Gör så här vid dataintrång i ett Microsoft 365-konto

Åtgärderna i denna punkt riktar sig till alla användare. Meddela också din organisations IT-avdelning om saken, så att den kan fortsätta att utreda händelsen i enlighet med anvisningarna.

Isolera användarnamn

Steg 1
Ändra lösenordet
Du kan ändra ditt lösenord på Microsofts webbplats
Så här ändrar du lösenordet för ditt Microsoft-konto
Anvisningar för administratörer om återställande av lösenord
Steg 2
Kontrollera aktiva sessioner
När lösenordet har ändrats, kontrollera alla pågående sessioner på alla enheter. Genom den här åtgärden kan du kontrollera på vilka alla enheter du är inloggad med användarnamnet i fråga. Kom ihåg att logga ut från alla sessioner för att få tillgång till det nya lösenordet och säkerställa att det inte längre är möjligt att använda det gamla lösenordet.
Här kan du logga ut användarnamnet från alla sessioner
Välj ditt namn i din profil och välj Logga ut överallt.
Anvisningar för utloggning från alla enheter
Anvisningar för M365-administratörer om utloggning för en användares räkning
Steg 3
Kontrollera rättigheterna för ett användarnamn som äventyrats
Om ett användarnamn som äventyrats har administratörsrättigheter för Microsoft 365-abonnemanget, ta bort dem omedelbart. Säkerställ dock att det finns en aktiv administratörskod, så att roller och rättigheter kan hanteras.
Anvisningar för kontroll och hantering av rättigheterna för ett användarnamn som äventyrats

Kartlägga angriparens aktivitet

Steg 1
Kontrollera om angriparen har ställt in hanteringsregler eller vidarebefordring för e-postadressen
Anvisningar för hur du kontrollerar regler
Angriparen kan förmedla antingen alla dina meddelanden till sin egen e-postadress eller ställa in hanteringsregler inne i e-postlådan, varvid vissa e-postmeddelanden kan styras till en annan mapp.
Steg 2
Kontrollera i loggarna vad angriparen har gjort
Kontrollera i loggarna ifall angriparen har lyckats logga in på ditt Microsoft 365-konto. I loggarna kan du se från vilken IP-adress och plats som inloggningen har gjorts samt vilka applikationer angriparen har försökt använda.
Anvisningar för hur du kontrollerar loggar
Steg 3
Utred angriparens aktivitet i dokument och applikationer med hjälp av revisionsloggar
I revisionsloggar är det möjligt att se till exempel vilka dokument angriparen har öppnat, redigerat eller kopierat samt vilka tjänster angriparen har använt.
I revisionsloggarna kan en M365-administratör söka information till exempel enligt användare eller tidpunkt.
Anvisningar för hur du söker i revisionsloggar
Steg 4
Kontrollera domänens användarnamn
Om användarnamnet som äventyrats har varit en administratörskod för Microsoft 365-abonnemanget eller angriparen har lyckats ge användarnamnet rättigheter på administratörsnivå ska du kontrollera om nya användarnamn har skapats för domänen eller nya applikationer har installerats på den.
Om användarnamnet som äventyrats är en administratörskod ska det tas på mycket stort allvar, eftersom man med koden har tillträde överallt i organisationens Microsoft 365-abonnemang.
Microsoft: Entra ID activity logs in Azure Monitor
5Steg 5
Kontrollera om skadliga e-postmeddelanden har skickats med användarnamnet
I tjänsten Online Exchange kan du kontrollera om angriparen har skickat skadliga e-postmeddelanden. Du kan ladda ner rapporten i till exempel Excel, där det är enkelt att söka på mottagarnas e-postadresser.
Tjänsten Online Exchange
Om skadliga e-postmeddelanden har skickats med användarnamnet som äventyrats är det viktigt att informera mottagarna om det så fort som möjligt. Nedan ett exempel på ett varningsmeddelande.
Exempel på ett varningsmeddelande
Hej,
enligt våra uppgifter har ni fått ett meddelande med rubriken _____ från adressen _____.
Det är fråga om ett bluffmeddelande som används för att fiska efter användarnamn och som har skickats från ett kapat användarnamn.
Om du har angett ditt användarnamn och lösenord på webbplatsen som öppnas via länken ska du kontakta ditt företags IKT-stöd och berätta om vad som hänt. Om ditt företag inte har IKT-stöd, handla enligt dessa anvisningar:
Ändra ditt lösenord genast. Efter att du ändrat lösenordet är det bra att avbryta alla pågående sessioner på alla enheter. Det är möjligt att en brottsling redan har loggat in i tjänster med ditt användarnamn. Till exempel i Microsoft 365-tjänster kan du göra det enligt den här anvisningen. När du tvingar inloggning i alla sessioner med nytt lösenord kan brottslingen inte längre logga in i tjänsten med ditt användarnamn.
Kontrollera om brottslingen har aktiverat vidarebefordring av din e-post eller ändra reglerna för hanteringen av din e-post .
Utred hur omfattande angreppet är beträffande personuppgifterna.
Utred hur mycket och vilket slag av personuppgifter som läckt ut.
Varna organisationer och personer som fått nätfiskemeddelandet.
Gör en anmälan om dataintrånget till
Cybersäkerhetscentret
Polisen
Dataombudsmannen
Hälsningar,
6Steg 6
Gör en anmälan om dataintrånget till
Cybersäkerhetscentret
Gör en anmälan till Cybersäkerhetscentret så fort som möjligt, så att vi kan hjälpa till att förhindra ytterligare skador. Du kan göra en anmälan även med bristfälliga uppgifter. Bifoga nätfiskemeddelandet du fått till anmälan. Cybersäkerhetscentret undersöker länken i meddelandet och begär att webbplatsen stängs, varvid vi kan minska antalet nya offer.
Polisen
Dataombudsmannen

