Del via

Svare på en kompromittert kobling

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Koblinger brukes til å aktivere e-postflyt mellom Microsoft 365 og e-postservere som du har i det lokale miljøet. Hvis du vil ha mer informasjon, kan du se Konfigurere e-postflyt ved hjelp av koblinger i Exchange Online.

En inngående kobling med typeverdienOnPremises anses som kompromittert når en angriper oppretter en ny kobling eller endrer og eksisterende kobling for å sende søppelpost eller phishing-e-post.

Denne artikkelen forklarer symptomene på en kompromittert kobling og hvordan du kan gjenvinne kontrollen over den.

Symptomer på en kompromittert kobling

En kompromittert kobling viser ett eller flere av følgende egenskaper:

  • En plutselig økning i volum for utgående e-post.
  • En uoverensstemmelse mellom 5321.MailFrom adressen (også kjent som MAIL FROM-adressen , P1-avsenderen eller konvoluttavsenderen 5322.From ) og adressen (også kjent som Fra-adressen eller P2-avsenderen) i utgående e-post. Hvis du vil ha mer informasjon om disse avsenderne, kan du se Hvordan EOP validerer Fra-adressen for å forhindre phishing.
  • Utgående e-post sendt fra et domene som ikke er klargjort eller registrert.
  • Koblingen er blokkert fra å sende eller videresende e-post.
  • Tilstedeværelsen av en inngående kobling som ikke ble opprettet av en administrator.
  • Uautoriserte endringer i konfigurasjonen av en eksisterende kobling (for eksempel navnet, domenenavnet og IP-adressen).
  • En nylig kompromittert administratorkonto. Oppretting eller redigering av koblinger krever administratortilgang.

Hvis du ser disse symptomene eller andre uvanlige symptomer, bør du undersøke.

Funksjonen Sikre og gjenopprette e-post til en mistenkt kompromittert kobling

Gjør alle følgende trinn for å få tilbake kontrollen over koblingen. Gå gjennom trinnene så snart du mistenker et problem, og så raskt som mulig for å sikre at angriperen ikke gjenopptar kontrollen over koblingen. Disse trinnene hjelper deg også med å fjerne eventuelle bakdøroppføringer som angriperen kan ha lagt til i koblingen.

Trinn 1: Identifisere om en innkommende kobling har blitt kompromittert

Åpne Microsoft Defender-portalen i https://security.microsoft.comMicrosoft Defender for Office 365 Plan 2, og gå til Explorer. Du kan også gå direkte til Explorer-siden ved å bruke https://security.microsoft.com/threatexplorer.

  1. Kontroller at fanen Alle e-postmeldinger er valgt på Explorer-siden, og konfigurer deretter følgende alternativer:

    • Velg dato/klokkeslett-området.
    • Velg Kobling.
    • Skriv inn koblingsnavnet i Søk boksen.
    • Velg Oppdater.

    Inngående koblingsutforskervisning

  2. Se etter unormale pigger eller fall i e-posttrafikken.

    Antall e-postmeldinger levert til søppelpostmappen

  3. Svar på følgende spørsmål:

    • Samsvarer IP-adressen til avsenderen med organisasjonens lokale IP-adresse?
    • Ble et betydelig antall nylige meldinger sendt til Søppelpost-mappen ? Dette resultatet indikerer tydelig at en kompromittert kobling ble brukt til å sende søppelpost.
    • Er det rimelig for meldingsmottakerne å motta e-post fra avsendere i organisasjonen?

    Ip-adresse for avsender og organisasjonens lokale IP-adresse

Bruk varsler og meldingssporing i Microsoft Defender for Office 365 eller Exchange Online Protection for å se etter symptomene på koblingskompromisser:

  1. Åpne Defender-portalen og https://security.microsoft.com gå til Hendelser & varsler>varsler. Hvis du vil gå direkte til Varsler-siden, kan du bruke Varsel om mistenkelig koblingsaktivitet i https://security.microsoft.com/alerts.

  2. Bruk koblingenMistenkeligkoblingsaktivitet forfilterpolicy>> på Varsler-siden til å finne eventuelle varsler relatert til mistenkelig koblingsaktivitet.

  3. Velg et mistenkelig varsel om koblingsaktivitet ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet. Velg en aktivitet under Aktivitet-listen på detaljsiden som åpnes, og kopier verdiene for koblingsdomenet og IP-adressen fra varselet.

    Kompromitter utgående e-postdetaljer for kobling

  4. Åpne administrasjonssenteret for Exchange på https://admin.exchange.microsoft.com og gå tilmeldingssporing for e-postflyt>. Du kan også gå direkte til meldingssporingssiden ved å bruke https://admin.exchange.microsoft.com/#/messagetrace.

    Velg fanen Egendefinerte spørringermeldingssporing-siden, velg Start en sporing, og bruk verdiene for koblingsdomene ogIP-adresse fra forrige trinn.

    Hvis du vil ha mer informasjon om meldingssporing, kan du se Meldingssporing i det moderne administrasjonssenteret for Exchange i Exchange Online.

    Undermeny for ny meldingssporing

  5. Se etter følgende informasjon i meldingssporingsresultatene:

    • Et betydelig antall meldinger ble nylig merket som FilteredAsSpam. Dette resultatet indikerer tydelig at en kompromittert kobling ble brukt til å sende søppelpost.
    • Om det er rimelig for meldingsmottakerne å motta e-post fra avsendere i organisasjonen

    Søkeresultater for ny meldingssporing

Erstatt StartDate og <EndDate>> med verdiene i Exchange Online PowerShell<, og kjør deretter følgende kommando for å finne og validere administratorrelatert koblingsaktivitet i overvåkingsloggen. Hvis du vil ha mer informasjon, kan du se Bruke et PowerShell-skript til å søke i overvåkingsloggen.

Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Søk-UnifiedAuditLog.

Trinn 2: Se gjennom og gjenopprette uautoriserte endringer i en kobling

Åpne administrasjonssenteret for Exchange på https://admin.exchange.microsoft.com og gå tilKoblinger for e-postflyt>. Du kan også gå direkte til Koblinger-siden ved å bruke https://admin.exchange.microsoft.com/#/connectors.

Se gjennom listen over koblinger på Koblinger-siden . Fjern eller deaktiver eventuelle ukjente koblinger, og kontroller hver kobling for uautoriserte konfigurasjonsendringer.

Trinn 3: Oppheve blokkeringen av koblingen for å aktivere e-postflyt på nytt

Når du har fått tilbake kontrollen over den kompromitterte koblingen, opphever du blokkeringen av koblingen på siden Begrensede enheter i Defender-portalen. Hvis du vil ha instruksjoner, kan du se Fjerne blokkerte koblinger fra siden Begrensede enheter.

Trinn 4: Undersøke og utbedre potensielt kompromitterte administratorkontoer

Når du har identifisert administratorkontoen som var ansvarlig for den uautoriserte tilkoblingskonfigurasjonsaktiviteten, må du undersøke administratorkontoen for kompromiss. Hvis du vil ha instruksjoner, kan du se Svare på en kompromittert e-postkonto.

Mer informasjon