Поделиться через


Реагирование на скомпрометированную учетную запись электронной почты

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Учетные данные управляют доступом к почтовым ящикам, данным и другим службам Microsoft 365. Когда кто-то похищает эти учетные данные, связанная учетная запись считается скомпрометированной.

После того как злоумышленник украдет учетные данные и получит доступ к учетной записи, он сможет получить доступ к связанному почтовому ящику Microsoft 365, папкам SharePoint или файлам в OneDrive пользователя. Злоумышленники часто используют скомпрометированный почтовый ящик для отправки электронной почты в качестве исходного пользователя получателям внутри организации и за ее пределами. Злоумышленники, использующие электронную почту для отправки данных внешним получателям, называются кражей данных.

В этой статье описываются симптомы компрометации учетной записи и способы восстановления контроля над скомпрометированной учетной записью.

Симптомы компрометации учетной записи электронной почты Майкрософт

Пользователи могут заметить подозрительные действия в своих почтовых ящиках Microsoft 365 и сообщить об этих действиях. Например:

  • Подозрительные действия, такие как отсутствующие или удаленные сообщения электронной почты.
  • Пользователи, получающие сообщение электронной почты из скомпрометированной учетной записи без соответствующего сообщения электронной почты в папке Отправленные отправителя.
  • Подозрительные правила папки "Входящие". Эти правила могут автоматически пересылать электронную почту на неизвестные адреса или перемещать сообщения в папки Заметки, Нежелательная почта или ПОДПИСКИ RSS .
  • Отображаемое имя пользователя изменяется в глобальном списке адресов.
  • Почтовый ящик пользователя не может отправлять почту.
  • Папки Отправленные или Удаленные элементы в Microsoft Outlook или Outlook в Интернете (ранее известные как Outlook Web App) содержат типичные сообщения для скомпрометированных учетных записей (например, "Я застрял в Лондоне, отправляю деньги".
  • Необычные изменения профиля. Например, имя, номер телефона или обновления почтового индекса.
  • Несколько и часто изменяющихся паролей.
  • Недавно добавлена внешняя пересылка электронной почты.
  • Необычные подписи сообщений электронной почты. Например, поддельная банковская подпись или подпись отпускаемого по рецепту лекарства.

Необходимо немедленно выяснить, сообщает ли пользователь эти или другие необычные симптомы. Портал Microsoft Defender и портал Azure предлагают следующие средства, которые помогут вам исследовать подозрительные действия в учетной записи пользователя:

  • Единые журналы аудита на портале Microsoft Defender. Отфильтруйте журналы действий, используя диапазон дат, который начинается непосредственно перед тем, как подозрительное действие произошло на сегодняшний день. Не фильтруйте определенные действия во время поиска. Дополнительные сведения см. в разделе Поиск в журнале аудита.

  • Журналы входа в Microsoft Entra и другие отчеты о рисках в Центре администрирования Microsoft Entra: изучите значения в следующих столбцах:

    • IP-адрес;
    • место входа;
    • время входа;
    • успешный или неудачный вход.

Важно!

Следующая кнопка позволяет протестировать и выявить подозрительные действия с учетной записью. Эти сведения можно использовать для восстановления скомпрометированных учетных записей.

Защита и восстановление функции электронной почты в скомпрометированных учетных записях и почтовых ящиках Microsoft 365

Даже после того, как пользователь восстановит доступ к своей учетной записи, злоумышленник может оставить записи на задней двери, которые могут восстановить контроль над учетной записью.

Выполните все следующие действия, чтобы восстановить контроль над учетной записью. Выполните действия, как только вы подозреваете проблему и как можно быстрее, чтобы убедиться, что злоумышленник не восстановит контроль над учетной записью. Эти действия также помогут удалить все записи на задней двери, добавленные злоумышленником в учетную запись. После выполнения этих действий рекомендуется выполнить проверку на наличие вирусов, чтобы убедиться, что клиентский компьютер не скомпрометирован.

Шаг 1. Сброс пароля пользователя

Выполните процедуры из раздела Сброс бизнес-пароля для другого пользователя.

Важно!

  • Не отправляйте новый пароль пользователю по электронной почте, так как злоумышленник по-прежнему имеет доступ к почтовому ящику на данный момент.

  • Обязательно используйте надежный пароль: верхние и строчные буквы, по крайней мере одну цифру и хотя бы один специальный символ.

  • Даже если это разрешено в журнале паролей, не используйте ни один из последних пяти паролей. Используйте уникальный пароль, который злоумышленник не может угадать.