Förebyggande åtgärder

Med flerfaktorsautentisering menas att din identitet verifieras med hjälp av två eller flera identifieringsmetoder. Intrång i Microsoft 365-användarkonton kan förhindras med flerfaktorsautentisering. Även om en brottsling får reda på ditt användarnamn och ditt lösenord, går det inte att logga in i tjänsten utan extra verifiering. Det rekommenderas att flerfaktorsautentisering ska användas för alla användarnamn.

Börja använda de skyddsinställningar som erbjuds som standard samt flerfaktorsautentisering (Multifactor Authenticator, MFA) i ditt Microsoft 365-abonnemang. Planera, utarbeta anvisningar och tidsplanera införandet av flerfaktorsautentisering för alla användarnamn.
Microsofts anvisning för införande av flerfaktorsautentisering
Börja använda flerfaktorsautentisering för användarnamn och systemadministratörer.
Utarbeta anvisningar för hur användarna ska börja använda den nya funktionen. I anvisningarna kan du även lägga till länkar till andra anvisningar och hjälp med att lösa problem.
Anvisning för administratörer (konfigurering av flerfaktorsautentisering i samband med inloggning i Microsoft 365)
Vanliga frågor om appen Microsoft Authenticator
Hjälp för arbets- eller skolkonto

Detta användarnamn är endast för nödsituationer. Det används inte normalt i administratörsuppgifter eller för utförande av normala arbetsuppgifter.
Användarnamnet används när det inte går att logga in i Microsoft 365-tjänster med något annat användarnamn.
Användarnamnets lösenord ska vara komplicerat och långt, och användningen av det ska övervakas noggrant.
När användarnamnet används för att logga in i organisationens Microsoft 365-tjänst, får administratören genast ett meddelande om inloggningen.
Anvisningar för hur du skapar ett konto för nödåtkomst

Med hjälp av loggdata kan man spåra när ett dataintrång har skett, vad det omfattar och kanske till och med på vilket sätt det har gjorts. Dessa loggdata är till nytta även vid annan felsökning och problemlösning.

