Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
התקפת מייל הונאה (פישינג) היא היכולת להשפיע על אנשים ודרך המחשבה שלהם ובכך לגרום להם
להיכנס לקישורים או פתיחת מיילים לצורך גניבת זהות או הפצת נוזקות.
אחד השימושים העיקריים לניצול חולשה זו היא הפצת כופרה ובכך להשפיע על מחשבים בארגונים שונים ברחבי העולם.
אחד הפתרונות היעלים ביותר כדי לבצע מניעת הפצה של מיילים כאלה בארגון רחב הוא ע״י מחיקת המייל מכלל המשתמשים דרך מערכת הניהול של Office 365 ע״י שימוש ב-Content Search אשר מבצע סריקה
של תיבות הדואר הארגוניות על פי בסיס נושא חיפוש.
יצירת Content Search
ניגש ל-Microsoft 365 Compliance ונבחר באפשרות Content Search.
במסך זה אנחנו נייצר מצב חיפוש חדש על כלל תיבות הדואר בארגון.
ניתן שם ברור לחיפוש עצמו ואף תיאור אשר יציג מה אנחנו רוצים לחפש.
במסך הבא נבצע חיפוש על חשבון מסויים או על כלל הארגון, נבצע במקביל לבצע חיפוש גם באתרי ה-Sharepoint של הארגון או גם בתיקיית ה-Public של תיבות הדואר השונות.
במקרה שלנו אני מבצע את החיפוש על כלל הארגון.
במסך ב-Conditions נבחר באפשרות Add Condition ונבחר באפשרות של Subject/Title (במידה ונרצה ללכת על כלל המיילים שמגיעים משולח מסויים נבחר באפשרות של Sender/Author).
נכניס את שם כותרת המייל שאותו נרצה לבצע מחיקה או את כתובת המייל שממנה הגיע
המייל אותו נרצה למחוק לכולם ונלחץ Next.
במסך הבא נבדוק שהכנסו את הנתונים הנכונים למסך החיפוש ונלחץ על Submit.
ניתן למערכת לסיים את ביצוע החיפוש (יכול לקחת כ-5 דקות תלוי בכמות תיבות הדואר) ונלחץ על
Review Sample כדי לראות לאיזה תיבות דואר נדרש לבצע מחיקה של ההודעות.
מחיקת החיפוש באמצעות Powershell
נפתח כעת Powershell ונתחבר איתו ל-Office 365 Admin.
נכניס את הפקודות הבאות לטובת ביצוע החיפוש ומחיקת כלל המיילים מהארגון בפקודה אחת.
בשני השורות הראשונות נבצע תפניה לסביבת המייל של ה-365.
$credential = Get-credential
$session = New-PSSession -ConfigurationName Microsoft.Exchange -Connectiouri https://ps.compliance.protection.outlook.com/powershell-liveid/ -credential $credential -Authenticqtion "Basic" -AllowRedirection
בשורה השלישית והרביעית נבצע הכנסה של בקשה אשר פונה לערך שייצרנו ב-365 שנקרא ״Need To Delete Phishing" ונאמר לו לבצע את המחיקה.
Import-PSSession $session -AllowClobber -DisableNameChecking
New-ComplianceSearchAction -SearchName "Need To Delete Phishing" -Purge -PurgeType SoftDelete
בחלק האחרון אנחנו נבצע בדיקה שהערך שהכנסו למשתנה שנקרא ״Purge״ אכן נמחק מהסביבה שלנו.
Get-ComplianceSearchAction -Identity "Need To Delete Phishing_Purge" | Format-List