Vastaaminen haittaohjelmille altistuneeseen yhdistimeen

• Koskee seuraavia::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Liittimiä käytetään postinkulun käyttöönottoon Microsoft 365:n ja paikallisessa ympäristössäsi sijaitsevien sähköpostipalvelimien välillä. Lisätietoja on artikkelissa Postinkulun määrittäminen liittimien avulla Exchange Online.

Saapuvan liittimen, jonka Tyyppi-arvo OnPremises on, katsotaan vaarantuneeksi, kun hyökkääjä luo uuden liittimen tai muokkaa sitä ja olemassa olevaa liitintä roskapostin tai tietojenkalastelusähköpostin lähettämistä varten.

Tässä artikkelissa kerrotaan vaarantuneesta liittimestä ja siitä, miten voit palauttaa sen hallinnan.

Liittimen vaarantumisen oireet

Vaarantuneessa liittimessä on vähintään yksi seuraavista ominaisuuksista:

• Äkillinen piikki lähtevän postin määrässä.
• Osoitteen (jota kutsutaan myös MAIL FROM -osoitteeksi, P1-lähettäjäksi tai kirjekuoren lähettäjäksi) ja 5322.From saapuvan sähköpostin osoitteen (jota kutsutaan myös lähettäjän osoitteeksi tai P2-lähettäjäksi) välinen 5321.MailFrom ristiriita. Lisätietoja näistä lähettäjistä on artikkelissa Miten EOP vahvistaa Lähettäjä-osoitteen tietojenkalastelun estämiseksi.
• Lähtevä posti lähetetään toimialueelta, jota ei ole valmistelty tai rekisteröity.
• Liitintä on estetty lähettämästä tai välittämästä sähköpostia.
• Saapuvan liittimen läsnäolo, jota järjestelmänvalvoja ei ole luonut.
• Valtuuttamattomat muutokset olemassa olevan liittimen määrityksessä (esimerkiksi nimi, toimialueen nimi ja IP-osoite).
• Äskettäin vaarantunut järjestelmänvalvojatili. Liittimien luominen tai muokkaaminen edellyttää järjestelmänvalvojan käyttöoikeutta.

Jos sinulla on näitä oireita tai muita epätavallisia oireita, sinun on tutkittava.

Sähköpostifunktion suojaaminen ja palauttaminen epäillylle vaarantuneelle liittimelle

Voit palauttaa liittimen hallinnan tekemällä kaikki seuraavat vaiheet. Käy vaiheet läpi heti, kun epäilet ongelmaa, ja varmista mahdollisimman nopeasti, ettei hyökkääjä jatka liittimen hallintaa. Näiden vaiheiden avulla voit myös poistaa kaikki takaoven merkinnät, jotka hyökkääjä on saattanut lisätä liittimeen.

Vaihe 1: Sen selvittäminen, onko saapuvan liittimen yhteys vaarantunut

Tarkista viimeaikaiset epäilyttävät liitinten liikennetiedot tai niihin liittyvät viestit

Avaa Microsoft Defender portaali palvelupakettiin 2 Microsoft Defender for Office 365 osoitteessa https://security.microsoft.com ja siirry Exploreriin. Voit myös siirtyä suoraan Resurssienhallinta-sivulle valitsemalla https://security.microsoft.com/threatexplorer.

1. Tarkista Resurssienhallinta-sivulla , että Kaikki sähköposti -välilehti on valittuna, ja määritä sitten seuraavat asetukset:

   • Valitse päivämäärä/aika-alue.
   • Valitse Yhdistin.
   • Kirjoita liittimen nimi Haku-ruutuun.
   • Valitse Päivitä.

   

2. Etsi epänormaaleja sähköpostiliikenteen piikkiä tai pulmia.

   

3. Vastaa seuraaviin kysymyksiin:

   • Vastaako lähettäjän IP-osoite organisaatiosi paikallista IP-osoitetta?
   • Lähetettiinkö roskapostikansioon merkittävästi viimeksi käytettyjä viestejä? Tämä tulos osoittaa selvästi, että roskapostin lähettämiseen käytettiin vaarantunneita yhdistimiä.
   • Onko kohtuullista, että viestin vastaanottajat saavat sähköpostia organisaatiosi lähettäjiltä?

