Dela via

Svara på en komprometterad kopplingar

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

Anslutningsappar används för att aktivera e-postflöde mellan Microsoft 365 och e-postservrar som du har i din lokala miljö. Mer information finns i Konfigurera e-postflöde med anslutningsappar i Exchange Online.

En inkommande anslutningsapp med typvärdetOnPremises anses vara komprometterad när en angripare skapar en ny anslutningsapp eller ändrar och befintlig anslutningsapp för att skicka skräppost eller nätfiskemeddelande.

Den här artikeln förklarar symptomen på en komprometterad anslutningsapp och hur du återfår kontrollen över den.

Symtom på en komprometterad anslutningsapp

En komprometterad anslutningsapp uppvisar en eller flera av följande egenskaper:

  • En plötslig topp i utgående e-postvolym.
  • Ett matchningsfel mellan 5321.MailFrom adressen (kallas även MAIL FROM-adress , P1-avsändare eller kuvertsändare) och 5322.From adressen (kallas även Från-adress eller P2-avsändare) i utgående e-post. Mer information om dessa avsändare finns i Så här validerar EOP Från-adressen för att förhindra nätfiske.
  • Utgående e-post som skickas från en domän som inte har etablerats eller registrerats.
  • Anslutningsappen blockeras från att skicka eller vidarebefordra e-post.
  • Förekomsten av en inkommande anslutningsapp som inte har skapats av en administratör.
  • Obehöriga ändringar i konfigurationen av en befintlig anslutningsapp (till exempel namn, domännamn och IP-adress).
  • Ett nyligen komprometterat administratörskonto. För att skapa eller redigera anslutningsappar krävs administratörsåtkomst.

Om du ser dessa symtom eller andra ovanliga symtom bör du undersöka.

Skydda och återställa e-postfunktionen till en misstänkt komprometterad anslutningsapp

Utför alla följande steg för att återfå kontrollen över anslutningsappen. Gå igenom stegen så snart du misstänker ett problem och så snabbt som möjligt för att se till att angriparen inte återupptar kontrollen över anslutningsappen. De här stegen hjälper dig också att ta bort eventuella bakdörrsposter som angriparen kan ha lagt till i anslutningsappen.

Steg 1: Identifiera om en inkommande anslutningsapp har komprometterats

I Microsoft Defender för Office 365 plan 2 öppnar du Microsoft Defender-portalen på https://security.microsoft.com och går till Utforskaren. Om du vill gå direkt till sidan Utforskaren använder du https://security.microsoft.com/threatexplorer.

  1. På sidan Utforskaren kontrollerar du att fliken Alla e-postmeddelanden är markerad och konfigurerar sedan följande alternativ:

    • Välj datum-/tidsintervall.
    • Välj Anslutningsapp.
    • Ange anslutningsappens namn i sökrutan.
    • Välj Uppdatera.

    Utforskarvy för inkommande anslutningsprogram

  2. Leta efter onormala toppar eller dalar i e-posttrafiken.

    Antal e-postmeddelanden som levereras till skräppostmappen

  3. Besvara följande frågor:

    • Matchar avsändarens IP-adress din organisations lokala IP-adress?
    • Skickades ett stort antal nya meddelanden till mappen Junk Email? Det här resultatet visar tydligt att en komprometterad anslutningsapp användes för att skicka skräppost.
    • Är det rimligt att meddelandemottagarna tar emot e-post från avsändare i din organisation?

    Avsändarens IP-adress och organisationens lokala IP-adress

I Microsoft Defender för Office 365 eller Exchange Online Protection använder du Aviseringar och meddelandespårning för att leta efter symptomen på kompromisser för anslutningsappen:

  1. Öppna Defender-portalen på https://security.microsoft.com och gå till Incidenter & aviseringar Aviseringar>. Om du vill gå direkt till sidan Aviseringar använder du Aktivitetsavisering för misstänkt anslutningsprogram i https://security.microsoft.com/alerts.

  2. På sidan Aviseringar använder du aktiviteten Misstänkt anslutningsprogram för filterprincip>> för att hitta aviseringar relaterade till misstänkt anslutningsaktivitet.

  3. Välj en aktivitetsavisering för misstänkt anslutning genom att klicka någonstans på raden förutom kryssrutan bredvid namnet. På informationssidan som öppnas väljer du en aktivitet under Aktivitetslista och kopierar värdena för anslutningsdomän och IP-adress från aviseringen.

    Anslutningsprogram komprometterar utgående e-postinformation

  4. Öppna administrationscentret för Exchange på https://admin.exchange.microsoft.com och gå tillMeddelandespårning för e-postflöde>. Om du vill gå direkt till sidan Meddelandespårning använder du https://admin.exchange.microsoft.com/#/messagetrace.

    På sidan Meddelandespårning väljer du fliken Anpassade frågor , väljer Starta en spårning och använder värdena för anslutningsdomän och IP-adress från föregående steg.

    Mer information om meddelandespårning finns i Meddelandespårning i det moderna administrationscentret för Exchange i Exchange Online.

    Utfälld meny för ny meddelandespårning

  5. Leta efter följande information i meddelandespårningsresultatet:

    • Ett stort antal meddelanden har nyligen markerats som FilteredAsSpam. Det här resultatet visar tydligt att en komprometterad anslutningsapp användes för att skicka skräppost.
    • Om det är rimligt att meddelandemottagarna får e-post från avsändare i din organisation

    Nya sökresultat för meddelandespårning

I Exchange Online PowerShell ersätter <du StartDate> och <EndDate> med dina värden och kör sedan följande kommando för att hitta och validera administratörsrelaterad anslutningsaktivitet i granskningsloggen. Mer information finns i Använda ett PowerShell-skript för att söka i granskningsloggen.

Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector

Detaljerad information om syntax och parametrar finns i Search-UnifiedAuditLog.

Steg 2: Granska och återställa obehöriga ändringar i en anslutningsapp

Öppna administrationscentret för Exchange på https://admin.exchange.microsoft.com och gå tillAnslutningsappar för e-postflöde>. Om du vill gå direkt till sidan Anslutningsappar använder du https://admin.exchange.microsoft.com/#/connectors.

Granska listan över anslutningsappar på sidan Anslutningsappar . Ta bort eller inaktivera okända anslutningsappar och kontrollera om det finns obehöriga konfigurationsändringar i varje anslutningsprogram.

Steg 3: Avblockera anslutningsappen för att återaktivera e-postflödet

När du har återfått kontrollen över den komprometterade anslutningsappen avblockera du anslutningsappen på sidan Begränsade entiteter i Defender-portalen. Anvisningar finns i Ta bort blockerade anslutningsappar från sidan Begränsade entiteter.

Steg 4: Undersöka och åtgärda potentiellt komprometterade administratörskonton

När du har identifierat administratörskontot som var ansvarigt för konfigurationsaktiviteten för obehöriga anslutningsappar undersöker du administratörskontot för intrång. Anvisningar finns i Svara på ett komprometterat Email-konto.

Mer information