Rispondere a un account di posta elettronica compromesso
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Le credenziali utente controllano l'accesso agli account Microsoft Entra ID, che sono fondamentali per le indagini di compromissione. Quando un utente malintenzionato ottiene l'accesso all'account, può accedere alla cassetta postale di Microsoft 365, alle cartelle di SharePoint o ai file associati in OneDrive dell'utente. La correzione e l'analisi di un utente compromesso sono incentrate sull'account interessato e sui servizi associati all'account.
Gli utenti malintenzionati usano spesso la cassetta postale di un utente compromesso per inviare i destinatari all'interno e all'esterno dell'organizzazione. Business Email Compromise (BEC) è un tipo di attacco prolifico e viene affrontato in questo articolo.
Questo articolo illustra i sintomi della compromissione dell'account (in particolare, la cassetta postale) e come riprendere il controllo dell'account compromesso.
Importante
Il pulsante seguente consente di testare e identificare le attività sospette dell'account. Usare questo test con le indicazioni in questo articolo per ottenere informazioni dettagliate sugli account potenzialmente compromessi e determinare le azioni correttive necessarie.
Sintomi comuni di un account di posta elettronica Microsoft 365 compromesso
Una o più delle attività seguenti potrebbero indicare che un account associato a una cassetta postale di Microsoft 365 è compromesso:
- Alla cassetta postale viene impedito di inviare messaggi di posta elettronica.
- Attività sospetta. Ad esempio, messaggio di posta elettronica mancante o eliminato.
-
Regole di posta in arrivo sospette. Ad esempio:
- Regole che inoltrano automaticamente i messaggi di posta elettronica a indirizzi sconosciuti.
- Regole che spostano i messaggi nelle cartelle Note, Email indesiderata o Sottoscrizioni RSS.
- Le cartelle Posta inviata o Posta eliminata contengono messaggi sospetti. Ad esempio, "Sono bloccato a Londra, invia denaro".
- Modifiche al contatto dell'utente nell'elenco indirizzi globale . Ad esempio, nome, numero di telefono o codice postale.
- Modifiche frequenti delle password o blocchi di account inspiegabili.
- Inoltro di posta elettronica esterno aggiunto di recente.
- Firme di messaggi di posta elettronica sospette. Ad esempio, una firma bancaria falsa o una firma di farmaco da prescrizione.
Se la cassetta postale presenta uno di questi sintomi, usare i passaggi descritti nella sezione successiva per riprendere il controllo dell'account.
Proteggere e ripristinare Email funzione in un account abilitato per la posta elettronica di Microsoft 365 compromesso
Dopo che l'utente malintenzionato ottiene l'accesso a un account, è necessario bloccare l'accesso all'account il prima possibile.
La procedura seguente illustra i metodi noti che potrebbero consentire all'utente malintenzionato di mantenere la persistenza e riprendere il controllo dell'account in un secondo momento. Assicurarsi di risolvere ogni passaggio.
Passaggio 1: Disabilitare l'account utente interessato
La disabilitazione dell'account compromesso è preferibile e consigliata fino al completamento dell'indagine.
Se necessario, installare il modulo PowerShell di Microsoft Graph in PowerShell eseguendo il comando seguente:
Install-Module -Name Microsoft.Graph -Scope CurrentUser
Connettersi a Microsoft Graph eseguendo il comando seguente:
Connect-MgGraph -Scopes "User.ReadWrite.All"
Per archiviare i dettagli dell'account utente nella variabile denominata
$user
, sostituire <UPN> con il nome dell'account dell'utente (nome dell'entità utente o UPN) e quindi eseguire il comando seguente:$user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
Ad esempio:
$user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
Eseguire il comando seguente per disabilitare l'account utente:
Update-MgUser -UserId $user.Id -AccountEnabled $false
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Update-MgUser
Se non è possibile disabilitare l'account, il passaggio migliore successivo consiste nel reimpostare la password. Per istruzioni, vedere Reimpostare le password in Microsoft 365 per le aziende.
- Assicurarsi di usare una password complessa: lettere maiuscole e minuscole, almeno un numero e almeno un carattere speciale.
- Non inviare la nuova password all'utente tramite posta elettronica, perché a questo punto l'utente malintenzionato potrebbe avere accesso alla cassetta postale.
