回應遭入侵的電子郵件帳戶

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

用戶認證可控制對 Microsoft Entra ID 帳戶的存取，這是危害調查的核心。 一旦攻擊者取得帳戶的存取權，他們就可以存取使用者 OneDrive 中相關聯Microsoft 365 信箱、SharePoint 資料夾或檔案。 對遭入侵使用者的補救和調查著重於受影響的帳戶和與帳戶相關聯的服務。

攻擊者通常會使用遭入侵的使用者信箱傳送給組織內外的收件者。 商務 Email 入侵 (BEC) 是一種高階的攻擊類型，本文將說明此問題。

本文特別說明帳戶遭入侵 (徵兆、信箱) ，以及如何重新取得遭入侵帳戶的控制權。

重要事項

下列按鈕可讓您測試並識別可疑的帳戶活動。 使用此測試搭配本文中的指引，以深入瞭解可能遭入侵的帳戶，並判斷必要的補救動作。

執行測試：遭入侵的帳戶

Microsoft 365 電子郵件帳戶遭入侵的常見徵兆

下列一或多個活動可能表示與Microsoft 365 信箱相關聯的帳戶遭到入侵：

• 信箱遭到封鎖，無法傳送電子郵件。
• 可疑的活動。 例如，遺漏或刪除的電子郵件。
• 可疑 的收件匣規則。 例如：
  • 自動將電子郵件轉寄至未知位址的規則。
  • 將訊息移至 Notes、垃圾郵件 Email 或 RSS 訂用帳戶資料夾的規則。
• [ 已傳送的專案 ] 或 [ 已刪除的專案] 資料夾包含可疑的訊息。 例如，「我停滯於倫敦，寄錢」。
• 全域通訊清單中用戶聯繫人的變更 (GAL) 。 例如，名稱、電話號碼或郵遞區號或郵遞區編碼。
• 頻繁的密碼變更或無法解釋的帳戶鎖定。
• 最近新增 了外部電子郵件轉寄。
• 可疑的電子郵件訊息簽章。 例如，假的銀行簽章或藥物簽章。

如果信箱出現上述任何徵兆，請使用下一節中的步驟重新取得帳戶的控制權。

保護及還原 Email 功能至已遭入侵Microsoft 365 郵件啟用帳戶

攻擊者取得帳戶的存取權之後，您必須儘快封鎖帳戶的存取權。

下列步驟會解決已知的方法，這些方法可能會讓攻擊者維持持續性，並在稍後重新取得帳戶的控制權。 請務必處理每個步驟。

步驟 1：停用受影響的用戶帳戶

• 在您完成調查之前，建議您停用遭入侵的帳戶。強烈建議您停用此帳戶。

  1. 如有必要，請執行下列命令，在 PowerShell 中安裝 Microsoft Graph PowerShell 模組：

     Install-Module -Name Microsoft.Graph -Scope CurrentUser
     

  2. 執行下列命令以連線到 Microsoft Graph：

     Connect-MgGraph -Scopes "User.ReadWrite.All"
     

  3. 若要將使用者帳戶的詳細資料儲存在名為 $user的變數中，請將 UPN> 取代<為使用者的帳戶名稱 (用戶主體名稱或 UPN) ，然後執行下列命令：

     $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
     

     例如：

     $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
     

  4. 執行下列命令以停用使用者帳戶：

     Update-MgUser -UserId $user.Id -AccountEnabled $false
     

  如需詳細的語法和參數資訊，請參閱 Update-MgUser

• 如果您無法停用帳戶，下一個最佳步驟是重設密碼。 如需指示，請參閱 在商務用 Microsoft 365 中重設密碼。

  • 請務必使用強密碼：大寫和小寫字母、至少一個數位，以及至少一個特殊字元。
  • 請勿透過電子郵件將新密碼傳送給使用者，因為攻擊者此時可以存取信箱。
  • 使用攻擊者無法猜到的唯一密碼。 即使密碼歷程記錄需求允許，請勿重複使用最後五個密碼中的任何一個。
  • 如果帳戶是從 Active Directory 同步處理，請重設 Active Directory 中的密碼並重設兩次，以降低 傳遞哈希 攻擊的風險。 如需指示，請參閱 Set-ADAccountPassword。
  • 如果使用者的身分識別與 Microsoft 365 同盟，您必須在內部部署環境中變更帳戶密碼，然後通知系統管理員洩露。
  • 務必更新應用程式密碼。 當您重設密碼時，不會自動撤銷應用程式密碼。 使用者應該刪除現有的應用程式密碼，並建立新密碼。 如需詳細資訊，請 參閱管理雙步驟驗證的應用程式密碼。

