Security And Compliance Office 365 – Create custom activity alert with powershell

Dans le contexte d’un client, lorsqu’un de ces comptes Office 365 était hacké, des règles de redirection étaient configurées pour envoyer des mails vers l’extérieur. La règle pouvait se faire via une règle outlook (inbox rules) ou via les options OWA ( Mail > Account > Forwarding).

UPDATE : La règle « Creation of forwading rule » détecte maintenant les redirections au niveau la boite aux lettres (Set-mailbox -identity jdoe@test.com -forwardingSMTPAddress )

ORIGINAL POST

Sur le portail Security and compliance, il existe une règle de type redirection (forwarding) qui est activée par défaut appelée « Creation of forwarding/redirect rule« . Cette règle envoie une alerte lorsqu’une règle entrante (inbox Rule) est configurée pour rediriger les mails vers l’extérieur de l’organisation.

  • Par contre cette règle ne détecte pas quand une redirection est faîte au niveau de la boîte aux lettres. La personne malveillante va généralement utiliser OWA pour configurer cette redirection :

  • ce qui correspond à cette cmdlet Powershell :

Il est possible d’envoyer une alerte lorsque la cmdlet « Set-mailbox » est détectée sur une boîte aux lettres utilisateur :

  • Ouvrir une session Powershell Security and Compliance, exécuter la cmdlet suivante :

  • Lorsque la cmdlet « Set-mailbox » est utilisée, une alerte par mail est envoyée :

L’inconvénient de cette méthode est qu’une alerte sera générée à chaque fois que la cmdlet Set-mailbox sera effectuée (on ne peut pas filtrer les alertes uniquement lorsque le switch -forwardingSmtpAddress est utilisé ).

Pour supprimer l’alerte :