Udostępnij za pośrednictwem

Reagowanie na łącznik z naruszonymi zabezpieczeniami

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Łączniki są używane do włączania przepływu poczty między platformą Microsoft 365 a serwerami poczty e-mail, które znajdują się w środowisku lokalnym. Aby uzyskać więcej informacji, zobacz Konfigurowanie przepływu poczty przy użyciu łączników w Exchange Online.

Łącznik przychodzący z wartością OnPremisesTyp jest uznawany za naruszyny, gdy osoba atakująca tworzy nowy łącznik lub modyfikuje istniejący łącznik w celu wysyłania wiadomości e-mail ze spamem lub wyłudzaniem informacji.

W tym artykule wyjaśniono objawy naruszenia zabezpieczeń łącznika i sposobu odzyskania nad nim kontroli.

Objawy łącznika z naruszonymi zabezpieczeniami

Łącznik z naruszonymi zabezpieczeniami ma co najmniej jedną z następujących cech:

  • Nagły wzrost liczby wychodzących wiadomości e-mail.
  • Niezgodność między 5321.MailFrom adresem (znanym również jako adres MAIL FROM , nadawca P1 lub nadawca koperty) a 5322.From adresem (znanym również jako adres od lub nadawca P2) w wychodzącej wiadomości e-mail. Aby uzyskać więcej informacji na temat tych nadawców, zobacz How EOP validates the From address to prevent phishing (Jak EOP weryfikuje adres Od, aby zapobiec wyłudzaniu informacji).
  • Poczta wychodząca wysłana z domeny, która nie jest aprowizowana ani zarejestrowana.
  • Łącznik nie może wysyłać lub przekazywać wiadomości e-mail.
  • Obecność łącznika przychodzącego, który nie został utworzony przez administratora.
  • Nieautoryzowane zmiany w konfiguracji istniejącego łącznika (na przykład nazwa, nazwa domeny i adres IP).
  • Niedawno naruszone konto administratora. Tworzenie lub edytowanie łączników wymaga dostępu administratora.

Jeśli widzisz te objawy lub inne nietypowe objawy, należy zbadać.

Zabezpieczanie i przywracanie funkcji poczty e-mail do podejrzanego łącznika z naruszeniem zabezpieczeń

Wykonaj wszystkie poniższe kroki, aby odzyskać kontrolę nad łącznikiem. Wykonaj kroki tak szybko, jak podejrzewasz problem i tak szybko, jak to możliwe, aby upewnić się, że osoba atakująca nie wznowi kontroli nad łącznikiem. Te kroki ułatwiają również usunięcie wszelkich wpisów tylnych drzwi, które osoba atakująca mogła dodać do łącznika.

Krok 1. Określenie, czy łącznik przychodzący został naruszony

W Ochrona usługi Office 365 w usłudze Microsoft Defender planie 2 otwórz portal Microsoft Defender pod adresem https://security.microsoft.com i przejdź do Eksploratora. Aby przejść bezpośrednio do strony Eksploratora , użyj polecenia https://security.microsoft.com/threatexplorer.

  1. Na stronie Eksplorator sprawdź, czy wybrano kartę Wszystkie wiadomości e-mail , a następnie skonfiguruj następujące opcje:

    • Wybierz zakres daty/godziny.
    • Wybierz pozycję Łącznik.
    • Wprowadź nazwę łącznika w polu Wyszukaj.
    • Wybierz pozycję Odśwież.

    Widok eksploratora łączników dla ruchu przychodzącego

  2. Poszukaj nietypowych skoków lub spadków ruchu poczty e-mail.

    Liczba wiadomości e-mail dostarczonych do folderu wiadomości-śmieci

  3. Odpowiedz na następujące pytania:

    • Czy adres IP nadawcy jest zgodny z lokalnym adresem IP organizacji?
    • Czy do folderu Junk Email wysłano znaczną liczbę ostatnich wiadomości? Ten wynik wyraźnie wskazuje, że do wysyłania spamu użyto łącznika, którego zabezpieczenia zostały naruszone.
    • Czy adresaci wiadomości mogą otrzymywać wiadomości e-mail od nadawców w organizacji?

