Şu kişiden alıntılanmıştır: Mehmet PARLAKYİĞİT tarhinde 25/02/2023, 21:35

• Global Admin Yetkisine sahip kullanıcıları kontrol edeniz.

https://admin.microsoft.com/#/users

•  Azure Active Directory üzerinden kullanıcıların login aktivitelerine bakılır.

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UsersManagementMenuBlade/SignIns

• Eğer kullanıcı farklı bir ülke veya konumdan oturum açıyorsa kendi webmaili üzerinden ayrıca outlook üzerinden kurallara bakılır.

https://outlook.office.com/mail/options/mail/rules

• Konktaklara bakılır farklı kişiler varmı bilinmeyen.

https://admin.exchange.microsoft.com/#/contacts

• Exchange Admin Center üzerinde bulunan connectorlere bakılır.

https://admin.exchange.microsoft.com/#/connectors

• Exchange Admin Center üzerinde transportrules bakılır

https://admin.exchange.microsoft.com/#/transportrules

• Şüpheli bir e-posta adresi (organizasyona ait kullanıcı) mevcutsa messagetrace üzerinden gönderdiği mailler analiz edilebilir.

https://admin.exchange.microsoft.com/#/messagetrace

•  İçeride herhangi bir SMTP yönelndirmesi olup olmadığına bakılır. (PowerShell)

Get-Mailbox | select UserPrincipalName,ForwardingSmtpAddress,DeliverToMailboxAdndForward

•  Auditlog incelemesi yapılabilir.

https://security.microsoft.com/auditlogsearch

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UsersManagementMenuBlade/Audit

• WhiteListe herhangi bir domain veya mail adresi eklenmiş mi ? (İstenmeyen posta önleme gelen ilkesi)

https://security.microsoft.com/antispam

• Belirli IP adreslerinden gelen iletilere izin verilmiş mi ? (Bağlantı filtresi ilkesi)

https://security.microsoft.com/antispam