Які ознаки компрометації Microsoft 365 і як перевірити середовище?
Компрометація Microsoft 365 зазвичай починається не з “злому сервера”, а з облікового запису користувача або адміністратора. Найчастіше це результат фішингу, викрадення сесії або зловживання OAuth-доступами. Проблема в тому, що такі атаки можуть довго залишатися непоміченими, оскільки виглядають як “звичайна робота користувача”.
Найтиповіші ознаки компрометації:
Підозрілі входи в акаунти: авторизації з нових країн, незвичних пристроїв або в нетиповий час, події типу impossible travel, різке зростання кількості невдалих спроб входу.
Маніпуляції з MFA: додавання нових методів багатофакторної автентифікації без відома користувача, скидання або обхід MFA, тимчасове вимкнення політик Conditional Access.
Зміни в пошті: створення правил пересилання листів на зовнішні адреси, приховані inbox rules, делегування доступу до поштової скриньки іншому акаунту. Це класична ознака BEC-атак і підготовки до фінансового шахрайства.
Зловживання OAuth-додатками: додавання сторонніх або маловідомих Enterprise Applications з широкими правами доступу (читання пошти, файлів, контактів), consent grants від імені користувача або адміністратора.
Ескалація привілеїв: додавання акаунтів до ролей Global Admin, Exchange Admin, Privileged Role Admin або створення нових адміністративних облікових записів без бізнес-потреби.
Щоб перевірити середовище Microsoft 365, необхідно працювати з журналами та налаштуваннями безпеки, а не покладатися лише на інтуїцію:● проаналізувати Sign-in logs (Entra ID) з фокусом на географію, пристрої та MFA-події;● перевірити Audit logs на зміни ролей, додавання додатків, зміну налаштувань безпеки;● переглянути активні сесії і за потреби примусово їх завершити;● перевірити правила пошти та делегування доступів у поштових скриньках;● переглянути список Enterprise Applications / OAuth apps і видалити зайві або підозрілі;● перевірити привілейовані ролі та політики Conditional Access на відповідність принципу мінімальних привілеїв.
Такий огляд дозволяє зрозуміти, чи інцидент обмежився одним користувачем, чи вже зачепив всю хмарну ідентифікацію.