    Adres IP nadawcy i lokalny adres IP organizacji

W Ochrona usługi Office 365 w usłudze Microsoft Defender lub Exchange Online Protection użyj alertów i śledzenia komunikatów, aby wyszukać objawy naruszenia zabezpieczeń łącznika:

  1. Otwórz portal usługi Defender pod adresem https://security.microsoft.com i przejdź do obszaru Zdarzenia & alerty alertów>. Możesz też przejść bezpośrednio do strony Alerty , korzystając z alertu Otwórz alert dotyczący podejrzanego łącznika w programie https://security.microsoft.com/alerts.

  2. Na stronie Alerty użyjdziałania podejrzanego łącznikazasad>filtru>, aby znaleźć alerty związane z podejrzanym działaniem łącznika.

  3. Wybierz alert dotyczący podejrzanego działania łącznika, klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy. Na otwartej stronie szczegółów wybierz działanie w obszarze Lista działań i skopiuj wartości domeny łącznika i adresu IP z alertu.

    Szczegóły wychodzącej poczty e-mail dotyczące naruszenia zabezpieczeń łącznika

  4. Otwórz centrum administracyjne programu Exchange pod adresem https://admin.exchange.microsoft.com i przejdź dośledzenia komunikatówprzepływu> poczty. Aby przejść bezpośrednio do strony śledzenia komunikatów , użyj polecenia https://admin.exchange.microsoft.com/#/messagetrace.

    Na stronie Śledzenie komunikatów wybierz kartę Zapytania niestandardowe , wybierz pozycję Rozpocznij śledzenie i użyj wartości domeny łącznika i adresu IP z poprzedniego kroku.

    Aby uzyskać więcej informacji na temat śledzenia komunikatów, zobacz Śledzenie komunikatów w nowoczesnym centrum administracyjnym programu Exchange w Exchange Online.

    Wysuwany nowy ślad komunikatu

  5. W wynikach śledzenia komunikatów poszukaj następujących informacji:

    • Znaczna liczba komunikatów została ostatnio oznaczona jako FilteredAsSpam. Ten wynik wyraźnie wskazuje, że do wysyłania spamu użyto łącznika, którego zabezpieczenia zostały naruszone.
    • Czy adresaci wiadomości mogą otrzymywać wiadomości e-mail od nadawców w organizacji

    Nowe wyniki wyszukiwania śledzenia komunikatów

W Exchange Online programu PowerShell zastąp <wartościami StartDate> i <EndDate>, a następnie uruchom następujące polecenie, aby znaleźć i zweryfikować działanie łącznika związanego z administratorem w dzienniku inspekcji. Aby uzyskać więcej informacji, zobacz Używanie skryptu programu PowerShell do przeszukiwania dziennika inspekcji.

Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Search-UnifiedAuditLog.

Krok 2. Przeglądanie i przywracanie nieautoryzowanych zmian w łączniku

Otwórz centrum administracyjne programu Exchange pod adresem https://admin.exchange.microsoft.com i przejdź do pozycjiŁącznikiprzepływu> poczty. Aby przejść bezpośrednio do strony Łączniki , użyj polecenia https://admin.exchange.microsoft.com/#/connectors.

Na stronie Łączniki przejrzyj listę łączników. Usuń lub wyłącz wszystkie nieznane łączniki i sprawdź każdy łącznik pod kątem nieautoryzowanych zmian konfiguracji.

Krok 3. Odblokuj łącznik, aby ponownie włączyć przepływ poczty

Po odzyskaniu kontroli nad naruszonym łącznikiem odblokuj łącznik na stronie Ograniczone jednostki w portalu usługi Defender. Aby uzyskać instrukcje, zobacz Usuwanie zablokowanych łączników ze strony Jednostki z ograniczeniami.

Krok 4. Badanie i korygowanie potencjalnie zagrożonych kont administratorów

Po zidentyfikowaniu konta administratora odpowiedzialnego za nieautoryzowane działanie konfiguracji łącznika zbadaj konto administratora pod kątem naruszenia zabezpieczeń. Aby uzyskać instrukcje, zobacz Odpowiadanie na konto Email z naruszeniem zabezpieczeń.

Więcej informacji