Rispondere a un connettore compromesso

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

I connettori vengono usati per abilitare il flusso di posta tra Microsoft 365 e i server di posta elettronica presenti nell'ambiente locale. Per altre informazioni, vedere Configurare il flusso di posta elettronica tramite connettori in Exchange Online.

Un connettore in ingresso con il valore OnPremisesType viene considerato compromesso quando un utente malintenzionato crea un nuovo connettore o modifica e il connettore esistente per inviare posta indesiderata o phishing.

Questo articolo illustra i sintomi di un connettore compromesso e come riprenderne il controllo.

Sintomi di un connettore compromesso

Un connettore compromesso presenta una o più delle caratteristiche seguenti:

  • Un picco improvviso nel volume di posta in uscita.
  • Mancata corrispondenza tra l'indirizzo 5321.MailFrom (noto anche come indirizzo MAIL FROM , mittente P1 o mittente della busta) e l'indirizzo 5322.From (noto anche come mittente da o mittente P2) nella posta elettronica in uscita. Per altre informazioni su questi mittenti, vedere Come EOP convalida l'indirizzo From per impedire il phishing.
  • Posta in uscita inviata da un dominio di cui non è stato effettuato il provisioning o la registrazione.
  • Il connettore è bloccato dall'invio o dall'inoltro della posta.
  • Presenza di un connettore in ingresso che non è stato creato da un amministratore.
  • Modifiche non autorizzate nella configurazione di un connettore esistente, ad esempio il nome, il nome di dominio e l'indirizzo IP.
  • Un account amministratore compromesso di recente. La creazione o la modifica di connettori richiede l'accesso amministratore.

Se si vedono questi sintomi o altri sintomi insoliti, è necessario indagare.

Proteggere e ripristinare la funzione di posta elettronica in un connettore sospetto compromesso

Eseguire tutti i passaggi seguenti per riprendere il controllo del connettore. Seguire i passaggi non appena si sospetta un problema e il più rapidamente possibile per assicurarsi che l'utente malintenzionato non riprenda il controllo del connettore. Questi passaggi consentono anche di rimuovere eventuali voci backdoor che l'utente malintenzionato potrebbe aver aggiunto al connettore.

Passaggio 1: Identificare se un connettore in ingresso è stato compromesso

In Microsoft Defender per Office 365 Piano 2 aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com e passare a Esplora risorse. In alternativa, per passare direttamente alla pagina Esplora risorse, usare https://security.microsoft.com/threatexplorer.

  1. Nella pagina Esplora risorse verificare che sia selezionata la scheda Tutti i messaggi di posta elettronica e quindi configurare le opzioni seguenti:

    • Selezionare l'intervallo di data/ora.
    • Selezionare Connettore.
    • Immettere il nome del connettore nella casella Di ricerca.
    • Selezionare Aggiorna.

    Visualizzazione Esplora connettori in ingresso

  2. Cercare picchi anomali o picchi nel traffico di posta elettronica.

    Numero di messaggi di posta elettronica recapitati alla cartella della posta indesiderata

  3. Rispondere alle domande seguenti:

    • L'INDIRIZZO IP del mittente corrisponde all'indirizzo IP locale dell'organizzazione?
    • È stato inviato un numero significativo di messaggi recenti alla cartella Junk Email? Questo risultato indica chiaramente che è stato usato un connettore compromesso per inviare posta indesiderata.
    • È ragionevole che i destinatari del messaggio ricevano messaggi di posta elettronica dai mittenti dell'organizzazione?

    Indirizzo IP del mittente e indirizzo IP locale dell'organizzazione

In Microsoft Defender per Office 365 o Exchange Online Protection usare La traccia avvisi e messaggi per cercare i sintomi della compromissione del connettore:

  1. Aprire il portale di Defender all'indirizzo https://security.microsoft.com e passare a Eventi imprevisti & avvisi>avvisi. In alternativa, per passare direttamente alla pagina Avvisi , usareApri avviso attività connettore sospetto in https://security.microsoft.com/alerts.

  2. Nella pagina Avvisi usare l'attività Connettore sospettocriteri>di filtro> per trovare eventuali avvisi correlati all'attività del connettore sospetta.

  3. Selezionare un avviso di attività del connettore sospetto facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome. Nella pagina dei dettagli visualizzata selezionare un'attività nell'elenco Attività e copiare i valori del dominio del connettore e dell'indirizzo IP dall'avviso.

    Dettagli della posta elettronica in uscita compromissione del connettore

  4. Aprire l'interfaccia di amministrazione di Exchange all'indirizzo https://admin.exchange.microsoft.com e passare a Flusso di> postaTraccia messaggi. In alternativa, per passare direttamente alla pagina Traccia messaggi , usare https://admin.exchange.microsoft.com/#/messagetrace.

    Nella pagina Traccia messaggio selezionare la scheda Query personalizzate , selezionare Avvia traccia e usare i valori dominio connettore e indirizzo IP del passaggio precedente.

    Per altre informazioni sulla traccia dei messaggi, vedere Traccia dei messaggi nell'interfaccia di amministrazione di Exchange moderna in Exchange Online.

    Nuovo riquadro a comparsa di traccia dei messaggi

  5. Nei risultati della traccia del messaggio cercare le informazioni seguenti:

    • Un numero significativo di messaggi è stato contrassegnato di recente come FilteredAsSpam. Questo risultato indica chiaramente che è stato usato un connettore compromesso per inviare posta indesiderata.
    • Se è ragionevole che i destinatari del messaggio ricevano messaggi di posta elettronica dai mittenti dell'organizzazione

    Nuovi risultati della ricerca di traccia dei messaggi

In Exchange Online PowerShell sostituire <StartDate> ed <EndDate> con i valori e quindi eseguire il comando seguente per trovare e convalidare l'attività del connettore correlata all'amministratore nel log di controllo. Per altre informazioni, vedere Usare uno script di PowerShell per eseguire ricerche nel log di controllo.

Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Search-UnifiedAuditLog.

Passaggio 2: Esaminare e ripristinare modifiche non autorizzate in un connettore

Aprire l'interfaccia di amministrazione di Exchange all'indirizzo https://admin.exchange.microsoft.com e passare aConnettoriflusso> di posta. In alternativa, per passare direttamente alla pagina Connettori, usarehttps://admin.exchange.microsoft.com/#/connectors.

Nella pagina Connettori esaminare l'elenco dei connettori. Rimuovere o disattivare tutti i connettori sconosciuti e controllare se sono presenti modifiche di configurazione non autorizzate in ogni connettore.

Passaggio 3: Sbloccare il connettore per riabilitare il flusso di posta

Dopo aver recuperato il controllo del connettore compromesso, sbloccare il connettore nella pagina Entità con restrizioni nel portale di Defender. Per istruzioni, vedere Rimuovere i connettori bloccati dalla pagina Entità con restrizioni.

Passaggio 4: Analizzare e correggere gli account amministratore potenzialmente compromessi

Dopo aver identificato l'account amministratore responsabile dell'attività di configurazione del connettore non autorizzato, esaminare la compromissione dell'account amministratore. Per istruzioni, vedere Risposta a un account Email compromesso.

Ulteriori informazioni