   

Microsoft Defender for Office 365 tai Exchange Online Protection voit etsiä yhdistimen vaarantumisen oireita ilmoitusten ja viestien jäljityksen avulla:

1. Avaa Defender-portaali osoitteessa https://security.microsoft.com ja siirry kohtaan Tapaukset & hälytykset>. Voit myös siirtyä suoraan Ilmoitukset-sivulle valitsemalla Avaa epäilyttävän liittimen toimintahälytys kohteessa https://security.microsoft.com/alerts.

2. Käytä Ilmoitukset-sivullaSuodatinkäytäntö>>Epäilyttävä liitin -toimintoa löytääksesi ilmoituksia, jotka liittyvät epäilyttävään liittimen toimintaan.

3. Valitse epäilyttävä liittimen toimintahälytys napsauttamalla mitä tahansa muuta riviä kuin nimen vieressä olevaa valintaruutua. Valitse avautuvalta tietosivulta aktiviteetti Toiminta-luettelosta ja kopioi Liitin-toimialueen ja IP-osoitteen arvot hälytyksestä.

   

4. Avaa Exchange-hallintakeskus osoitteessa https://admin.exchange.microsoft.com ja siirry postinkulun>viestin jäljitykseen. Voit myös siirtyä suoraan Viestin jäljitys -sivulle valitsemalla https://admin.exchange.microsoft.com/#/messagetrace.

   Valitse Viestin jäljitys -sivulla Mukautetut kyselyt -välilehti, valitse Aloita jäljitys ja käytä edellisen vaiheen Liitin-toimialueen ja IP-osoitteen arvoja.

   Lisätietoja viestin jäljitystiedoista on artikkelissa Viestin jäljitys modernissa Exchange-hallintakeskuksessa Exchange Online.

   

5. Etsi viestin jäljitystuloksista seuraavat tiedot:

   • Merkittävä määrä viestejä merkittiin äskettäin nimellä FilteredAsSpam. Tämä tulos osoittaa selvästi, että roskapostin lähettämiseen käytettiin vaarantunneita yhdistimiä.
   • Onko kohtuullista, että viestin vastaanottajat saavat sähköpostia organisaatiosi lähettäjiltä

   

Liittimeen liittyvän toiminnan tutkiminen ja vahvistaminen

Korvaa <Exchange Online PowerShellissä StartDate> ja <EndDate> arvoillasi ja suorita sitten seuraava komento järjestelmänvalvojaan liittyvän liittimen toiminnan etsimiseksi ja vahvistamiseksi valvontalokista. Lisätietoja on artikkelissa Valvontalokista etsiminen PowerShell-komentosarjan avulla.

Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector

Tarkat syntaksi- ja parametritiedot ovat kohdassa Search-UnifiedAuditLog.

Vaihe 2: Tarkista ja palauta valtuuttamattomat muutokset liittimessä

Avaa Exchange-hallintakeskus osoitteessa https://admin.exchange.microsoft.com ja siirry kohtaan Postinkulun>liittimet. Voit myös siirtyä suoraan Liittimet-sivulle valitsemalla https://admin.exchange.microsoft.com/#/connectors.

Tarkista liittimien luettelo Liittimet-sivulla . Poista tuntemattomat liittimet tai poista ne käytöstä ja tarkista, onko jokaisessa liittimessä valtuuttamattomia määritysmuutoksia.

Vaihe 3: Poista liittimen esto, jotta voit ottaa postinkulun uudelleen käyttöön

Kun olet saanut vaarantuneen liittimen hallinnan takaisin käyttöön, poista liittimen esto Defender-portaalin Rajoitetut entiteetit -sivulla. Katso ohjeet kohdasta Estettyjen liittimien poistaminen Rajoitetut entiteetit -sivulta.

Vaihe 4: Mahdollisesti vaarantuvien järjestelmänvalvojatilien tutkiminen ja korjaaminen

Kun olet tunnistanut järjestelmänvalvojatilin, joka oli vastuussa valtuuttamattoman liittimen määritystoiminnasta, tutki järjestelmänvalvojatiliä kompromissien aikaansaamiseksi. Katso ohjeet artikkelista Vaarantuneelle sähköpostitilille vastaaminen.

Lisätietoja

• Estettyjen yhdistimien poistaminen
• Estettyjen käyttäjien poistaminen