Requerir a la persona que notificó el correo original como adjunto
Ir a portal de administración, portal de exchange
Ir a flujo de correo - seguimiento de mensaje - iniciar un seguimiento - se agrega la dirección del supuesto emisor y se selecciona la fecha así como el correo recibir
Darle doble clic al correo encontrado, ir hasta abajo en mas información y revisar las ips tanto del recibido como del enviado a traves de what is my ip para ver la zona geográfica q pertenece (Anotarlo en un informe)
2DO PASO
Analizar el correo original (NO UN REENVIADO)
Abrir el correo - archivo - propiedades - copiar el encabezado de internet
-
Pegar el encabezado del correo electrónico infectado
Ver el informe, sobre todo las ips checándolas con what is my ip para ver la procedencia, recordar que las ips de o365 vienen en su mayoría de distintos puntos de USA por lo que se ve de esta forma un patrón normal de uso en el 365 ( poner en informe)
DNS de microsoft dice NS. (NAME SERVER.XXXXX) o microsoft OJO
3ER PASO
ir al centro clásico de administración de exchange - protección - DKIM - Página DKIM - Seleccionar dominio afectado - “v=spf1 +ip4:108.179.194.85 +include:spf.protection.outlook.com -all” en donde la IP no está permitida por configuración original.
4TO PASO
Revisar los registros MX revisando que no tengan una ip en los registros MX como por ejemplo “v=spf1 +mx +a +ip4:108.179.194.85 ~all”
-
5TO PASO
Activar DKM para activar firma digital a cada cuenta dentro del tenant
6TO PASO
-
Ir a administración de amenazas - panel para ver el estado
Ir a administración de amenzas - revisar para otras acciones
7MO
Enviar informe a los usuarios de lo sucedido evitando abrir archivos del mail en cuestión así como también preguntar quien abrió el archivo o mail
8VO
Cambiar contraseñas de usuarios afectados así como de usuario origen, correr antivirus en equipos, volver a cambiar contraseñas después de análisis así como cambio de contraseña en vpn y sesiones de sistemas como intelisis, sap, etc
9NO (DATO ILUSTRATIVO)
-
10MO
Cumplimiento de Microsoft 365 - Permisos - Centro de cumplimiento - Roles- Organization Managment - bajar y como miembro tiene q estar el usaurio administrador con el q se accedio
Luego en lugar de organization managment seleccionar solo security administrator e igual
Luego discovery Manager y lo mismo
Luego en compliance admnistrator y lo mismo.
** Luego en Cumplimiento de microsoft 365 en búsqueda de contenido - nueva búsqueda - usar nombre corto, buscar en buzones exchange - generador de tarjetas de condición - agregar condición y poner el asunto (OJO, NO seleccionar asunto y XXX“, solo “asunto” y el “asunto” del correo - siguiente
Luego seleccionar la busqueda creada y del lado derecho en estado debe de estar como “completado”, darle doble clic y “revisar muestra”
Abrir Powershell como administrador
Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Unrestricted -Force
Install-Module -Name MSOnline -Force
Connect-MSOLService
Pedirá las claves del administrador q deben coincidir con el usuario especificado en los pasos anteriores
Install-Module -Name ExchangeOnlineManagement
Connect-ExchangeOnline
Import-Module ExchangeOnlineManagement
-
New-ComplianceSearchAction -SearchName “nombre de bsqueda” -Purge -PurgeType HardDelete cambiando el “nombre de búsqueda” por la búsqueda q creamos
Volver a ejecutar la instrucción anterior en donde debe de tener status “completado”
Validar haciendo nueva búsqueda con nuevo nombre, es probable q aparezca porque guarda el reporte en cache
Se aconseja entrar al buzón de un usuario afectado, para ello se va a usuarios en o365, se abre el usuario activo, correo, permisos del buzón, permisos de lectura y administración, seleccionar el nombre del administrador. Luego abrir outlook en línea, hasta arriba lado derecho en las iniciales del usuario clic, abrir otra bandeja de correo y colocar el nombre de la persona que se quiere analizar, hacer la búsqueda del mail por título y confirmar