**Ataque o365 Next Steps Correo electrónico desconocido desde dentro de organización (aparente)** - Requerir a la persona que notificó el correo original como adjunto - Ir a portal de administración, portal de exchange - Ir a flujo de correo - seguimiento de mensaje - iniciar un seguimiento - se agrega la dirección del supuesto emisor y se selecciona la fecha así como el correo recibir - Darle doble clic al correo encontrado, ir hasta abajo en mas información y revisar las ips tanto del recibido como del enviado a traves de what is my ip para ver la zona geográfica q pertenece (Anotarlo en un informe) - 2DO PASO - Analizar el correo original (NO UN REENVIADO) - Abrir el correo - archivo - propiedades - copiar el encabezado de internet - abrir una página https://mha.azurewebsites.net/ - Pegar el encabezado del correo electrónico infectado - Ver el informe, sobre todo las ips checándolas con what is my ip para ver la procedencia, recordar que las ips de o365 vienen en su mayoría de distintos puntos de USA por lo que se ve de esta forma un patrón normal de uso en el 365 ( poner en informe) - DNS de microsoft dice NS. (NAME SERVER.XXXXX) o microsoft OJO - 3ER PASO - ir al centro clásico de administración de exchange - protección - DKIM - Página DKIM - Seleccionar dominio afectado - "v=spf1 +ip4:108.179.194.85 +include:spf.protection.outlook.com -all" en donde la IP no está permitida por configuración original. - 4TO PASO - Revisar los registros MX revisando que no tengan una ip en los registros MX como por ejemplo "v=spf1 +mx +a +ip4:108.179.194.85 ~all" - Recordar que los dominios deben estar bien reconocidos en o365 desde su portal tomando en cuenta esto https://docs.microsoft.com/es-es/microsoft-365/security/office-365-security/set-up-spf-in-office-365-to-help-prevent-spoofing?view=o365-worldwide#create-or-update-your-spf-txt-record - 5TO PASO - Activar DKM para activar firma digital a cada cuenta dentro del tenant - 6TO PASO - Ir https://protection.office.com/ - Ir a administración de amenazas - panel para ver el estado - Ir a administración de amenzas - revisar para otras acciones - 7MO - Enviar informe a los usuarios de lo sucedido evitando abrir archivos del mail en cuestión así como también preguntar quien abrió el archivo o mail - 8VO - Cambiar contraseñas de usuarios afectados así como de usuario origen, correr antivirus en equipos, volver a cambiar contraseñas después de análisis así como cambio de contraseña en vpn y sesiones de sistemas como intelisis, sap, etc - 9NO (DATO ILUSTRATIVO) - ir a https://compliance.microsoft.com - Gobierno de la información - Arhivo (menú superior) en los puntitos ... - 10MO - Cumplimiento de Microsoft 365 - Permisos - Centro de cumplimiento - Roles- Organization Managment - bajar y como miembro tiene q estar el usaurio administrador con el q se accedio - Luego en lugar de organization managment seleccionar solo security administrator e igual - Luego discovery Manager y lo mismo - Luego en compliance admnistrator y lo mismo. - ** Luego en Cumplimiento de microsoft 365 en búsqueda de contenido - nueva búsqueda - usar nombre corto, buscar en buzones exchange - generador de tarjetas de condición - agregar condición y poner el asunto (OJO, NO seleccionar asunto y XXX", solo "asunto" y el "asunto" del correo - siguiente - Luego seleccionar la busqueda creada y del lado derecho en estado debe de estar como "completado", darle doble clic y "revisar muestra" - Abrir Powershell como administrador - Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -Force - Install-Module -Name MSOnline -Force - Connect-MSOLService - Pedirá las claves del administrador q deben coincidir con el usuario especificado en los pasos anteriores - Install-Module -Name ExchangeOnlineManagement - Connect-ExchangeOnline - Import-Module ExchangeOnlineManagement - Connect-IPPSSession -UserPrincipalName usuario@contoso.com -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid/ -PSSessionOption $ProxyOptions corregir el usuario@contoso por el admin - New-ComplianceSearchAction -SearchName "nombre de bsqueda" -Purge -PurgeType HardDelete cambiando el "nombre de búsqueda" por la búsqueda q creamos - Volver a ejecutar la instrucción anterior en donde debe de tener status "completado" - Validar haciendo nueva búsqueda con nuevo nombre, es probable q aparezca porque guarda el reporte en cache - Se aconseja entrar al buzón de un usuario afectado, para ello se va a usuarios en o365, se abre el usuario activo, correo, permisos del buzón, permisos de lectura y administración, seleccionar el nombre del administrador. Luego abrir outlook en línea, hasta arriba lado derecho en las iniciales del usuario clic, abrir otra bandeja de correo y colocar el nombre de la persona que se quiere analizar, hacer la búsqueda del mail por título y confirmar