提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
用户凭据控制对Microsoft Entra ID帐户的访问,这些帐户是入侵调查的核心。 攻击者获取对帐户的访问权限后,即可访问用户的 OneDrive 中关联的 Microsoft 365 邮箱、SharePoint 文件夹或文件。 对泄露用户的修正和调查侧重于受影响的帐户以及与该帐户关联的服务。
攻击者通常使用遭到入侵的用户邮箱发送给组织内外的收件人。 商业Email入侵 (BEC) 是一种多产的攻击类型,本文将对此进行探讨。
本文具体介绍了帐户泄露 (的症状、邮箱) 以及如何重新获得对已泄露帐户的控制。
重要
通过以下按钮,可以测试和识别可疑的帐户活动。 将此测试与本文中的指南结合使用,深入了解可能遭到入侵的帐户,并确定必要的修正作。
Microsoft 365 电子邮件帐户遭到入侵的常见症状
以下一个或多个活动可能指示与 Microsoft 365 邮箱关联的帐户已泄露:
- 邮箱被阻止发送电子邮件。
- 可疑活动。 例如,缺少或删除的电子邮件。
- 可疑 的收件箱规则。 例如:
- 自动将电子邮件转发到未知地址的规则。
- 将邮件移动到“便笺”、“垃圾邮件Email”或“RSS 订阅”文件夹的规则。
- “已发送邮件”或“已删除邮件”文件夹包含可疑邮件。 例如,“我被困在伦敦,寄钱。
- 全局地址列表 (GAL) 中对用户联系人的更改。 例如,姓名、电话号码或邮政编码。
- 频繁的密码更改或无法解释的帐户锁定。
- 最近添加了 外部电子邮件转发。
- 可疑的电子邮件签名。 例如,假银行签名或处方药签名。
如果邮箱出现上述任何症状,请使用下一部分中的步骤重新获得对帐户的控制。
保护和还原Email功能到已泄露的 Microsoft 365 已启用邮件的帐户
攻击者获得对帐户的访问权限后,需要尽快阻止对该帐户的访问。
以下步骤介绍了可能允许攻击者保持持久性并稍后重新获得对帐户的控制的已知方法。 请务必处理每个步骤。
步骤 1:禁用受影响的用户帐户
最好禁用已泄露的帐户,强烈建议在完成调查之前禁用该帐户。
如有必要,请运行以下命令,在 PowerShell 中安装 Microsoft Graph PowerShell 模块:
Install-Module -Name Microsoft.Graph -Scope CurrentUser
通过运行以下命令连接到 Microsoft Graph:
Connect-MgGraph -Scopes "User.ReadWrite.All"
若要将用户帐户的详细信息存储在名为
$user
的变量中,请将 UPN> 替换为<用户帐户名 (用户主体名称或 UPN) ,然后运行以下命令:$user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
例如:
$user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
运行以下命令以禁用用户帐户:
Update-MgUser -UserId $user.Id -AccountEnabled $false
有关详细语法和参数信息,请参阅 Update-MgUser
如果无法禁用帐户,下一个最佳步骤是重置密码。 有关说明,请参阅 在 Microsoft 365 商业版中重置密码。
- 请务必使用强密码:大写和小写字母、至少一个数字和至少一个特殊字符。
- 请勿通过电子邮件向用户发送新密码,因为攻击者此时可以访问邮箱。
- 使用攻击者无法猜到的唯一密码。 即使密码历史记录要求允许,也不要重复使用最近五个密码中的任何一个。
- 如果帐户从 Active Directory 同步,请在 Active Directory 中重置密码并重置两次,以降低 哈希传递 攻击的风险。 有关说明,请参阅 Set-ADAccountPassword。
- 如果用户的标识与 Microsoft 365 联合,则必须在本地环境中更改帐户密码,然后将泄露通知管理员。
- 务必更新应用密码。 重置密码时,不会自动撤销应用密码。 用户应删除现有应用程序密码并创建新密码。 有关详细信息,请参阅 管理双重验证的应用密码。
强烈建议为帐户启用和强制实施多重身份验证 (MFA) 。 MFA 有效地防止帐户泄露,对于具有管理员权限的帐户来说至关重要。
有关详细信息,请参阅以下文章:
步骤 2:撤销用户访问
此步骤会立即使使用被盗凭据的任何活动访问失效,并阻止攻击者访问更敏感的数据或对受攻击的帐户执行未经授权的作。
在权限提升的 PowerShell 窗口中运行以下命令, (打开的 PowerShell 窗口,方法是选择“ 以管理员身份运行 ”) :
Set-ExecutionPolicy RemoteSigned
如有必要,请运行以下命令,安装 Microsoft Graph PowerShell 所需的模块:
Install-Module Microsoft.Graph.Authentication Install-Module Microsoft.Graph.Users.Actions
通过运行以下命令连接到 Microsoft Graph:
Connect-MgGraph -Scopes User.RevokeSessions.All
