Sikkerhet
Exchange Online avslører skjult triks angripere bruker for å stjele e-post
Exchange Online logger nå et MailItemsAccessed-event når e-post kopieres fra den synlige IPM-mappen til skjulte non-IPM-mapper — en kjent teknikk angripere har brukt for å iscenesette exfiltrering uten spor. Den nye AccessType-verdien CopyFromIPM lukker et revisjonshull som tidligere lot kopiering skje usynlig. SOC-team bør oppdatere jaktspørringer for å fange opp signalet.
Exchange Online logger nå et MailItemsAccessed-event når e-post kopieres fra den synlige IPM-mappen til skjulte non-IPM-mapper — en kjent teknikk angripere har brukt for å iscenesette exfiltrering uten spor. Den nye AccessType-verdien CopyFromIPM lukker et revisjonshull som tidligere lot kopiering skje usynlig. SOC-team bør oppdatere jaktspørringer for å fange opp signalet.
Original tittel: New Exchange Online Mailbox Auditing Signal: Visibility into IPM to Non-IPM Copy Activity