Cet événement est déclenché chaque fois qu'Office Protect détecte la création ou la mise à jour d'une règle de boîte de réception suspecte sur une boîte aux lettres.
Lorsque des pirates accèdent à des comptes d'utilisateurs Exchange, ils peuvent créer des règles de boîte de réception pour :
- Détourner des e-mails spécifiques de la boîte de réception de l'utilisateur, tels que les alertes de sécurité, les demandes de réinitialisation de mot de passe ou les réponses de la cible finale, afin de réduire la probabilité que l'utilisateur remarque une activité suspecte.
- Exfiltrer des données : en établissant des règles pour transférer certains types de courriels vers une adresse électronique externe contrôlée par le pirate, celui-ci peut voler des informations sensibles sans accéder directement à la boîte de réception, évitant ainsi d'être détecté.
- Assurer la persistance : même si l'utilisateur change de mot de passe ou si le compte est sécurisé d'une autre manière, le pirate peut conserver l'accès en utilisant ces règles. Cela garantit un accès continu à des informations précieuses sur une période prolongée.
- Les exploiter à des fins de spamming et d'hameçonnage. En répondant automatiquement aux courriels entrants ou en les transférant, ils peuvent distribuer des messages de spam ou d'hameçonnage aux contacts du carnet d'adresses de l'utilisateur, élargissant ainsi leur portée et leur potentiel de compromission.
La création ou la mise à jour d'une règle de boîte de réception qui n'est pas correctement nommée, ou qui déplace les messages vers des dossiers spécifiques qui sont généralement moins fréquemment consultés par les utilisateurs, tels que RSS Feeds ou Archive, doit attirer l'attention.
Remédiation
1. Examinez les détails de la règle de la boîte de réception (détaillés dans la description de l'événement) et envisagez de la supprimer.
2. Si la règle de boîte de réception est jugée malveillante, envisagez de désactiver toutes les règles de boîte de réception du compte concerné le temps de les réviser, afin de limiter un éventuel impact. Vous pouvez désactiver les règles de boîte de réception à partir de la page des détails de l'événement, onglet Remédiation, Bloquer l'utilisateur.
3. Examinez qui a effectué l'action (détaillée dans la description de l'événement), et envisagez de bloquer l'utilisateur et de réinitialiser son mot de passe si l'action était inattendue.
4. Examinez les événements Office Protect liés à l'utilisateur dans la section Report, et examinez l'activité de l'utilisateur.
Opérations à rechercher dans les journaux d'audit unifiés :
- New-InboxRule
- Set-InboxRule
Supprime une règle de boîte de réception à partir de PowerShell :
https://learn.microsoft.com/fr-ca/powershell/module/exchange/remove-inboxrule?view=exchange-ps