Rever as funções administrativas atribuídas ao utilizador
Remova quaisquer funções que não devem ser permitidas.
Para saber mais, confira os seguintes artigos:
- Listar atribuições de funções do Azure com o portal do Azure
- Listar Microsoft Entra atribuições de funções
- Permissões no portal do Microsoft Purview
- Microsoft Defender para Office 365 permissões no portal do Microsoft Defender
Passo 6: Rever reencaminhadores de correio
Remova qualquer reencaminhamento de caixa de correio suspeito que o atacante tenha adicionado.
Para ver se o reencaminhamento da caixa de correio (também conhecido como reencaminhamento SMTP) está configurado na caixa de correio, substitua <Identidade> pelo nome, endereço de e-mail ou nome da conta da caixa de correio e, em seguida, execute o seguinte comando:
Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
Por exemplo:
Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
Observe os valores das seguintes propriedades:
- ForwardingAddress: um valor que não está em branco significa que o e-mail está a ser reencaminhado para o destinatário interno especificado.
- ForwardingSmtpAddress: um valor não em branco significa que o e-mail está a ser reencaminhado para o destinatário externo especificado. Se o ForwardingAddress e o ForwardingSmtpAddress estiverem configurados, o e-mail é reencaminhado apenas para o destinatário interno ForwardingAddress .
-
DeliverToMailboxAndForward: controla a forma como as mensagens são entregues e reencaminhadas para os destinatários especificados por ForwardingAddress ou ForwardingSmtpAddress:
- Verdadeiro: as mensagens são entregues nesta caixa de correio e reencaminhadas para o destinatário especificado.
- Falso: as mensagens são reencaminhadas para o destinatário especificado. As mensagens não são entregues nesta caixa de correio.
Para ver se alguma regra da Caixa de Entrada está a reencaminhar e-mails a partir da caixa de correio, substitua <Identidade> pelo nome, endereço de e-mail ou nome da conta da caixa de correio e, em seguida, execute o seguinte comando:
Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
Por exemplo:
Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
Observe os valores das seguintes propriedades:
Ativado: se a regra está ativada (Verdadeiro) ou desativada (Falso).
RedirectTo: um valor que não esteja em branco significa que o e-mail está a ser redirecionado para os destinatários especificados. As mensagens não são entregues nesta caixa de correio.
ForwardTo: um valor que não esteja em branco significa que o e-mail está a ser reencaminhado para os destinatários especificados.
ForwardAsAttachmentTo: um valor que não está em branco significa que o e-mail está a ser reencaminhado para os destinatários especificados como um anexo de e-mail.
Identidade: o valor globalmente exclusivo da regra. Para ver os detalhes completos da regra, substitua <Identidade> pelo valor Identidade e, em seguida, execute o seguinte comando:
Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
Por exemplo:
Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
Para obter mais informações, consulte Configurar e controlar o reencaminhamento de e-mails externos no Microsoft 365.
Efetuar uma Investigação
Quando um utilizador comunica sintomas invulgares, é crucial realizar uma investigação aprofundada. O centro de administração do Microsoft Entra e o portal do Microsoft Defender fornecem várias ferramentas para ajudar a examinar atividades suspeitas em contas de utilizador. Certifique-se de que revê os registos de auditoria a partir do início da atividade suspeita até concluir os passos de remediação.
Microsoft Entra registos de início de sessão e outros relatórios de risco no centro de administração do Microsoft Entra: Examine os valores nestas colunas:
- Endereço IP
- Localizações de início de sessão
- Horas de início de sessão
- Início de sessão com êxito ou falha
Para saber mais, confira os seguintes artigos:
Registos de auditoria do Azure: para obter mais informações, veja Registo de segurança e auditoria do Azure.
Registos de auditoria no portal do Defender: filtre os registos de atividade com um intervalo de datas que é iniciado imediatamente antes da origem da atividade suspeita. Não filtre atividades específicas durante a pesquisa inicial.
Para obter mais informações, veja Pesquisar o registo de auditoria.
Ao analisar os registos fornecidos, pode identificar o período de tempo específico que requer mais atenção. Depois de identificadas, reveja as mensagens enviadas pelo utilizador durante este período para obter mais informações.
Rastreio de Mensagens no portal do Defender: verifique o conteúdo da pasta Itens enviados da conta no Outlook ou Outlook na Web.
Para obter mais informações, veja Rastreio de mensagens no portal do Microsoft Defender.
Após a conclusão da investigação
Se desativou a conta durante a investigação, reponha a palavra-passe e, em seguida, ative a conta conforme descrito anteriormente neste artigo
Se a conta tiver sido utilizada para enviar spam ou um grande volume de e-mail, é provável que a caixa de correio esteja bloqueada para enviar correio. Remova o utilizador da página Entidades restritas, conforme descrito em Remover utilizadores bloqueados da página Entidades restritas.
Mais recursos
Detetar e Remediar Concessões de Consentimento Ilícitas
Reportar spam, nonspam, phishing, e-mail suspeito e ficheiros à Microsoft