У нас возникли проблемы с нашими службами Office 365, в частности с Exchange Online. Некоторые из наших пользователей подвергаются атакам из разных стран, пытаясь проникнуть в их учетные записи. Мы довольно хороши с точки зрения безопасности (я думаю ...) и имеем следующие меры по снижению рисков:
Я знаю, что все вышеперечисленное работает, потому что я вижу, например, что такие вещи, как POP3, блокируются политикой условного доступа. Однако мы по-прежнему сталкиваемся с блокировкой учетных записей, и я не могу установить конкретное приложение / службу, которая является причиной. Мой обычный порт захода - журналы входа в Azure AD. На приведенном ниже снимке экрана показаны журналы, отфильтрованные для одного пользователя, и неудачные попытки входа в систему. Обычно 'Клиентское приложениеПоле 'показывает, к какой службе был подключен вход, но оно пустое (выделено красным на скриншоте ниже). Это происходит с несколькими пользователями в моем клиенте, и, поскольку мы не можем увидеть / понять причину, мы не можем устранить неполадки. Как ни странно, это становится основной проблемой DoS, поскольку пользователи блокируются, и мы не можем понять, как это сделать. Microsoft рекомендует включить условный доступ и заблокировать устаревшую аутентификацию, но мы уже сделали это и, похоже, по-прежнему возникают проблемы. Есть ли у других эта проблема и есть ли у кого-нибудь совет?
Отключение POP3, IMAP и SMTP для каждого почтового ящика, похоже, помогает. Я использовал следующий сценарий, чтобы сделать это массово, так как у нас довольно большой арендатор:
Просто помните о последствиях, если вы используете этот сценарий PowerShell, поскольку вы можете отключить функции в учетных записях, которые законно используют POP 3, IMAP и SMTP. Этот скрипт делает это для всех почтовых ящиков !!!
$mailboxes = get-casmailbox
foreach($mailbox in $mailboxes){Set-CASMailbox $mailbox.id -SmtpClientAuthenticationDisabled $true -ImapEnabled $false -PopEnabled $False}
@ Andrew-Emmett Кажется, вы никогда не задаете вопрос, связанный с заголовком вашего сообщения, но я бы посоветовал вам сделать, если вы можете, - это извлечь данные из API управления Office 365. Для этого вам нужно будет зарегистрировать приложение в AAD, но это позволит вам хранить данные дольше, чем они хранятся в Office 365, и вы можете разработать эвристику на основе собранных данных. Вы можете сделать это с помощью PowerShell, и вы можете сохранить его в бесчисленном множестве форм, но одна из полезных может заключаться в том, чтобы поместить его в SQL.
Если у вас есть гибкость, вы можете использовать приложение-функцию Azure для извлечения данных. Это также предоставит вам способ зарегистрировать приложение-функцию в качестве веб-перехватчика для каждого из 5 каналов, которые являются частью API, чтобы при попадании в канал новых данных приложение-функция получало уведомление о необходимости извлечения данных. Вы также можете сделать что-то подобное с приложением логики.