Svara på ett komprometterat e-postkonto

2025-03-31
Gäller för: ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

Användarautentiseringsuppgifter styr åtkomsten till Microsoft Entra ID konton, som är centrala för att kompromettera undersökningar. När en angripare får åtkomst till kontot kan de komma åt den associerade Microsoft 365-postlådan, SharePoint-mappar eller filer i användarens OneDrive. Reparation och undersökning av en komprometterad användare fokuserar på det berörda kontot och de tjänster som är associerade med kontot.

Angripare använder ofta en komprometterad användares postlåda för att skicka till mottagare inom och utanför organisationen. Business Email Compromise (BEC) är en produktiv typ av attack och behandlas i den här artikeln.

Den här artikeln beskriver symptomen på kontointrång (särskilt postlådan) och hur du återfår kontrollen över det komprometterade kontot.

Viktigt

Med följande knapp kan du testa och identifiera misstänkt kontoaktivitet. Använd det här testet med vägledningen i den här artikeln för att få insikter om potentiellt komprometterade konton och fastställa nödvändiga reparationsåtgärder.

Kör tester: Komprometterade konton

Vanliga symptom på ett komprometterat Microsoft 365-e-postkonto

En eller flera av följande aktiviteter kan tyda på att ett konto som är associerat med en Microsoft 365-postlåda har komprometterats:

Postlådan blockeras från att skicka e-post.
Misstänkt aktivitet. Till exempel saknade eller borttagna e-postmeddelanden.
Misstänkta inkorgsregler. Till exempel:
- Regler som automatiskt vidarebefordrar e-post till okända adresser.
- Regler som flyttar meddelanden till mapparna Anteckningar, Skräppost Email eller RSS-prenumerationer.
Mapparna Skickat ellerBorttaget innehåller misstänkta meddelanden. Till exempel, "Jag är fast i London, skicka pengar."
Ändringar i användarens kontakt i den globala adresslistan (GAL). Till exempel namn, telefonnummer eller postnummer.
Frekventa lösenordsändringar eller oförklarliga kontoutelåsningar.
Vidarebefordran av extern e-post har nyligen lagts till.
Misstänkta e-postsignaturer. Till exempel en falsk banksignatur eller en signatur för receptbelagda läkemedel.

Om postlådan uppvisar något av dessa symptom använder du stegen i nästa avsnitt för att återfå kontrollen över kontot.

Skydda och återställa Email funktion till ett komprometterat Microsoft 365-e-postaktiverat konto

När angriparen har fått åtkomst till ett konto måste du blockera åtkomsten till kontot så snart som möjligt.

Följande steg beskriver kända metoder som kan göra det möjligt för angriparen att upprätthålla beständighet och återfå kontrollen över kontot senare. Se till att åtgärda varje steg.

Steg 1: Inaktivera det berörda användarkontot

Inaktivera det komprometterade kontot rekommenderas och rekommenderas starkt tills du slutför undersökningen.
1. Om det behövs installerar du Microsoft Graph PowerShell-modulen i PowerShell genom att köra följande kommando:
```
Install-Module -Name Microsoft.Graph -Scope CurrentUser
```
2. Anslut till Microsoft Graph genom att köra följande kommando:
```
Connect-MgGraph -Scopes "User.ReadWrite.All"
```
3. Om du vill lagra information om användarkontot i variabeln med namnet $userersätter <du UPN> med användarens kontonamn (användarens huvudnamn eller UPN) och kör sedan följande kommando:
```
$user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
```
  Till exempel:
```
$user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
```
4. Kör följande kommando för att inaktivera användarkontot:
```
Update-MgUser -UserId $user.Id -AccountEnabled $false
```
Detaljerad information om syntax och parametrar finns i Update-MgUser
Om du inte kan inaktivera kontot är nästa bästa steg att återställa lösenordet. Anvisningar finns i Återställa lösenord i Microsoft 365 för företag.
- Se till att använda ett starkt lösenord: versaler och gemener, minst ett tal och minst ett specialtecken.
- Skicka inte det nya lösenordet till användaren via e-post, eftersom angriparen kan ha åtkomst till postlådan just nu.
- Använd ett unikt lösenord som angriparen inte kan gissa sig till. Även om kravet på lösenordshistorik tillåter det ska du inte återanvända något av de senaste fem lösenorden.
- Om kontot synkroniseras från Active Directory återställer du lösenordet i Active Directory och återställer det två gånger för att minska risken för pass-the-hash-attacker . Anvisningar finns i Set-ADAccountPassword.
- Om användarens identitet är federerad med Microsoft 365 måste du ändra kontolösenordet i den lokala miljön och sedan meddela administratören om kompromettering.
- Se till att uppdatera applösenord. Applösenord återkallas inte automatiskt när du återställer lösenordet. Användaren ska ta bort befintliga applösenord och skapa nya. Mer information finns i Hantera applösenord för tvåstegsverifiering.
Vi rekommenderar starkt att du aktiverar och tillämpar multifaktorautentisering (MFA) för kontot. MFA skyddar effektivt mot kontointrång och är viktigt för konton med administratörsprivilegier.

Mer information finns i följande artiklar:
- Konfigurera multifaktorautentisering
- Kräv nätfiskeresistent MFA för administratörer

Steg 2: Återkalla användaråtkomst

Det här steget ogiltigförklarar omedelbart all aktiv åtkomst med hjälp av de stulna autentiseringsuppgifterna och hindrar angriparen från att komma åt känsligare data eller utföra obehöriga åtgärder på det komprometterade kontot.

