Forum
Hacklenen Microsoft 365 Organizasonun Vaka Analizi Nasıl Yapılır ?
Şu kişiden alıntılanmıştır: Mehmet PARLAKYİĞİT tarhinde 25/02/2023, 21:35
- Global Admin Yetkisine sahip kullanıcıları kontrol edeniz.
https://admin.microsoft.com/#/users
- Azure Active Directory üzerinden kullanıcıların login aktivitelerine bakılır.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/UsersManagementMenuBlade/SignIns
- Eğer kullanıcı farklı bir ülke veya konumdan oturum açıyorsa kendi webmaili üzerinden ayrıca outlook üzerinden kurallara bakılır.
https://outlook.office.com/mail/options/mail/rules
- Konktaklara bakılır farklı kişiler varmı bilinmeyen.
https://admin.exchange.microsoft.com/#/contacts
- Exchange Admin Center üzerinde bulunan connectorlere bakılır.
https://admin.exchange.microsoft.com/#/connectors
- Exchange Admin Center üzerinde transportrules bakılır
https://admin.exchange.microsoft.com/#/transportrules
- Şüpheli bir e-posta adresi (organizasyona ait kullanıcı) mevcutsa messagetrace üzerinden gönderdiği mailler analiz edilebilir.
https://admin.exchange.microsoft.com/#/messagetrace
- İçeride herhangi bir SMTP yönelndirmesi olup olmadığına bakılır. (PowerShell)
Get-Mailbox | select UserPrincipalName,ForwardingSmtpAddress,DeliverToMailboxAdndForward
- Auditlog incelemesi yapılabilir.
https://security.microsoft.com/auditlogsearch
https://portal.azure.com/#blade/Microsoft_AAD_IAM/UsersManagementMenuBlade/Audit
- WhiteListe herhangi bir domain veya mail adresi eklenmiş mi ? (İstenmeyen posta önleme gelen ilkesi)
https://security.microsoft.com/antispam
- Belirli IP adreslerinden gelen iletilere izin verilmiş mi ? (Bağlantı filtresi ilkesi)
- Global Admin Yetkisine sahip kullanıcıları kontrol edeniz.
https://admin.microsoft.com/#/users
- Azure Active Directory üzerinden kullanıcıların login aktivitelerine bakılır.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/UsersManagementMenuBlade/SignIns
- Eğer kullanıcı farklı bir ülke veya konumdan oturum açıyorsa kendi webmaili üzerinden ayrıca outlook üzerinden kurallara bakılır.
https://outlook.office.com/mail/options/mail/rules
- Konktaklara bakılır farklı kişiler varmı bilinmeyen.
https://admin.exchange.microsoft.com/#/contacts
- Exchange Admin Center üzerinde bulunan connectorlere bakılır.
https://admin.exchange.microsoft.com/#/connectors
- Exchange Admin Center üzerinde transportrules bakılır
https://admin.exchange.microsoft.com/#/transportrules
- Şüpheli bir e-posta adresi (organizasyona ait kullanıcı) mevcutsa messagetrace üzerinden gönderdiği mailler analiz edilebilir.
https://admin.exchange.microsoft.com/#/messagetrace
- İçeride herhangi bir SMTP yönelndirmesi olup olmadığına bakılır. (PowerShell)
Get-Mailbox | select UserPrincipalName,ForwardingSmtpAddress,DeliverToMailboxAdndForward
- Auditlog incelemesi yapılabilir.
https://security.microsoft.com/auditlogsearch
https://portal.azure.com/#blade/Microsoft_AAD_IAM/UsersManagementMenuBlade/Audit
- WhiteListe herhangi bir domain veya mail adresi eklenmiş mi ? (İstenmeyen posta önleme gelen ilkesi)
https://security.microsoft.com/antispam
- Belirli IP adreslerinden gelen iletilere izin verilmiş mi ? (Bağlantı filtresi ilkesi)