- Usare una password univoca che l'utente malintenzionato non riesce a indovinare. Anche se il requisito di cronologia delle password lo consente, non riutilizzare nessuna delle ultime cinque password.
- Se l'account è sincronizzato da Active Directory, reimpostare la password in Active Directory e reimpostarla due volte per ridurre il rischio di attacchi pass-the-hash . Per istruzioni, vedere Set-ADAccountPassword.
- Se l'identità dell'utente è federata con Microsoft 365, è necessario modificare la password dell'account nell'ambiente locale e quindi informare l'amministratore della compromissione.
- Assicurati di aggiornare le password dell'app. Le password dell'app non vengono revocate automaticamente quando si reimposta la password. L'utente deve eliminare le password dell'app esistenti e crearne nuove. Per altre informazioni, vedere Gestire le password delle app per la verifica in due passaggi.
È consigliabile abilitare e applicare l'autenticazione a più fattori (MFA) per l'account. L'autenticazione a più fattori protegge efficacemente dalla compromissione degli account ed è essenziale per gli account con privilegi di amministratore.
Per altre informazioni, vedere gli articoli seguenti:
Passaggio 2: Revocare l'accesso utente
Questo passaggio invalida immediatamente qualsiasi accesso attivo usando le credenziali rubate e impedisce all'utente malintenzionato di accedere a dati più sensibili o di eseguire azioni non autorizzate sull'account compromesso.
Eseguire il comando seguente in una finestra di PowerShell con privilegi elevati (finestra di PowerShell aperta selezionando Esegui come amministratore):
Set-ExecutionPolicy RemoteSigned
Se necessario, eseguire i comandi seguenti per installare i moduli necessari per Microsoft Graph PowerShell:
Install-Module Microsoft.Graph.Authentication Install-Module Microsoft.Graph.Users.Actions
Connettersi a Microsoft Graph eseguendo il comando seguente:
Connect-MgGraph -Scopes User.RevokeSessions.All
Per archiviare i dettagli dell'account utente nella variabile denominata
$user
, sostituire <UPN> con l'account dell'utente (nome dell'entità utente o UPN) e quindi eseguire il comando seguente:$user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
Ad esempio:
$user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
Revocare le sessioni di accesso dell'utente eseguendo il comando seguente:
Revoke-MgUserSignInSession -UserId $user.Id
Per altre informazioni, vedere Revocare l'accesso utente in caso di emergenza in Microsoft Entra ID.
Passaggio 3: Esaminare i dispositivi registrati MFA per l'utente interessato
Identificare e rimuovere eventuali dispositivi sospetti aggiunti da un utente malintenzionato. Assicurarsi inoltre che tutti i metodi MFA non riconosciuti vengano rimossi per proteggere l'account dell'utente.
Per istruzioni, vedere Metodi MFA rimossi
Passaggio 4: Esaminare l'elenco delle applicazioni con il consenso dell'utente
Rimuovere e revocare tutte le applicazioni che non devono essere consentite.
Per istruzioni, vedere Revisione dell'applicazione.
Passaggio 5: Esaminare i ruoli amministrativi assegnati all'utente
Rimuovere tutti i ruoli che non devono essere consentiti.
Per altre informazioni, vedere gli articoli seguenti:
- Elencare le assegnazioni di ruolo di Azure usando il portale di Azure
- Elencare Microsoft Entra assegnazioni di ruolo
- Autorizzazioni nel portale di conformità di Microsoft Purview
- Microsoft Defender per Office 365 autorizzazioni nel portale di Microsoft Defender
Passaggio 6: Esaminare i server d'inoltro della posta
Rimuovere qualsiasi inoltro sospetto della cassetta postale aggiunto dall'utente malintenzionato.
Per verificare se l'inoltro delle cassette postali (noto anche come inoltro SMTP) è configurato nella cassetta postale, sostituire <Identity> con il nome, l'indirizzo di posta elettronica o il nome dell'account della cassetta postale e quindi eseguire il comando seguente:
Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
Ad esempio:
Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
Osservare i valori delle proprietà seguenti:
- ForwardingAddress: un valore non vuoto indica che il messaggio di posta elettronica viene inoltrato al destinatario interno specificato.