Anvisning för hur du aktiverar loggdata

Kontrollera om larm har aktiverats. Med hjälp av larmen får du en bättre bild av användarnas och systemadministratörernas aktivitet samt varningar om hot eller försvunna uppgifter.

Anvisning för hur du aktiverar larm

Vid dataintrång i Microsoft 365 har ofta en applikation som lämpar sig för massutskick använts. Uppdatera inställningarna för ditt Microsoft-abonnemang så att man med användarnamnet inte direkt kan installera applikationer i Microsoft 365-abonnemanget, utan att administratören för abonnemanget måste godkänna installationen. På så sätt fråntar du brottslingar möjligheten att installera ett program för massutskick på ett kapat användarnamn.

Microsoft: User and admin consent in Microsoft Entra ID Så här hindrar du användare från att godkänna applikationer

Om följande funktioner är aktiverade kan du börja använda dem enligt följande anvisningar.

Som standard krävs inloggning med 90 dagars mellanrum. Det skulle vara säkrare om användarna loggade in i webbläsarapplikationer till exempel en gång om dagen. Denna inställning kan aktiveras åtminstone för följande applikationer: SharePoint, applikationerna OneDrive for business och Exchange Online samt Microsofts alla molnapplikationer.

Microsofts anvisning: Configure authentication session management with Conditional Access How to Enable Organization Customization in Office 365

När en varning genereras om ett användarnamn kan man genom villkor för riskhantering kräva att användaren själv ändrar lösenordet med hjälp av en process för återställande av lösenord enligt Microsoft Entra ID-självbetjäningslösning.

Microsoft: Require password change Microsoft: Common Conditional Access policy: User risk-based password change

Genom att använda Intune/MDM eller någon annan enhetshantering kan inloggningsrätt till Microsoft 365-tjänster beviljas endast från enheter som omfattas av företagets enhetshantering.

Microsoft: Require device to be marked as compliant Microsoft: Common Conditional Access policy: Require approved client apps or app protection policy

Med hjälp av den villkorliga regeln Token Protection kan du säkerställa att användarnamn kan användas endast på enheter där användaren ursprungligen har loggat in. Vid AiTM-nätfiske är det möjligt för angriparen att få en fungerande sessionskaka, som hen kan använda för att upprepa användarens inloggning i Microsoft 365-tjänster. Regeln Token Protection hindrar angriparen från att logga in i Microsoft 365-tjänster.

Token protection

Gör så här vid dataintrång i ett Microsoft 365-konto

Isolera användarnamn

Ändra lösenordet

Kontrollera aktiva sessioner

Kontrollera rättigheterna för ett användarnamn som äventyrats

Kartlägga angriparens aktivitet

Kontrollera om angriparen har ställt in hanteringsregler eller vidarebefordring för e-postadressen

Kontrollera i loggarna vad angriparen har gjort

Utred angriparens aktivitet i dokument och applikationer med hjälp av revisionsloggar

Kontrollera domänens användarnamn

Kontrollera om skadliga e-postmeddelanden har skickats med användarnamnet

Gör en anmälan om dataintrånget till

Förebyggande åtgärder

Börja genast använda flerfaktorsautentisering

Skapa ett användarnamn för nödåtkomst

Säkerställ att revisionsloggarna har aktiverats i Microsoft 365-abonnemanget

Hindra användare från att godkänna applikationer

Du kan med hjälp av en regel bestämma hur ofta användarna ska logga in i Microsoft 365-tjänsterna

Om någon försöker kapa en användares användarnamn kan Azure ställas in för att ge en varning om misstänkta inloggningsförsök

Skärp användningen av ditt företags Microsoft 365-tjänster genom att bevilja inloggningsrätt endast från företagets enheter

Säkerställ användarnas inloggning genom att aktivera den riskbaserade regeln Token Protection