Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
Учетные данные пользователя контролируют доступ к учетным записям Microsoft Entra ID, которые играют центральную роль в расследованиях компрометации. Когда злоумышленник получает доступ к учетной записи, он сможет получить доступ к связанному почтовому ящику Microsoft 365, папкам SharePoint или файлам в OneDrive пользователя. Исправление и исследование скомпрометированного пользователя фокусируется на затронутой учетной записи и службах, связанных с этой учетной записью.
Злоумышленники часто используют скомпрометированный почтовый ящик пользователя для отправки получателям внутри организации и за ее пределами. Компрометация корпоративной электронной почты (BEC) — это распространённый вид атак, который рассматривается в этой статье.
В этой статье рассматриваются симптомы компрометации учетной записи (в частности, почтовый ящик) и способы восстановления контроля над скомпрометированной учетной записью.
Важно!
Следующая кнопка позволяет протестировать и выявить подозрительные действия с учетной записью. Используйте этот тест с рекомендациями, приведенными в этой статье, чтобы получить представление о потенциально скомпрометированных учетных записях и определить необходимые действия по исправлению.
Распространенные симптомы компрометации учетной записи электронной почты Microsoft 365
Одно или несколько из следующих действий могут указывать на компрометацию учетной записи, связанной с почтовым ящиком Microsoft 365:
- Почтовый ящик заблокирован для отправки электронной почты.
- Подозрительные действия. Например, отсутствует или удалено сообщение электронной почты.
- Подозрительные правила папки "Входящие". Например, вы можете:
- Правила, которые автоматически пересылают электронную почту на неизвестные адреса.
- Правила, которые перемещают сообщения в папки Заметки, Нежелательная почта или RSS-подписки.
- Папки "Отправленные" или "Удаленные" содержат подозрительные сообщения. Например, "Я застрял в Лондоне, отправить деньги".
- Изменения контакта пользователя в глобальном списке адресов (GAL). Например, имя, номер телефона или почтовый индекс.
- Частые изменения паролей или необъяснимые блокировки учетных записей.
- Недавно добавлена внешняя пересылка электронной почты.
- Подозрительные подписи сообщений электронной почты. Например, поддельная банковская подпись или подпись отпускаемого по рецепту лекарства.
Если в почтовом ящике наблюдается любой из этих признаков, воспользуйтесь инструкциями из Защита и восстановление функции электронной почты для скомпрометированной учетной записи Microsoft 365 с поддержкой почты, чтобы восстановить контроль над учетной записью.
Защита и восстановление функциональности электронной почты для скомпрометированной учетной записи Microsoft 365 с поддержкой электронной почты
После того как злоумышленник получит доступ к учетной записи, необходимо как можно скорее заблокировать доступ к ней.
Ниже описаны известные методы, которые могут позволить злоумышленнику сохранить сохраняемость и восстановить контроль над учетной записью позже. Обязательно выполните каждый шаг.
Шаг 1. Отключение затронутой учетной записи пользователя
Используйте следующее руководство, чтобы отключить затронутую учетную запись пользователя во время исследования.
Отключение скомпрометированной учетной записи является предпочтительным и настоятельно рекомендуется до завершения исследования.
При необходимости установите модуль Microsoft Graph PowerShell в PowerShell, выполнив следующую команду:
Install-Module -Name Microsoft.Graph -Scope CurrentUserПодключитесь к Microsoft Graph, выполнив следующую команду:
Connect-MgGraph -Scopes "User.ReadWrite.All"Чтобы сохранить сведения об учетной записи пользователя в переменной с именем
$user, замените <UPN> именем учетной записи пользователя (основным именем пользователя, или UPN), а затем выполните следующую команду:$user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel EventualНапример, вы можете:
$user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel EventualВыполните следующую команду, чтобы отключить учетную запись пользователя:
Update-MgUser -UserId $user.Id -AccountEnabled $false
Подробные сведения о синтаксисе и параметрах см. в разделе Update-MgUser.
Если вы не можете отключить учетную запись, следующим лучшим шагом будет сброс пароля. Инструкции см. в статье «Сброс паролей в Microsoft 365 для бизнеса».
- Обязательно используйте надежный пароль: верхние и строчные буквы, по крайней мере одну цифру и хотя бы один специальный символ.