Kör följande kommando i ett upphöjt PowerShell-fönster (ett PowerShell-fönster som du öppnar genom att välja Kör som administratör):
```
Set-ExecutionPolicy RemoteSigned
```
Om det behövs kör du följande kommandon för att installera de moduler som krävs för Microsoft Graph PowerShell:
```
Install-Module Microsoft.Graph.Authentication

Install-Module Microsoft.Graph.Users.Actions
```
Anslut till Microsoft Graph genom att köra följande kommando:
```
Connect-MgGraph -Scopes User.RevokeSessions.All
```
Ersätt <UPN> med användarens konto (användarens huvudnamn eller UPN) och kör sedan följande kommando:
```
Revoke-MgUserSignInSession -UserId <UPN>
```
Till exempel:
```
Revoke-MgUserSignInSession -UserId jason@contoso.onmicrosoft.com
```

Mer information finns i Återkalla användaråtkomst i en nödsituation i Microsoft Entra ID.

Steg 3: Granska MFA-registrerade enheter för den berörda användaren

Identifiera och ta bort misstänkta enheter som lagts till av en angripare. Se också till att alla okända MFA-metoder tas bort för att skydda användarens konto.

Anvisningar finns i MFA-metoder har tagits bort

Ta bort och återkalla program som inte ska tillåtas.

Anvisningar finns i Programgranskning.

Steg 5: Granska de administrativa roller som tilldelats användaren

Ta bort alla roller som inte ska tillåtas.

Mer information finns i följande artiklar:

Steg 6: Granska vidarebefordrare för e-post

Ta bort eventuell misstänkt vidarebefordran av postlådan som angriparen har lagt till.

Ansluta till Exchange Online PowerShell.
Om du vill se om vidarebefordran av postlådor (även kallat SMTP-vidarebefordring) har konfigurerats för postlådan ersätter <du Identity> med postlådans namn, e-postadress eller kontonamn och kör sedan följande kommando:
```
Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
```
Till exempel:
```
Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
```
Observera värdena för följande egenskaper:
- VidarebefordranAdress: Ett värde som inte är giltigt innebär att e-post vidarebefordras till den angivna interna mottagaren.
- ForwardingSmtpAddress: Ett icke-tomma värde innebär att e-post vidarebefordras till den angivna externa mottagaren. Om både ForwardingAddress och ForwardingSmtpAddress har konfigurerats vidarebefordras e-post endast till den interna mottagaren För vidarebefordranAdress .
- DeliverToMailboxAndForward: Styr hur meddelanden levereras och vidarebefordras till mottagare som anges av ForwardingAddress eller ForwardingSmtpAddress:
  - Sant: Meddelanden levereras till den här postlådan och vidarebefordras till den angivna mottagaren.
  - Falskt: Meddelanden vidarebefordras till den angivna mottagaren. Meddelanden levereras inte till den här postlådan.
Om du vill se om inkorgsregler vidarebefordrar e-post från postlådan ersätter <du Identity> med postlådans namn, e-postadress eller kontonamn och kör sedan följande kommando:
```
Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
```
Till exempel:
```
Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
```
Observera värdena för följande egenskaper:
- Aktiverad: Om regeln är aktiverad (Sant) eller inaktiverad (false).
- RedirectTo: Ett icke-tomma värde innebär att e-post omdirigeras till de angivna mottagarna. Meddelanden levereras inte till den här postlådan.
- ForwardTo: Ett icke-tomma värde innebär att e-post vidarebefordras till de angivna mottagarna.
- ForwardAsAttachmentTo: Ett icke-tomma värde innebär att e-post vidarebefordras till de angivna mottagarna som en e-postbilaga.
- Identitet: Regelns globalt unika värde. Om du vill se fullständig information om regeln ersätter <du Identity> med identitetsvärdet och kör sedan följande kommando:
```
Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
```
  Till exempel:
```
Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
```

Mer information finns i Konfigurera och kontrollera extern vidarebefordran av e-post i Microsoft 365.

Utföra en undersökning

När en användare rapporterar ovanliga symtom är det viktigt att utföra en grundlig undersökning. Microsoft Entra administrationscenter och Microsoft Defender-portalen innehåller flera verktyg för att undersöka misstänkt aktivitet på användarkonton. Se till att granska granskningsloggarna från den misstänkta aktivitetens början tills du har slutfört reparationsstegen.

Microsoft Entra inloggningsloggar och andra riskrapporter i Microsoft Entra administrationscenter: Granska värdena i dessa kolumner:
- IP-adress
- Inloggningsplatser
- Inloggningstider
- Inloggningen lyckades eller misslyckades
Mer information finns i följande artiklar:
- Vad är Microsoft Entra granskningsloggar?
- Vad är Microsoft Entra inloggningsloggar?
Azure-granskningsloggar: Mer information finns i Säkerhetsloggning och granskning i Azure.
Granskningsloggar i Defender-portalen: Filtrera loggarna för aktivitet med ett datumintervall som startar omedelbart innan den misstänkta aktiviteten inträffade. Filtrera inte specifika aktiviteter under den första sökningen.

Mer information finns i Sök i granskningsloggen.

Genom att analysera de angivna loggarna kan du hitta den specifika tidsram som kräver ytterligare uppmärksamhet. När du har identifierat det granskar du de meddelanden som skickas av användaren under den här perioden för mer information.

Meddelandespårning i Defender-portalen: Kontrollera innehållet i mappen Skickat objekt för kontot i Outlook eller Outlook på webben.

Mer information finns i Meddelandespårning i Microsoft Defender-portalen.

När undersökningen är klar

Om du inaktiverade kontot under undersökningen återställer du lösenordet och aktiverar sedan kontot enligt beskrivningen tidigare i den här artikeln
Om kontot användes för att skicka skräppost eller en stor mängd e-post är det troligt att postlådan blockeras från att skicka e-post. Ta bort användaren från sidan Begränsade entiteter enligt beskrivningen i Ta bort blockerade användare från sidan Begränsade entiteter.