将 UPN> 替换为<用户帐户 (用户主体名称或 UPN) ,然后运行以下命令:
Revoke-MgUserSignInSession -UserId <UPN>
例如:
Revoke-MgUserSignInSession -UserId jason@contoso.onmicrosoft.com
有关详细信息,请参阅在Microsoft Entra ID的紧急情况下撤销用户访问权限。
步骤 3:查看受影响用户的 MFA 注册设备
识别并删除攻击者添加的任何可疑设备。 此外,请确保删除所有无法识别的 MFA 方法,以保护用户帐户。
有关说明,请参阅 已删除 MFA 方法
步骤 4:查看用户同意的应用程序列表
删除并撤销任何不应允许的应用程序。
有关说明,请参阅 应用程序评审。
步骤 5:查看分配给用户的管理角色
删除不应允许的任何角色。
有关详细信息,请参阅以下文章:
- 使用 Azure 门户列出 Azure 角色分配
- 列出Microsoft Entra角色分配
- Microsoft Purview 门户中的权限
- Microsoft Defender门户中的Microsoft Defender for Office 365权限
步骤 6:查看邮件转发器
删除攻击者添加的任何可疑邮箱转发。
若要查看邮箱上是否配置了邮箱转发 (也称为 SMTP 转发) ,请将 Identity> 替换为<邮箱的名称、电子邮件地址或帐户名称,然后运行以下命令:
Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
例如:
Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
观察以下属性的值:
- ForwardingAddress:非空值表示将电子邮件转发给指定的内部收件人。
- ForwardingSmtpAddress:非空值表示电子邮件正在转发给指定的外部收件人。 如果 同时配置 ForwardingAddress 和 ForwardingSmtpAddress ,则电子邮件仅转发给 ForwardingAddress 内部收件人。
-
DeliverToMailboxAndForward:控制如何传递邮件并将其转发到 ForwardingAddress 或 ForwardingSmtpAddress 指定的收件人:
- True:邮件将传递到此邮箱并转发给指定的收件人。
- False:将邮件转发给指定的收件人。 邮件不会传递到此邮箱。
若要查看是否有任何收件箱规则从邮箱转发电子邮件,请将 Identity> 替换为<邮箱的名称、电子邮件地址或帐户名,然后运行以下命令:
Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
例如:
Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
观察以下属性的值:
已启用:该规则是启用 (True) 还是禁用 (False) 。
RedirectTo:非空值表示电子邮件被重定向到指定的收件人。 邮件不会传递到此邮箱。
ForwardTo:非空值表示将电子邮件转发给指定的收件人。
ForwardAsAttachmentTo:非空值表示电子邮件作为电子邮件附件转发给指定的收件人。
标识:规则的全局唯一值。 若要查看规则的完整详细信息,请将 Identity> 替换为 <Identity 值,然后运行以下命令:
Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
例如:
Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
有关详细信息,请参阅 在 Microsoft 365 中配置和控制外部电子邮件转发。
执行调查
当用户报告异常症状时,进行彻底调查至关重要。 Microsoft Entra 管理中心和Microsoft Defender门户提供多种工具来帮助检查用户帐户上的可疑活动。 请务必从可疑活动开始查看审核日志,直到完成修正步骤。
Microsoft Entra 管理中心中Microsoft Entra登录日志和其他风险报告:检查以下列中的值:
- IP 地址
- 登录位置
- 登录时间
- 登录成功或失败
有关详细信息,请参阅以下文章:
Azure 审核日志:有关详细信息,请参阅 Azure 安全日志记录和审核。
Defender 门户中的审核日志:使用在可疑活动发生前立即开始的日期范围筛选活动的日志。 在初始搜索期间,不要筛选特定活动。
有关详细信息,请参阅 搜索审核日志。
通过分析提供的日志,可以查明需要进一步关注的特定时间范围。 确定后,请查看用户在此期间发送的消息以获取更多见解。
Defender 门户中的邮件跟踪:验证 Outlook 或 Outlook 网页版 帐户的“已发送邮件”文件夹的内容。
有关详细信息,请参阅Microsoft Defender门户中的消息跟踪。
调查完成后
如果在调查期间禁用了该帐户,请重置密码,然后启用该帐户,如本文前面所述
如果帐户用于发送垃圾邮件或大量电子邮件,则可能阻止邮箱发送邮件。 如从“受限实体”页 中删除阻止的用户中所述,从“受限实体”页中删除用户。