• 強烈建議您啟用和強制執行多重要素驗證 (帳戶的 MFA) 。 MFA 可有效地防範帳戶入侵，而且對於具有系統管理員許可權的帳戶而言是不可或缺的。

  如需詳細資訊，請參閱下列文章：

  • 設定多重要素驗證
  • 需要系統管理員的防網路釣魚 MFA

步驟 2：撤銷使用者存取權

此步驟會使用遭竊的認證立即使任何作用中的存取失效，並防止攻擊者存取更敏感的數據，或對遭入侵的帳戶執行未經授權的動作。

1. 在提升許可權的 PowerShell 視窗中執行下列命令， (您選取 [ 以系統管理員 身分執行]) 開啟的 PowerShell 視窗：

   Set-ExecutionPolicy RemoteSigned
   

2. 如有必要，請執行下列命令以安裝 Microsoft Graph PowerShell 所需的模組：

   Install-Module Microsoft.Graph.Authentication
   
   Install-Module Microsoft.Graph.Users.Actions
   

3. 執行下列命令以連線到 Microsoft Graph：

   Connect-MgGraph -Scopes User.RevokeSessions.All
   

4. 將 UPN> 取代<為使用者的帳戶 (用戶主體名稱或 UPN) ，然後執行下列命令：

   Revoke-MgUserSignInSession -UserId <UPN>
   

   例如：

   Revoke-MgUserSignInSession -UserId jason@contoso.onmicrosoft.com
   

如需詳細資訊，請參閱在 Microsoft Entra ID 的緊急狀況中撤銷使用者存取權。

步驟 3：檢閱受影響使用者的 MFA 註冊裝置

識別並移除攻擊者新增的任何可疑裝置。 此外，請確定已移除任何無法辨識的 MFA 方法，以保護使用者的帳戶。

如需指示，請參閱 移除 MFA 方法

步驟 4：檢閱具有使用者同意的應用程式清單

拿掉和撤銷任何不應該允許的應用程式。

如需指示，請參閱 應用程式檢閱。

步驟 5：檢閱指派給用戶的系統管理角色

拿掉任何不應該允許的角色。

如需詳細資訊，請參閱下列文章：

• 使用 Azure 入口網站 列出 Azure 角色指派
• 列出 Microsoft Entra 角色指派
• Microsoft Purview 合規性入口網站中的權限
• Microsoft Defender 入口網站中的 適用於 Office 365 的 Microsoft Defender許可權

步驟 6：檢閱郵件轉寄站

拿掉攻擊者新增的任何可疑信箱轉寄。

1. 連線至 Exchange Online PowerShell。

2. 若要查看信箱轉寄 (也稱為 SMTP 轉寄) 是否已在信箱上設定，請將 Identity> 取代<為信箱的名稱、電子郵件地址或帳戶名稱，然後執行下列命令：

   Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
   

   例如：

   Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
   

   觀察下列屬性的值：

   • ForwardingAddress：非空白值表示電子郵件會轉寄給指定的內部收件者。
   • ForwardingSmtpAddress：非空白值表示電子郵件會轉寄給指定的外部收件者。 如果同時設定 ForwardingAddress 和 ForwardingSmtpAddress ，電子郵件只會轉寄給 ForwardingAddress 內部收件者。
   • DeliverToMailboxAndForward：控制郵件如何傳遞和轉寄給 ForwardingAddress 或 ForwardingSmtpAddress 所指定的收件者：
     • True：郵件會傳遞至此信箱，並轉寄給指定的收件者。
     • False：郵件會轉寄給指定的收件者。 郵件不會傳遞至此信箱。

3. 若要查看是否有任何收件匣規則正在轉寄來自信箱的電子郵件，請將Identity> 取代<為信箱的名稱、電子郵件地址或帳戶名稱，然後執行下列命令：

   Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   例如：

   Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   觀察下列屬性的值：

   • 已啟用：是否啟用規則 (True) 或停用 (False) 。

   • RedirectTo：非空白值表示電子郵件會重新導向至指定的收件者。 郵件不會傳遞至此信箱。

   • ForwardTo：非空白值表示電子郵件會轉寄給指定的收件者。

   • ForwardAsAttachmentTo：非空白值表示電子郵件會轉寄給指定的收件者做為電子郵件附件。

   • 身分識別：規則的全域唯一值。 若要查看規則的完整詳細數據，請將 Identity> 取代<為 Identity 值，然後執行下列命令：

     Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
     

     例如：

     Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
     

如需詳細資訊， 請參閱在 Microsoft 365 中設定及控制外部電子郵件轉寄。

執行調查

當使用者回報異常徵兆時，請務必進行徹底的調查。 Microsoft Entra 系統管理中心 和 Microsoft Defender 入口網站提供數個工具，協助檢查用戶帳戶上的可疑活動。 請務必檢閱來自可疑活動的稽核記錄，直到您完成補救步驟為止。

• Microsoft Entra Microsoft Entra 系統管理中心 中的登入記錄和其他風險報告：檢查這些數據行中的值：

  • IP 位址
  • 登入位置
  • 登入時間
  • 登入成功或失敗

  如需詳細資訊，請參閱下列文章：

  • 什麼是 Microsoft Entra 稽核記錄？
  • 什麼是 Microsoft Entra 登入記錄？

• Azure 稽核記錄：如需詳細資訊，請參閱 Azure 安全性記錄和稽核。

• Defender 入口網站中的稽核記錄：使用在可疑活動發生之前立即開始的日期範圍來篩選活動的記錄。 請勿在初始搜尋期間篩選特定活動。

  如需詳細資訊，請 參閱搜尋稽核記錄。

藉由分析提供的記錄，您可以找出需要進一步注意的特定時間範圍。 一旦識別出來，請檢閱使用者在這段時間內所傳送的訊息，以取得更多見解。

• Defender 入口網站中的郵件追蹤：確認 Outlook 或 Outlook 網頁版 中帳戶的 [已傳送專案] 資料夾的內容。

  如需詳細資訊，請參閱 Microsoft Defender 入口網站中的訊息追蹤。

調查完成之後

1. 如果您在調查期間停用帳戶，請重設密碼，然後啟用帳戶，如本文稍早所述

2. 如果帳戶是用來傳送垃圾郵件或大量電子郵件，則信箱可能會遭到封鎖而無法傳送郵件。 從 [受限制的實體] 頁面移除使用者，如 從 [限制的實體] 頁面移除封鎖的使用者中所述。

其他資源

偵測並修復 Microsoft 365 中 Outlook 規則與自訂表單插入式攻擊

偵測和補救非法同意授與

將垃圾郵件、非垃圾郵件、網路釣魚、可疑電子郵件和檔案回報給Microsoft