Hoppa till huvudinnehåll
Cybersäkerhetscentret
Anmäl kränkningar
Anmäl kränkningar
Anmäl kränkningar

Gör så här vid dataintrång i ett Microsoft 365-konto

I anvisningen ger vi råd för hur du får tillbaka ditt användarnamn och varnar andra. Vi går också igenom isolering av användarnamn, kartläggning av angriparens aktivitet och förebyggande åtgärder.

Åtgärderna i denna punkt riktar sig till alla användare. Meddela också din organisations IT-avdelning om saken, så att den kan fortsätta att utreda händelsen i enlighet med anvisningarna.

Isolera användarnamn

  1. Steg 1

    Ändra lösenordet

    Du kan ändra ditt lösenord på Microsofts webbplats Ulkoinen verkkopalvelu.
    Så här ändrar du lösenordet för ditt Microsoft-konto Ulkoinen verkkopalvelu.
    Anvisningar för administratörer om återställande av lösenord Ulkoinen verkkopalvelu.
  2. Steg 2

    Kontrollera aktiva sessioner

    När lösenordet har ändrats, kontrollera alla pågående sessioner på alla enheter. Genom den här åtgärden kan du kontrollera på vilka alla enheter du är inloggad med användarnamnet i fråga. Kom ihåg att logga ut från alla sessioner för att få tillgång till det nya lösenordet och säkerställa att det inte längre är möjligt att använda det gamla lösenordet.

    Här kan du logga ut användarnamnet från alla sessioner Ulkoinen verkkopalvelu.

    Välj ditt namn i din profil och välj Logga ut överallt.

    Anvisningar för utloggning från alla enheter Ulkoinen verkkopalvelu.
    Anvisningar för M365-administratörer om utloggning för en användares räkning Ulkoinen verkkopalvelu.
  3. Steg 3

    Kontrollera rättigheterna för ett användarnamn som äventyrats

    Om ett användarnamn som äventyrats har administratörsrättigheter för Microsoft 365-abonnemanget, ta bort dem omedelbart. Säkerställ dock att det finns en aktiv administratörskod, så att roller och rättigheter kan hanteras. 

    Anvisningar för kontroll och hantering av rättigheterna för ett användarnamn som äventyrats Ulkoinen verkkopalvelu.

Kartlägga angriparens aktivitet

  1. Steg 1

    Kontrollera om angriparen har ställt in hanteringsregler eller vidarebefordring för e-postadressen

    Anvisningar för hur du kontrollerar regler Ulkoinen verkkopalvelu.

    Angriparen kan förmedla antingen alla dina meddelanden till sin egen e-postadress eller ställa in hanteringsregler inne i e-postlådan, varvid vissa e-postmeddelanden kan styras till en annan mapp.

  2. Steg 2

    Kontrollera i loggarna vad angriparen har gjort

    Kontrollera i loggarna ifall angriparen har lyckats logga in på ditt Microsoft 365-konto. I loggarna kan du se från vilken IP-adress och plats som inloggningen har gjorts samt vilka applikationer angriparen har försökt använda.

    Anvisningar för hur du kontrollerar loggar Ulkoinen verkkopalvelu.
  3. Steg 3

    Utred angriparens aktivitet i dokument och applikationer med hjälp av revisionsloggar

    I revisionsloggar är det möjligt att se till exempel vilka dokument angriparen har öppnat, redigerat eller kopierat samt vilka tjänster angriparen har använt.

    I revisionsloggarna kan en M365-administratör söka information till exempel enligt användare eller tidpunkt. 

    Anvisningar för hur du söker i revisionsloggar Ulkoinen verkkopalvelu.
  4. Steg 4

    Kontrollera domänens användarnamn

    Om användarnamnet som äventyrats har varit en administratörskod för Microsoft 365-abonnemanget eller angriparen har lyckats ge användarnamnet rättigheter på administratörsnivå ska du kontrollera om nya användarnamn har skapats för domänen eller nya applikationer har installerats på den.

    Om användarnamnet som äventyrats är en administratörskod ska det tas på mycket stort allvar, eftersom man med koden har tillträde överallt i organisationens Microsoft 365-abonnemang.

    Microsoft: Entra ID activity logs in Azure Monitor Ulkoinen verkkopalvelu.
  5. Steg 5

    Kontrollera om skadliga e-postmeddelanden har skickats med användarnamnet

    I tjänsten Online Exchange kan du kontrollera om angriparen har skickat skadliga e-postmeddelanden. Du kan ladda ner rapporten i till exempel Excel, där det är enkelt att söka på mottagarnas e-postadresser.

    Tjänsten Online Exchange Ulkoinen verkkopalvelu.

    Om skadliga e-postmeddelanden har skickats med användarnamnet som äventyrats är det viktigt att informera mottagarna om det så fort som möjligt. Nedan ett exempel på ett varningsmeddelande.

    Exempel på ett varningsmeddelande

    Hej,

    enligt våra uppgifter har ni fått ett meddelande med rubriken _____ från adressen _____.

    Det är fråga om ett bluffmeddelande som används för att fiska efter användarnamn och som har skickats från ett kapat användarnamn.

