主页 / server / 问题 / 1162741
Accepted
dunxd
Asked: 2024-07-19 03:24:24 +0800 CST

如何识别被盗用的 Microsoft 365 邮箱

  • 772

有几位用户报告收到了钓鱼邮件,至少有一位用户承认点击了链接。调查发现,他们的 Microsoft 365 帐户已被盗用(尽管启用了 MFA,但似乎不需要,我发现他们的 Outlook 邮箱规则将某些邮件移动到 RSS 源文件夹(为什么默认情况下仍是这样做),这样就不会找到它们了。

我怀疑其他用户可能也受到了类似的攻击,但可能不知道或不愿承认。除了我正在调查的其他事情之外,我想知道是否有可能识别所有在过去 14 天内创建了规则的邮箱,或包含非空 RSS 源文件夹的邮箱。

microsoft-office-365

2 个回答

  1. 您可以在邮箱审核日志中搜索 new-inboxrule 事件链接

    使用这样的脚本,您可以找到所有 new-inboxRule 事件并将其过滤掉。

    Connect-ExchangeOnline

$startDate = (get-date).addDays(-14)
$EndDate = (get-date)

$Logs = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate -sessionCommand ReturnLargeSet -operations New-InboxRule

$Logs | export-csv -path C:\temp\logs.csv

    可能可以使用 get-MailboxFolderStatistics 实现类似的功能,但我不确定 PowerShell 中显示的 RSS 文件夹的名称是什么。

    • 2
  2. Best Answer

    不像@NNMamdN 提供的答案那么具体,但它会输出一个 CSV,其中包含该邮箱租户的所有邮箱的所有规则以及一些可用于识别可疑规则的字段,例如将消息重定向或转发到其他地方,将消息标记为已读,或将其移动到其他文件夹。

    Get-ExoMailbox -ResultSize Unlimited |
  Select-Object -ExpandProperty UserPrincipalName |
  Foreach-Object {
    Get-InboxRule -Mailbox $_ |
    Select-Object -Property MailboxOwnerID,Name,Enabled,From,Description,RedirectTo,ForwardTo,MarkAsRead,MoveToFolder
   } |
 Export-Csv -Path exported-rules.csv
    • 1

相关问题