  • Если удостоверение пользователя входит в федерацию с Microsoft 365, необходимо изменить пароль учетной записи в локальной среде, а затем уведомить администратора о компрометации.

  • Не забудьте обновить пароли приложений. Пароли приложений не отзываются автоматически при сбросе пароля. Пользователь должен удалить существующие пароли приложений и создать новые. Инструкции см. в разделе Управление паролями приложений для двухфакторной проверки подлинности.

  • Настоятельно рекомендуется включить многофакторную проверку подлинности (MFA) для учетной записи. MFA — это хороший способ предотвратить компрометацию учетной записи. Это очень важно для учетных записей с правами администратора. Инструкции см. в разделе Настройка многофакторной проверки подлинности.

Шаг 2. Удаление подозрительных адресов переадресации электронной почты

  1. В Центре администрирования Microsoft 365 по адресу https://admin.microsoft.comвыберите Пользователи>Активные пользователи. Или, чтобы перейти непосредственно на страницу Активные пользователи , используйте https://admin.microsoft.com/Adminportal/Home#/users.

  2. На странице Активные пользователи найдите учетную запись пользователя и выберите ее, щелкнув в любом месте строки, кроме флажка рядом с именем.

  3. Во всплывающем окне сведений выберите вкладку Почта .

  4. На вкладке Почта значение Применено в разделе Переадресация электронной почты указывает, что в учетной записи настроена пересылка почты. Чтобы удалить его, сделайте следующее:

    • Выберите Управление пересылкой электронной почты.
    • Во всплывающем окне Управление пересылкой электронной почты снимите флажок Переслать все сообщения электронной почты, отправленные в этот почтовый ящик , а затем выберите Сохранить изменения.

Шаг 3. Отключение подозрительных правил папки "Входящие"

  1. Войдите в почтовый ящик пользователя с помощью Outlook в Интернете.

  2. Выберите Параметры (значок шестеренки), введите правила в поле Параметры поиска, а затем в результатах выберите Правила папки "Входящие".

  3. Во всплывающем окне Правила просмотрите существующие правила и отключите или удалите подозрительные правила.

Шаг 4. Разблокирование отправки почты пользователем

Если учетная запись использовалась для отправки спама или большого объема электронной почты, скорее всего, почтовый ящик заблокирован для отправки почты.

Чтобы разблокировать отправку электронной почты в почтовом ящике, выполните действия, описанные в статье Удаление заблокированных пользователей на странице Ограниченные сущности.

Шаг 5 (необязательно). Запретите вход в учетную запись пользователя

Важно!

Вы можете заблокировать вход в учетную запись, пока не поверите, что повторное включение доступа будет безопасным.

  1. Выполните следующие действия в Центре администрирования Microsoft 365 по адресу https://admin.microsoft.com:

    1. Перейдите в раздел Пользователи>Активные пользователи. Или, чтобы перейти непосредственно на страницу Активные пользователи , используйте https://admin.microsoft.com/Adminportal/Home#/users.
    2. На странице Активные пользователи найдите и выберите учетную запись пользователя из списка, выполнив одно из следующих действий.
      • Выберите пользователя, щелкнув в любом месте строки, кроме флажка рядом с именем. В открывшемся всплывающем окне сведений выберите Блокировать вход в верхней части всплывающего элемента.
      • Выберите пользователя, установив флажок рядом с именем. Выберите Другие действия>Изменить состояние входа.
    3. В открывшемся всплывающем окне Блокировать вход прочтите сведения, выберите Блокировать вход для этого пользователя, щелкните Сохранить изменения, а затем нажмите кнопку Закрыть в верхней части всплывающего окна.
  2. В Центре администрирования Exchange (EAC) выполните следующие действия по адресу https://admin.exchange.microsoft.com:

    1. Перейдите в раздел Почтовые ящики>получателей. Или, чтобы перейти непосредственно на страницу Почтовые ящики , используйте https://admin.exchange.microsoft.com/#/mailboxes.

    2. На странице Управление почтовыми ящиками найдите и выберите пользователя из списка, щелкнув в любом месте строки, кроме круглого флажка, который появляется рядом с именем.

    3. В открывавшемся всплывающем окне сведений выполните следующие действия.