- Не отправляйте новый пароль пользователю по электронной почте, так как на данный момент злоумышленник может получить доступ к почтовому ящику.
- Используйте уникальный пароль, который злоумышленник не может угадать. Даже если это разрешено в журнале паролей, не используйте ни один из последних пяти паролей.
- Если учетная запись синхронизирована из Active Directory, сбросьте пароль в Active Directory и сбросьте его дважды, чтобы снизить риск сквозных хэш-атак . Инструкции см. в разделе Set-ADAccountPassword.
- Если учетная запись пользователя является федеративной в Microsoft 365, необходимо изменить пароль учетной записи в локальной среде, а затем уведомить администратора о компрометации учетной записи.
- Не забудьте обновить пароли приложений. Пароли приложений не отзываются автоматически при сбросе пароля. Пользователь должен удалить существующие пароли приложений и создать новые. Дополнительные сведения см. в статье Управление паролями приложений для двухфакторной проверки подлинности.
Настоятельно рекомендуется включить и принудительно применять многофакторную проверку подлинности (MFA) для учетной записи. MFA эффективно защищает от компрометации учетной записи и имеет важное значение для учетных записей с правами администратора.
Дополнительные сведения см. в следующих статьях:
Шаг 2. Отмена доступа пользователей
Отмена активных сеансов немедленно отменяет любой активный доступ с помощью украденных учетных данных и запрещает злоумышленнику получать доступ к более конфиденциальным данным или выполнять несанкционированные действия в скомпрометированной учетной записи.
Если среда блокирует выполнение локального скрипта, задайте политику
RemoteSignedвыполнения PowerShell, чтобы можно было установить и запустить необходимые модули Microsoft Graph. Выполните следующую команду в окне PowerShell с повышенными привилегиями (открываемое окном PowerShell, выбрав Запуск от имени администратора):Set-ExecutionPolicy RemoteSignedПри необходимости установите модули PowerShell Microsoft Graph, необходимые для проверки подлинности и отзыва активных сеансов пользователей:
Install-Module Microsoft.Graph.Authentication Install-Module Microsoft.Graph.Users.ActionsПодключитесь к Microsoft Graph с областью разрешений
User.RevokeSessions.All, чтобы можно было аннулировать активные сеансы входа пользователя:Connect-MgGraph -Scopes User.RevokeSessions.AllЧтобы отозвать все активные сеансы входа и сделать недействительными существующие токены обновления для соответствующего пользователя, замените <UPN> учетной записью пользователя (имя участника-пользователя или UPN), а затем выполните следующую команду:
Revoke-MgUserSignInSession -UserId <UPN>Например, следующая команда отменяет все активные сеансы для пользователя
jason@contoso.onmicrosoft.com:Revoke-MgUserSignInSession -UserId jason@contoso.onmicrosoft.com
Дополнительные сведения см. в статье Отмена доступа пользователей в чрезвычайных ситуациях в Microsoft Entra ID.
Шаг 3. Проверка зарегистрированных устройств MFA для затронутого пользователя
Определите и удалите все подозрительные устройства, добавленные злоумышленником. Кроме того, убедитесь, что все нераспознанные методы MFA удалены для защиты учетной записи пользователя.
Инструкции см. в разделе "Управление параметрами проверки подлинности пользователей".
Шаг 4. Просмотр списка приложений с согласия пользователя
Удалите и отмените все приложения, которые не должны быть разрешены.
Инструкции см. в разделе Проверка приложений.
Шаг 5. Проверка административных ролей, назначенных пользователю
Удалите все роли, которые не должны быть разрешены.
Дополнительные сведения см. в следующих статьях:
- Просмотр назначений ролей Azure с помощью портала Azure
- Перечисление назначений ролей Microsoft Entra
- Разрешения на портале Microsoft Purview
- Разрешения Microsoft Defender для Office 365 в портале Microsoft Defender
Шаг 6: Проверка пересылателей почты
Удалите все подозрительные переадресации почтовых ящиков, добавленные злоумышленником.