    Om du har angett ditt användarnamn och lösenord på webbplatsen som öppnas via länken ska du kontakta ditt företags IKT-stöd och berätta om vad som hänt. Om ditt företag inte har IKT-stöd, handla enligt dessa anvisningar:

    1. Ändra ditt lösenord genast. Efter att du ändrat lösenordet är det bra att avbryta alla pågående sessioner på alla enheter. Det är möjligt att en brottsling redan har loggat in i tjänster med ditt användarnamn. Till exempel i Microsoft 365-tjänster kan du göra det enligt den här anvisningen Ulkoinen verkkopalvelu.. När du tvingar inloggning i alla sessioner med nytt lösenord kan brottslingen inte längre logga in i tjänsten med ditt användarnamn.
    2. Kontrollera om brottslingen har aktiverat vidarebefordring av din e-post eller ändra reglerna för hanteringen av din e-post  Ulkoinen verkkopalvelu.
    3. Utred hur omfattande angreppet är beträffande personuppgifterna.
      Utred hur mycket och vilket slag av personuppgifter som läckt ut.
    4. Varna organisationer och personer som fått nätfiskemeddelandet Ulkoinen verkkopalvelu..
    5. Gör en anmälan om dataintrånget till
      Cybersäkerhetscentret
      Polisen
      Dataombudsmannen 

    Hälsningar,

  6. Steg 6

    Gör en anmälan om dataintrånget till

Förebyggande åtgärder

Med flerfaktorsautentisering menas att din identitet verifieras med hjälp av två eller flera identifieringsmetoder. Intrång i Microsoft 365-användarkonton kan förhindras med flerfaktorsautentisering. Även om en brottsling får reda på ditt användarnamn och ditt lösenord, går det inte att logga in i tjänsten utan extra verifiering. Det rekommenderas att flerfaktorsautentisering ska användas för alla användarnamn.

  • Detta användarnamn är endast för nödsituationer. Det används inte normalt i administratörsuppgifter eller för utförande av normala arbetsuppgifter.
  • Användarnamnet används när det inte går att logga in i Microsoft 365-tjänster med något annat användarnamn.
  • Användarnamnets lösenord ska vara komplicerat och långt, och användningen av det ska övervakas noggrant.
  • När användarnamnet används för att logga in i organisationens Microsoft 365-tjänst, får administratören genast ett meddelande om inloggningen.
  • Anvisningar för hur du skapar ett konto för nödåtkomst Ulkoinen verkkopalvelu.

Med hjälp av loggdata kan man spåra när ett dataintrång har skett, vad det omfattar och kanske till och med på vilket sätt det har gjorts. Dessa loggdata är till nytta även vid annan felsökning och problemlösning.

Kontrollera om larm har aktiverats. Med hjälp av larmen får du en bättre bild av användarnas och systemadministratörernas aktivitet samt varningar om hot eller försvunna uppgifter.

Vid dataintrång i Microsoft 365 har ofta en applikation som lämpar sig för massutskick använts. Uppdatera inställningarna för ditt Microsoft-abonnemang så att man med användarnamnet inte direkt kan installera applikationer i Microsoft 365-abonnemanget, utan att administratören för abonnemanget måste godkänna installationen. På så sätt fråntar du brottslingar möjligheten att installera ett program för massutskick på ett kapat användarnamn.

Microsoft: User and admin consent in Microsoft Entra ID Ulkoinen verkkopalvelu.Så här hindrar du användare från att godkänna applikationer Ulkoinen verkkopalvelu.

Om följande funktioner är aktiverade kan du börja använda dem enligt följande anvisningar.

Som standard krävs inloggning med 90 dagars mellanrum. Det skulle vara säkrare om användarna loggade in i webbläsarapplikationer till exempel en gång om dagen. Denna inställning kan aktiveras åtminstone för följande applikationer: SharePoint, applikationerna OneDrive for business och Exchange Online samt Microsofts alla molnapplikationer.

Microsofts anvisning: Configure authentication session management with Conditional Access Ulkoinen verkkopalvelu.How to Enable Organization Customization in Office 365 Ulkoinen verkkopalvelu.

När en varning genereras om ett användarnamn kan man genom villkor för riskhantering kräva att användaren själv ändrar lösenordet med hjälp av en process för återställande av lösenord enligt Microsoft Entra ID-självbetjäningslösning.

Microsoft: Require password change Ulkoinen verkkopalvelu.Microsoft: Common Conditional Access policy: User risk-based password change Ulkoinen verkkopalvelu.

Genom att använda Intune/MDM eller någon annan enhetshantering kan inloggningsrätt till Microsoft 365-tjänster beviljas endast från enheter som omfattas av företagets enhetshantering.

Microsoft: Require device to be marked as compliant Ulkoinen verkkopalvelu.Microsoft: Common Conditional Access policy: Require approved client apps or app protection policy Ulkoinen verkkopalvelu.

Med hjälp av den villkorliga regeln Token Protection kan du säkerställa att användarnamn kan användas endast på enheter där användaren ursprungligen har loggat in. Vid AiTM-nätfiske är det möjligt för angriparen att få en fungerande sessionskaka, som hen kan använda för att upprepa användarens inloggning i Microsoft 365-tjänster. Regeln Token Protection hindrar angriparen från att logga in i Microsoft 365-tjänster.

Token protection Ulkoinen verkkopalvelu.
Sidan är senast uppdaterad