各位大大好!如題,
今天早上在看log的時候,突然發現某台電腦連到microdoft 365的流量異常之高,
短短的60分鐘就傳出了將近20GB的流量,又來有去查了一下目的IP,
真的是微軟365的登入畫面,然後目的國家是新加坡,請問各位大大,這種情狀正常嗎?
謝謝
你有沒有去看一下, 他的電腦是否在同步 OneDrive 的全部內容?
確實是不正常,但是OneDrive或SharePoint資料夾同步的可能性很高,同步的設定可以從用戶端開啟,選擇同步某個/多個資料夾,請往這個方向去檢查那台電腦。除非是那個人真的上傳了這麼多資料,OneDrive或SharePoint管理員可以從後端查看資料夾看同步什麼檔案。
換個方向來說:如果你真的懷疑是惡意行為(無論是外部駭客或內鬼),請問環境內有什麼工具或日誌,從端點、網路或邊界進行鑑識嗎?