Реагирование на компрометацию соединителя
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Соединители используются для включения потока обработки почты между Microsoft 365 и почтовыми серверами, имеющимися в локальной среде. Дополнительные сведения см. в разделе Настройка потока обработки почты с помощью соединителей в Exchange Online.
Входящий соединитель со значением OnPremises
Type считается скомпрометируемым, когда злоумышленник создает новый соединитель или изменяет существующий соединитель для отправки спама или фишинговой почты.
В этой статье объясняется симптомы скомпрометированного соединителя и как восстановить контроль над ним.
Симптомы компрометации соединителя
Скомпрометированный соединитель имеет одну или несколько следующих характеристик:
- Внезапный всплеск объема исходящей почты.
- Несоответствие между адресом
5321.MailFrom
(также называемым адресом MAIL FROM , отправителем P1 или отправителем конверта) и адресом5322.From
(также называемым адресом от или отправителем P2) в исходящем сообщении электронной почты. Дополнительные сведения об этих отправителях см. в разделе Как EOP проверяет адрес From для предотвращения фишинга. - Исходящая почта, отправленная из домена, который не подготовлен или не зарегистрирован.
- Соединитель заблокирован для отправки или ретрансляции почты.
- Наличие входящего соединителя, созданного не администратором.
- Несанкционированные изменения в конфигурации существующего соединителя (например, имя, доменное имя и IP-адрес).
- Недавно скомпрометированная учетная запись администратора. Для создания или редактирования соединителей требуется доступ администратора.
Если вы видите эти симптомы или другие необычные симптомы, вы должны исследовать.
Защита и восстановление функции электронной почты в предполагаемом скомпрометированном соединителе
Выполните все следующие действия, чтобы восстановить контроль над соединителем. Выполните действия, как только подозреваете проблему и как можно быстрее, чтобы убедиться, что злоумышленник не возобновит контроль над соединителем. Эти действия также помогут удалить все записи задней двери, которые злоумышленник мог добавить в соединитель.
Шаг 1. Определение компрометации входящего соединителя
Просмотр последних подозрительных сообщений соединителя или связанных сообщений
В Microsoft Defender для Office 365 план 2 откройте портал Microsoft Defender по адресу https://security.microsoft.com и перейдите к Обозреватель. Или, чтобы перейти непосредственно на страницу Обозреватель, используйте https://security.microsoft.com/threatexplorer.
На странице Обозреватель убедитесь, что выбрана вкладка Все сообщения электронной почты, а затем настройте следующие параметры:
- Выберите диапазон даты и времени.
- Выберите Соединитель.
- Введите имя соединителя в поле Поиск.
- Выберите Обновить.
Найдите аномальные пики или спады в трафике электронной почты.
Ответьте на следующие вопросы:
- Соответствует ли IP-адрес отправителя локальному IP-адресу вашей организации?
- Было ли отправлено значительное количество последних сообщений в папку "Нежелательная Email"? Этот результат явно указывает на то, что для отправки нежелательной почты использовался скомпрометированный соединитель.
- Разумно ли получателям сообщений получать сообщения от отправителей в вашей организации?
В Microsoft Defender для Office 365 или Exchange Online Protection используйте оповещения и трассировку сообщений, чтобы найти симптомы компрометации соединителя:
Откройте портал Defender по адресу https://security.microsoft.com и перейдите в раздел Инциденты & оповещения>оповещения. Или, чтобы перейти непосредственно на страницу Оповещения, используйте командуОткрыть оповещение о подозрительных действиях соединителя в https://security.microsoft.com/alerts.
На странице Оповещения используйтедействие подозрительного соединителяполитики> фильтрации>, чтобы найти оповещения, связанные с подозрительной активностью соединителя.
Выберите оповещение о подозрительных действиях соединителя, щелкнув в любом месте строки, кроме проверка рядом с именем. На открывающейся странице сведений выберите действие в списке действий и скопируйте значения домена соединителя и IP-адреса из оповещения.
Откройте Центр администрирования Exchange по адресу https://admin.exchange.microsoft.com и перейдите в разделТрассировка сообщенийпотока> почты. Или, чтобы перейти непосредственно на страницу трассировки сообщений , используйте https://admin.exchange.microsoft.com/#/messagetrace.
На странице Трассировка сообщений перейдите на вкладку Настраиваемые запросы , выберите Начать трассировку и используйте значения домена соединителя и IP-адреса из предыдущего шага.
Дополнительные сведения о трассировке сообщений см. в статье Трассировка сообщений в современном Центре администрирования Exchange в Exchange Online.
В результатах трассировки сообщений найдите следующие сведения:
- Значительное число сообщений недавно было отмечено как FilteredAsSpam. Этот результат явно указывает на то, что для отправки нежелательной почты использовался скомпрометированный соединитель.
- Является ли получатель сообщения разумным для получения электронной почты от отправителей в вашей организации
Изучение и проверка действий, связанных с соединителем
В Exchange Online PowerShell замените <StartDate> и <EndDate> своими значениями, а затем выполните следующую команду, чтобы найти и проверить действия соединителя, связанные с администратором, в журнале аудита. Дополнительные сведения см. в статье Использование скрипта PowerShell для поиска в журнале аудита.
Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector
Подробные сведения о синтаксисе и параметрах см. в разделе Search-UnifiedAuditLog.
Шаг 2. Проверка и отменить изменения несанкционированных изменений в соединителе
Откройте Центр администрирования Exchange по адресу https://admin.exchange.microsoft.com и перейдите в разделСоединителипотока обработки почты>. Или перейдите непосредственно на страницу Соединители по ссылке https://admin.exchange.microsoft.com/#/connectors.
На странице Соединители просмотрите список соединителей. Удалите или отключите все неизвестные соединители и проверка каждый соединитель для несанкционированных изменений конфигурации.
Шаг 3. Разблокировка соединителя для повторного включения потока обработки почты
После восстановления контроля над скомпрометируемым соединителем разблокируйте соединитель на странице Ограниченные сущности на портале Defender. Инструкции см. в разделе Удаление заблокированных соединителей на странице Ограниченные сущности.
Шаг 4. Исследование и исправление потенциально скомпрометированных учетных записей администраторов
После определения учетной записи администратора, ответственной за действие несанкционированной настройки соединителя, изучите учетную запись администратора на наличие компрометации. Инструкции см. в статье Реагирование на скомпрометированную учетную запись Email.