Hierfür bietet uns Microsoft ein aktuelles Tool in Form eines Powershell Skriptes an, mit welchen man den jeweiligen Server unkompliziert auf Spuren einer Attacke oder sogar Kompromittierung untersuchen kann. Dieses Skript wertet verschiedene Indizien an, dass entweder versucht worden ist das System auf vorhandene Lücken auszuspähen, oder sogar bereits auszunutzen!

Für die erste Spurensuche verwenden Sie die "Test-ProxyLogon.ps1" aus dem Gitrepo, welches ich hier verlinkt habe. Sollte das Skript keinerlei verdächtige Spuren entdecken, es durchsucht u.a. sämtliche Log Dateien des Exchange Servers auf Einbruchsspuren und verdächtige Aktivitäten durch URL Manipulationen, dann zeigt es eine wunderbare "grüne" Meldung an, dass bisher nichts passiert zu sein scheint:

Zusätzlich sollten Sie einen aktuellen Virenscanner Ihrer Wahl umgehend in einem "Full System" Scan anwenden. Microsoft hat hierfür bereits seinen Defender entsprechend aktualisiert und bietet mit dem Microsoft Safety Scanner ein sehr unkompliziertes Tool für den Download und Einsatz ohne vorhergehende Installation oder permanente Verankerung in Ihrem System.

Dies wäre der "optimale" Fall - also dass es keinen Einbruch oder Einbruchsversuch gegeben hat - wenn Ihre Log Dateien entsprechend auch einen Zeitraum von zumindest der letzten 2 bis 3 Wochen umfassen.

Mit der Powershell auf einem der Active Directory Controller können Sie versuchen entsprechend modifizierte Objekte aufzuspüren:

Get-ADObject -Filter * -Properties * | where { (($_.whenCreated -ge $week) -or ($_.whenChanged -ge $week)) } | select Name,whenCreated,whenChanged | Sort-Object whenChanged

Damit würden sich alle Objekte im Active Directory anzeigen lassen, welche in einem Zeitrahmen - definiert durch die Variable "$week" - geändert worden wären. Ohne entsprechend zusätzlich aktiviertes Tracking lässt sich aber nicht feststellen was und von welchem User!