O365 – Compliance Search para Inactive Mailboxes

  • Article

By: Caio Ribeiro César

 

Inicio este blog post agradecendo ao engenheiro de escalação Frank Brown, por me apresentar tal funcionalidade.

 

Utilizamos as features de Compliance Search para localizar informações dentro de mailboxes. O produto se adaptou para que empresas que dependem de Compliance possam trabalhar com este tipo de search (para que o Compliance/IT possa localizar informações) e também tomar ações como por exemplo:

 

- Usuário acessa um website externo e um malware é instalado no computador, pois o mesmo é administrador local do computador;

- Este malware utiliza a conta de email para enviar o mesmo malware para a empresa (e por que não para emails externos);

- Atacante cria então sua network utilizada em ataques DDoS.

 

Este cenário específico pode parecer um pouco extremo, porém com o Compliance Search, o administrador poderia fazer um Search para encontrar e remover o email com o malware. Lembre-se de uma das regras imutáveis de segurança da informação: “você nunca acha que algo assim irá acontecer com a sua empresa, até o dia em que acontece”.

 

Vamos então a um cenário diferente. Um administrador é solicitado a encontrar uma informação específica dentro do corpo de email de todas as mailboxes, até de mailboxes de funcionários que já foram embora da empresa e hoje estão em “Inactive” state.

 

Reproduzindo o cenário...

a)      A equipe de Compliance da nossa empresa, um banco chamado “c4iocesar”, solicita que seja feita uma pesquisa para qualquer email que contenha a informação “IPO Contoso”;

b)     O administrador então efetua o primeiro search, localizando esta informação em algumas mailboxes:

 

1)     Acessando via powershell (utilizando o ConnectionUri do compliance.protection):

 

               $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri                https://ps.compliance.protection.outlook.com/powershell-liveid/ -Credential $UserCredential               -Authentication Basic -AllowRedirection

 

2)     Criando o search:

clip_image002

 

3)     Validando os resultados. Vamos então ao portal e selecionamos a opção “Admin>Compliance” e seleciono a opção “Preview Search Results*”

 

                              clip_image004

 

 

clip_image006

 

 

*na tab de permissions, tenha certeza que o seu administrador é membro de OrganizationManagement e EdiscoveryManagement

 

Vejo então o resultado do search, confirmando que emails foram enviados sobre o IPO conforme os exemplos abaixo:

 

clip_image008

 

 

clip_image010

 

clip_image012

 

 

Temos alguns acontecimentos:

 

·        Usuário caioc@c4iocesar.onmicrosoft.com envia a mensagem sobre esta informação para os usuários Henri, Jude e SteveBios;

·        Usuário Henri envia a mensagem para um endereço externo;

·        Usuário SteveBios envia a mensagem para um endereço externo.

 

c)      Vamos então simular o cenário de Inactive mailbox:

 

1)     As mailboxes Henri e SteveBios possuem LitigationHold. Deleto os objetos, para que a   mailbox fique em Inactive state.

2)     Valido que as mailboxes estão em inactive state:

 

clip_image014

 

3)     Se executarmos o mesmo search de Compliance anterior, os emails listados irão “sumir”:

 

clip_image016

 

clip_image018

 

d)     Procurando Inactive Mailboxes:

 

1)     UI

 

clip_image020

 

clip_image022

 

 

 

2)     CLI - vamos executar o Search no powershell de Compliance, adicionando os parâmetros da mailbox inativa.

 

 

clip_image024

EXO Powershell

clip_image026

Compliance Powershell, exemplo usuário “henri”.