      1. Убедитесь, что выбрана вкладка Общие , а затем выберите Управление параметрами приложений электронной почты в разделе Почтовые приложения & мобильных устройств .
      2. Во всплывающем окне Управление параметрами для приложений электронной почты отключите все доступные параметры, изменив переключатели на Отключено:
        • Классическое приложение Outlook (MAPI)
        • Веб-службы Exchange
        • Протокол для мобильной связи (Exchange ActiveSync)
        • IMAP
        • POP3
        • Outlook в Интернете

      По завершении во всплывающем окне Управление параметрами для приложений электронной почты нажмите кнопку Сохранить, а затем нажмите кнопку Закрыть в верхней части всплывающего окна.

Шаг 6 Необязательно. Удаление предполагаемой скомпрометированной учетной записи из всех административных ролей

Примечание.

Вы можете восстановить членство пользователя в административных ролях после защиты учетной записи.

  1. В Центре администрирования Microsoft 365 по адресу https://admin.microsoft.com выполните следующие действия:

    1. Перейдите в раздел Пользователи>Активные пользователи. Или, чтобы перейти непосредственно на страницу Активные пользователи , используйте https://admin.microsoft.com/Adminportal/Home#/users.

    2. На странице Активные пользователи найдите и выберите учетную запись пользователя из списка, выполнив одно из следующих действий.

      • Выберите пользователя, щелкнув в любом месте строки, кроме флажка рядом с именем. Во всплывающем окне сведений убедитесь, что выбрана вкладка Учетная запись , а затем выберите Управление ролями в разделе Роли .
      • Выберите пользователя, установив флажок рядом с именем. Выберите Дополнительные действия>Управление ролями.
    3. Во всплывающем окне Управление ролями администратора выполните следующие действия.

      • Запишите все сведения, которые вы хотите восстановить позже.
      • Удалите членство в административных ролях, выбрав Пользователь (без доступа к Центру администрирования).

      По завершении во всплывающем окне Управление ролями администратора выберите Сохранить изменения.

  2. На портале Microsoft Defender по адресу https://security.microsoft.comсделайте следующее:

    1. Перейдите в раздел Разрешения>Электронная почта & роли> совместной работыРоли. Или перейдите непосредственно на страницу Разрешения по ссылке https://security.microsoft.com/emailandcollabpermissions.

    2. На странице Разрешения выберите группу ролей из списка, установив флажок рядом с именем (например, Управление организацией), а затем выбрав команду Изменить действие.

    3. На открывающейся странице Изменение членов группы ролей просмотрите список участников. Если группа ролей содержит учетную запись пользователя, удалите пользователя, установив флажок рядом с именем и выбрав Удалить участников.

      Завершив работу на странице Изменение членов группы ролей, нажмите кнопку Далее.

    4. На странице Просмотр группы ролей и завершения просмотрите сведения и нажмите кнопку Сохранить.

    5. Повторите предыдущие шаги для каждой группы ролей в списке.

  3. В Центре администрирования Exchange по адресу https://admin.exchange.microsoft.com/ выполните следующие действия:

    1. Перейдите в раздел Роли>Администратора. Или, чтобы перейти непосредственно на страницу Роли администратора , используйте https://admin.exchange.microsoft.com/#/adminRoles.

    2. На странице Роли администратора выберите группу ролей из списка, щелкнув в любом месте строки, кроме круглого флажка, который отображается рядом с именем.

    3. Во всплывающем окне сведений выберите вкладку Назначено и найдите учетную запись пользователя. Если группа ролей содержит учетную запись пользователя, выполните следующие действия.

      1. Выберите учетную запись пользователя, установив круглый флажок, который отображается рядом с именем.
      2. Выберите отображающееся действие Удалить, выберите Да, удалить в диалоговом окне предупреждения, а затем нажмите кнопку Закрыть в верхней части всплывающего окна.
    4. Повторите предыдущие шаги для каждой группы ролей в списке.

Шаг 7 (необязательно). Дополнительные меры предосторожности

  1. Проверьте содержимое папки Отправленные элементы учетной записи в Outlook или Outlook в Интернете.

    Возможно, вам потребуется сообщить контактам пользователя о том, что учетная запись была скомпрометирована. Например, злоумышленник мог отправлять сообщения с просьбой о деньгах у контактов или вирус, чтобы захватить компьютеры.

  2. Другие службы, использующие эту учетную запись в качестве альтернативного адреса электронной почты, также могут быть скомпрометированы. После выполнения действий, описанных в этой статье, для учетной записи в этой организации Microsoft 365 выполните соответствующие действия в других службах.

  3. Проверьте контактные данные (например, номера телефонов и адреса) учетной записи.

См. также