- ForwardingSmtpAddress: un valore non vuoto indica che il messaggio di posta elettronica viene inoltrato al destinatario esterno specificato. Se sono configurati sia ForwardingAddress che ForwardingSmtpAddress , la posta elettronica viene inoltrata solo al destinatario interno ForwardingAddress .
-
DeliverToMailboxAndForward: controlla il modo in cui i messaggi vengono recapitati e inoltrati ai destinatari specificati da ForwardingAddress o ForwardingSmtpAddress:
- True: i messaggi vengono recapitati a questa cassetta postale e inoltrati al destinatario specificato.
- False: i messaggi vengono inoltrati al destinatario specificato. I messaggi non vengono recapitati a questa cassetta postale.
Per verificare se le regole posta in arrivo inoltrano messaggi di posta elettronica dalla cassetta postale, sostituire <Identity> con il nome, l'indirizzo di posta elettronica o il nome dell'account della cassetta postale e quindi eseguire il comando seguente:
Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
Ad esempio:
Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
Osservare i valori delle proprietà seguenti:
Abilitato: indica se la regola è abilitata (True) o disabilitata (False).
RedirectTo: un valore non vuoto indica che il messaggio di posta elettronica viene reindirizzato ai destinatari specificati. I messaggi non vengono recapitati a questa cassetta postale.
ForwardTo: un valore non vuoto indica che il messaggio di posta elettronica viene inoltrato ai destinatari specificati.
ForwardAsAttachmentTo: un valore non vuoto indica che il messaggio di posta elettronica viene inoltrato ai destinatari specificati come allegato di posta elettronica.
Identità: valore univoco globale della regola. Per visualizzare i dettagli completi della regola, sostituire <Identity> con il valore Identity e quindi eseguire il comando seguente:
Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
Ad esempio:
Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
Per altre informazioni, vedere Configurazione e controllo dell'inoltro della posta elettronica esterna in Microsoft 365.
Eseguire un'indagine
Quando un utente segnala sintomi insoliti, è fondamentale condurre un'indagine approfondita. Il Interfaccia di amministrazione di Microsoft Entra e il portale di Microsoft Defender offrono diversi strumenti per esaminare le attività sospette negli account utente. Assicurarsi di esaminare i log di controllo dall'inizio dell'attività sospetta fino a quando non si completano i passaggi di correzione.
Microsoft Entra log di accesso e altri report sui rischi nel Interfaccia di amministrazione di Microsoft Entra: Esaminare i valori in queste colonne:
- Indirizzo IP
- Percorsi di accesso
- Orari di accesso
- Esito positivo o negativo dell'accesso
Per altre informazioni, vedere gli articoli seguenti:
Log di controllo di Azure: per altre informazioni, vedere Registrazione e controllo della sicurezza di Azure.
Log di controllo nel portale di Defender: filtrare i log per l'attività usando un intervallo di date che inizia immediatamente prima che si verificasse l'attività sospetta. Non filtrare attività specifiche durante la ricerca iniziale.
Per altre informazioni, vedere Cercare nel log di controllo.
Analizzando i log forniti, è possibile individuare l'intervallo di tempo specifico che richiede ulteriore attenzione. Una volta identificati, esaminare i messaggi inviati dall'utente durante questo periodo per altre informazioni dettagliate.
Traccia messaggi nel portale di Defender: verificare il contenuto della cartella Posta inviata dell'account in Outlook o Outlook sul web.
Per altre informazioni, vedere Traccia dei messaggi nel portale di Microsoft Defender.
Al termine dell'indagine
Se l'account è stato disabilitato durante l'indagine, reimpostare la password e quindi abilitare l'account come descritto in precedenza in questo articolo
Se l'account è stato usato per inviare posta indesiderata o un volume elevato di messaggi di posta elettronica, è probabile che alla cassetta postale sia impedito l'invio di posta elettronica. Rimuovere l'utente dalla pagina Entità con restrizioni come descritto in Rimuovere gli utenti bloccati dalla pagina Entità con restrizioni.
Altre risorse
Rilevare e correggere le concessioni di consenso illecite
Segnalare posta indesiderata, nonspam, phishing, posta elettronica sospetta e file a Microsoft