Чтобы проверить, имеет ли почтовый ящик параметры пересылки сообщений, которые перенаправляют сообщения другому получателю (также известному как пересылка SMTP), замените <удостоверение> именем, адресом электронной почты или именем учетной записи почтового ящика, а затем выполните следующую команду:
Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*Например, следующая команда проверяет параметры пересылки в почтовом ящике Джейсона:
Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*Просмотрите значения следующих свойств:
- ForwardingAddress: непустое значение означает, что адрес электронной почты пересылается указанному внутреннему получателю.
- ForwardingSmtpAddress: непустое значение означает, что сообщение электронной почты пересылается указанному внешнему получателю. Если настроены оба параметра: ForwardingAddress и ForwardingSmtpAddress, электронная почта пересылается только внутреннему получателю ForwardingAddress.
-
DeliverToMailboxAndForward: управляет доставкой и пересылкой сообщений получателям, указанным в параметре ForwardingAddress или ForwardingSmtpAddress:
- True: сообщения доставляются в этот почтовый ящик и пересылаются указанному получателю.
- False: сообщения перенаправляются указанному получателю. Сообщения только перенаправляются на заданный электронный адрес, но не доставляются в этот почтовый ящик.
Чтобы просмотреть все правила для папки «Входящие» (включая скрытые) и найти правила, которые перенаправляют или пересылают сообщения без ведома пользователя, замените <Identity> именем, адресом электронной почты или именем учетной записи почтового ящика, а затем выполните следующую команду:
Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,IdentityНапример, следующая команда проверяет правила для папки «Входящие» в почтовом ящике Джейсона на наличие подозрительной переадресации:
Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,IdentityПросмотрите значения следующих свойств:
Включено: включено ли правило (True) или отключено (False).
RedirectTo: непустое значение означает, что адрес электронной почты перенаправляется указанным получателям. Сообщения только перенаправляются на заданный электронный адрес, но не доставляются в этот почтовый ящик.
ForwardTo: непустое значение означает, что сообщение электронной почты пересылается указанным получателям.
ForwardAsAttachmentTo: непустое значение означает, что сообщение электронной почты пересылается указанным получателям в виде вложения электронной почты.
Идентификатор: глобально уникальное значение правила. Чтобы просмотреть полные сведения о правиле, замените <Identity> значением Identity и выполните следующую команду:
Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-ListНапример, вы можете:
Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
Дополнительные сведения см. в разделе Управление автоматической пересылкой внешней электронной почты.
Изучение скомпрометированных учетных записей
Когда пользователь сообщает о необычных симптомах, очень важно провести тщательное исследование. Центр администрирования Microsoft Entra и портал Microsoft Defender предоставляют несколько средств для изучения подозрительных действий в учетных записях пользователей. Обязательно просмотрите журналы аудита с начала подозрительного действия, пока не завершите действия по исправлению.
Журналы входа Microsoft Entra и другие отчеты о рисках в центре администрирования Microsoft Entra: Изучите значения в следующих столбцах:
- IP-адрес
- Расположения для входа
- Время входов
- Успешный или неудачный вход
Дополнительные сведения см. в следующих статьях:
Журналы аудита Azure: Дополнительные сведения см. в разделе Ведение журналов и аудит безопасности Azure.
Журналы аудита на портале Defender. Отфильтруйте журналы действий, используя диапазон дат, который начинается непосредственно перед подозрительным действием. Не фильтруйте определенные действия при первоначальном поиске.
Дополнительные сведения см. в разделе Поиск в журнале аудита.
Анализируя предоставленные журналы, можно точно определить конкретный период времени, требующий дополнительного внимания. После определения проверьте сообщения, отправленные пользователем в течение этого периода, чтобы получить дополнительные сведения.
Трассировка сообщений на портале Defender. Проверьте содержимое папки Отправленные учетной записи в Outlook или Outlook в Интернете.
Дополнительные сведения см. в статье Трассировка сообщений на портале Microsoft Defender.
После завершения исследования
Выполните следующие задачи после завершения исследования:
Если вы отключили учетную запись во время расследования, сбросьте пароль и включите учетную запись, как описано на шаге 1. Отключите затронутую учетную запись пользователя.
Если учетная запись использовалась для отправки спама или большого объема электронной почты, скорее всего, почтовый ящик заблокирован для отправки почты. Удалите пользователя со страницы Ограниченные сущности, как описано в статье Удаление заблокированных пользователей на странице Ограниченные сущности.
Связанные материалы
Дополнительные сведения см. в следующих ресурсах: