Náprava škodlivých e-mailů doručených v Office 365

• Platí pro:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Náprava znamená provedení předepsané akce proti hrozbě. Škodlivý e-mail odeslaný vaší organizaci může vyčistit systém, prostřednictvím automatického vyprázdnění (ZAP) nula hodin nebo bezpečnostními týmy prostřednictvím nápravných akcí, jako je přesunutí do doručené pošty, přesunutí do nevyžádané pošty, přesunutí na odstraněné položky, obnovitelné odstranění nebo pevné odstranění. Microsoft Defender pro Office 365 Plan 2/E5 umožňuje bezpečnostním týmům opravovat hrozby v e-mailu a spolupráci prostřednictvím ručního a automatizovaného vyšetřování.

Co potřebujete vědět, než začnete

• Existují omezení pro rozsáhlé nápravy, které pomáhají zajistit stabilitu a výkon služby:

  • Omezení organizace: Maximální počet aktivních souběžných e-mailových náprav je 50. Po dosažení limitu se neaktivují žádné nové nápravy, dokud se nedokončí některé akce.
  • omezení Email zpráv: Pokud aktivní náprava zahrnuje více než milion e-mailových zpráv, nejsou povoleny žádné nové e-mailové nápravy.
  • Požadavky na příjemce v nápravách:
    • Celkové procento vybraných příjemců musí být alespoň 40 % celkového počtu e-mailových zpráv v nápravě. Pokud je například e-mail odeslán pěti příjemcům, Explorer (Průzkumník hrozeb) ho počítá jako pět e-mailových zpráv. Pokud náprava vyžaduje odstranění 5 000 e-mailových zpráv, musí náprava cílit na nejméně 2 000 příjemců.
    • Pokud je počet příjemců menší než 40 % celkového počtu e-mailových zpráv, není možné nápravu použít k odstranění více než 1 000 zpráv odeslaných jednomu příjemci.

• Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Správci můžou u e-mailových zpráv provést požadovanou akci, ale ke schválení těchto akcí se vyžaduje role Hledat a Vyprázdnit . Pokud chcete přiřadit roli Hledat a Vyprázdnit , máte následující možnosti:

  • Microsoft Defender XDR Jednotné řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Defender pro Office 365 oprávnění jsou aktivní. Ovlivňuje jenom portál Defender, ne PowerShell: Operace zabezpečení / Data zabezpečení / Email & pokročilé akce spolupráce (správa).
  • Email & oprávnění ke spolupráci na portálu Microsoft Defender: Členství ve skupinách rolí Správa organizace nebo Řešitel dat. Nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Hledat a Vymazat a přidat uživatele do vlastní skupiny rolí.

• Ověřte, že je zapnuté automatizované prověřování na adrese https://security.microsoft.com/securitysettings/endpoints/integration.

Ruční a automatizovaná náprava

K ručnímu proaktivnímu vyhledávání dochází, když bezpečnostní týmy identifikují hrozby ručně pomocí funkcí vyhledávání a filtrování v Průzkumníku (Průzkumník hrozeb). Ruční nápravu e-mailu je možné aktivovat prostřednictvím libovolného zobrazení e-mailu (malware, phish nebo všechny e-maily) poté, co identifikujete sadu e-mailů, které je potřeba opravit.

Bezpečnostní týmy můžou pomocí Průzkumníka vybírat e-maily několika způsoby:

• Ruční výběr e-mailů: Používejte filtry v různých zobrazeních. Vyberte až 100 e-mailů, které chcete napravit.

• Výběr dotazu: Pomocí horního tlačítka Vybrat vše vyberte celý dotaz. Stejný dotaz se zobrazuje také v podrobnostech o odeslání pošty v Centru akcí. Zákazníci můžou z Průzkumníka odeslat maximálně 200 000 e-mailů.

• Výběr dotazu s vyloučením: Někdy týmy pro operace zabezpečení můžou chtít opravit e-maily tak, že vyberou celý dotaz a některé e-maily z dotazu ručně vyloučí. K tomu může správce použít zaškrtávací políčko Vybrat vše a posunout se dolů a vyloučit e-maily ručně. Dotaz může obsahovat maximálně 200 000 e-mailů.

Jakmile jsou e-maily vybrány prostřednictvím Průzkumníka, můžete zahájit nápravu provedením přímé akce nebo seřazením e-mailů do fronty pro akci:

• Přímé schválení: Když pracovníci zabezpečení, kteří mají příslušná oprávnění, vyberou akce, jako je přesun do složky Doručená pošta, přesun na nevyžádanou poštu, přesun na odstraněné položky, obnovitelné odstranění nebo pevné odstranění, a po provedení dalších kroků v nápravě se vybraná akce spustí.

  Poznámka

  Jakmile se náprava spustí, vygeneruje současně výstrahu a šetření. Výstraha se zobrazí ve frontě upozornění s názvem Akce správy odeslaná správcem, což naznačuje, že pracovníci zabezpečení provedli akci nápravy entity. Obsahuje podrobnosti, jako je jméno osoby, která akci provedla, odkaz na podpůrné šetření, čas atd. Funguje to opravdu dobře, když se v entitách provede tvrdá akce, jako je náprava. Všechny tyto akce je možné sledovat na kartě Akce & Odeslání> vCentru> akcí(Public Preview).

• Dvoustupňové schválení: Akci přidat k nápravě můžou provést správci, kteří nemají příslušná oprávnění nebo potřebují počkat na provedení akce. V tomto případě se cílové e-maily přidají do kontejneru nápravy. Před provedením nápravy je potřeba schválení.

Akce automatizovaného vyšetřování a reakce aktivují výstrahy nebo týmy pro operace zabezpečení z Průzkumníka. Tyto výsledky můžou zahrnovat doporučené nápravné akce, které musí schválit tým operací zabezpečení. Tyto akce jsou součástí automatizovaného šetření na kartě Akce .

Všechna náprava (přímá schválení) vytvořená v Průzkumníkovi, rozšířeném proaktivním vyhledávání nebo prostřednictvím automatizovaného vyšetřování se zobrazí v Centru akcí na kartěHistoriecentra> akcí & Odeslání> (https://security.microsoft.com/action-center/history).

Ruční akce čekající na schválení pomocí dvoustupňového schvalovacího procesu (přidané k nápravě jedním členem týmu operace zabezpečení a zkontrolováné a schválené jiným členem týmu operace zabezpečení) jsou viditelné na kartě Akce & Odeslání>–Čeká se na vyřízenícentra> akcí (https://security.microsoft.com/action-center/pending). Po schválení se zobrazí na kartě Akce & Odeslání> vCentru> akcí(https://security.microsoft.com/action-center/history).

Jednotné centrum akcí zobrazuje nápravné akce za posledních 30 dnů. Akce provedené prostřednictvím Průzkumníka jsou uvedené podle názvu, který tým operací zabezpečení zadal při vytvoření nápravy, a také ID schválení a ID šetření. Akce prováděné prostřednictvím automatizovaného vyšetřování mají názvy, které začínají související výstrahou, která šetření aktivovala, například e-mailový cluster Zap.

Otevřete libovolnou položku nápravy a zobrazte o ní podrobnosti, včetně jejího názvu nápravy, ID schválení, ID šetření, data vytvoření, popisu, stavu, zdroje akcí, typu akce, podle rozhodnutí a stavu. Otevře se také boční podokno s podrobnostmi o akcích, podrobnostmi o e-mailovém clusteru, upozorněním a podrobnostmi incidentu.

• Otevřená stránka Šetření: Otevře šetření správce, které obsahuje méně podrobností a karet. Zobrazuje podrobnosti, jako jsou související upozornění, entita vybraná k nápravě, akce proběhla, stav nápravy, počet entit, protokoly a schvalovatel akce. Sleduje šetření provedené ručně správcem a obsahuje podrobnosti o výběrech provedených správcem. Není potřeba provádět šetření a upozornění (už je ve schváleném stavu).

• počet Email: Zobrazuje počet e-mailových zpráv odeslaných prostřednictvím Průzkumníka. Tyto zprávy můžou být akční nebo ne.

• Protokoly akcí: Zobrazuje podrobnosti o stavu nápravy, například úspěšné, neúspěšné a již v cíli.

  

  • Akce: Email v následujících umístěních cloudových poštovních schránek je možné provádět a přesouvat:

    • Doručená pošta
    • Krámy^*
    • Složka Odstraněná pošta^*
    • Obnovitelné položky\Odstraněné složky (obnovitelné odstraněné položky)^*
    • Karanténa

    ^* Není k dispozici pro položky v karanténě.

  • Není možné provést akci: Email v následujících umístěních nelze provádět ani přesouvat v nápravných akcích:

    • Pevně odstraněná složka
    • Místní/externí
    • Selhání nebo vyřazení
    • Unknown (neznámý)

  • Podporované typy akcí přesunout a odstranit:

    • Přesunout do složky s nevyžádanou poštou: Přesune zprávy do složky Nevyžádané Email uživatele.

    • Přesunout do složky Doručená pošta: Přesune zprávy do složky Doručená pošta uživatelů.

    • Přesunout do odstraněných položek: Přesune zprávy do složky Odstraněná pošta uživatele.

    • Obnovitelné odstranění: Odstraňte zprávu ze složky Odstraněná pošta (přejděte do složky Obnovitelné položky\Odstraněné položky). Uživatel a správci zprávu můžou obnovit.

      Odstranit kopii odesílatele: Pokud je odesílatelem organizace, zkuste také obnovitelné odstranění zprávy ze složky Odeslaná pošta odesílatele.

    • Pevné odstranění: Vyprázdněte odstraněnou zprávu. Správci můžou obnovit pevně odstraněné položky pomocí obnovení s jednou položkou. Další informace o pevně odstraněných a obnovitelně odstraněných položkách najdete v tématu Obnovitelné a pevně odstraněné položky.

  Poznámka

  V organizacích státní správy USA (Microsoft 365 GCC, GCC High a DoD) můžou správci provádět akce Obnovitelné odstranění, Přesunout do složky nevyžádané pošty, Přesunout k odstraněným položkám, Pevně odstranit a Přesunout do doručené pošty. Akce Odstranit kopii odesílatele a Přesunout do doručené pošty ze složky karantény nejsou dostupné.

  Podezřelé zprávy jsou kategorizovány jako nápravné nebo neodstranitelné. Ve většině případů se celkový počet nápravných a neodstranitelných zpráv rovná celkovému počtu odeslaných zpráv. Součty se ale nemusí shodovat kvůli systémovým zpožděním, vypršením časových limitů nebo vypršením platnosti zpráv. Platnost zpráv vyprší na základě doby uchovávání v Průzkumníku pro vaši organizaci.

  Pokud nenapravíte staré zprávy po době uchovávání v Průzkumníku vaší organizace, doporučujeme zkusit opravit položky, pokud se zobrazí nekonzistence čísel. V případě zpoždění systému se aktualizace oprav obvykle aktualizují během několika hodin.

  Pokud je doba uchovávání e-mailů ve vaší organizaci v Průzkumníku 30 dnů a vy opravujete e-maily, které se vrátí 29 až 30 dnů, nemusí se počty odeslání pošty vždy sčítat. E-maily se už možná začaly přesouvat z doby uchovávání.

  Pokud se nápravy na nějakou dobu zablokují ve stavu Probíhá, je to pravděpodobně kvůli systémovým zpožděním. Náprava může trvat až několik hodin. V počtech odesílání e-mailů se můžou zobrazovat rozdíly, protože některé e-maily nemusely být zahrnuty do dotazu na začátku nápravy kvůli systémovým zpožděním. V takových případech je vhodné zkusit nápravu zopakovat.

  Tip

  Pro dosažení nejlepších výsledků by náprava měla být provedena v dávkách po 50 000 nebo méně.

  Během nápravy se budou reagovat pouze na nápravné e-mailové zprávy. Microsoft 365 nemůže opravit neodstranitelné e-maily, protože nejsou uložené v cloudových poštovních schránkách.

  Správci můžou v případě potřeby provádět akce s e-maily v karanténě, ale pokud nejsou ručně vymazané, platnost těchto e-mailů vyprší. Ve výchozím nastavení nejsou e-maily uložené v karanténě kvůli škodlivému obsahu přístupné uživatelům, takže pracovníci zabezpečení nemusí provádět žádnou akci, aby se zbavili hrozeb v karanténě. Pokud jsou e-maily místní nebo externí, můžete uživatele kontaktovat, aby se s podezřelým e-mailem vyřešil. Nebo můžou správci k odebrání použít samostatný e-mailový server nebo nástroje pro zabezpečení. Tyto e-maily je možné identifikovat použitím externího filtru umístění pro doručování = místní externí filtr v Průzkumníku. V případě neúspěšných nebo zahozených e-mailů nebo e-mailů, ke kterým uživatelé nemají přístup, neexistuje žádný e-mail, který by bylo potřeba zmírnit, protože tyto e-maily nedorazí do poštovní schránky.

• Protokoly akcí: Zobrazuje zprávy napravené, úspěšné, neúspěšné, již v cíli.

  Stav může být:

  • Spuštěno: Aktivuje se náprava.
    • Ve frontě: Náprava je zařazená do fronty pro zmírnění rizik e-mailů.
    • Probíhá: Probíhá zmírnění rizik.
    • Dokončeno: Zmírnění rizik u všech nápravných e-mailů se úspěšně dokončilo nebo došlo k určitým selháním.
    • Selhání: Žádná náprava nebyla úspěšná.

  Protože je možné provádět pouze nápravné e-maily, zobrazí se vyčištění každého e-mailu jako úspěšné nebo neúspěšné. Z celkového počtu nápravných e-mailů se hlásí úspěšná a neúspěšná zmírnění rizik.

  • Úspěch: Byla provedena požadovaná akce u nápravných e-mailů. Příklad: Správce chce odebrat e-maily z poštovních schránek, takže provede akci obnovitelného odstranění e-mailů. Pokud se po provedení akce v původní složce nenajde opravitelný e-mail, stav se zobrazí jako úspěšný.

  • Selhání: Požadovaná akce u nápravitelných e-mailů se nezdařila. Příklad: Správce chce odebrat e-maily z poštovních schránek, takže provede akci obnovitelného odstranění e-mailů. Pokud se v poštovní schránce i po provedení akce najde nápravný e-mail, stav se zobrazí jako neúspěšný.

  • Už je v cíli: U e-mailu už byla provedena požadovaná akce NEBO e-mail už v cílovém umístění existoval. Příklad: E-mail byl odstraněn správcem prostřednictvím Průzkumníka v první den. Pak se podobné e-maily zobrazí 2. den, které správce znovu obnovitelné odstraní. Při výběru těchto e-mailů správce nakonec vyzvedne některé e-maily z prvního dne, které už jsou obnovitelné odstranění. Teď se s těmito zprávami nejednalo. Místo toho se zobrazí jako Již v cíli, protože s nimi nebyla provedena žádná akce, protože existovaly v cílovém umístění.

  • Nové: Do protokolu akcí byl přidán sloupec Už v cíli . Tato funkce používá nejnovější umístění pro doručování v Průzkumníkovi k signalizaci, jestli už byla pošta opravena. Už je v cíli , pomáhá bezpečnostním týmům pochopit celkový počet zpráv, které je ještě potřeba vyřešit.

Akce je možné provádět pouze u zpráv ve složkách Doručená pošta, Nevyžádaná pošta, Odstraněná pošta a Obnovitelné odstranění Průzkumníka. Tady je příklad fungování nového sloupce. U zprávy ve složce Doručená pošta se provede akce obnovitelného odstranění , která se pak zpracuje podle zásad. Při příštím provedení obnovitelného odstranění se tato zpráva zobrazí ve sloupci Už v cíli a bude signalizovat, že se už nemusí řešit znovu.

Výběrem libovolné položky v protokolu akcí zobrazíte podrobnosti o nápravě. Pokud se v podrobnostech zobrazí v poštovní schránce úspěch nebo Nenalezené, tato položka už byla z poštovní schránky odebrána. Během nápravy někdy dojde k systémové chybě. V takových případech je vhodné zkusit nápravnou akci zopakovat.

Pokud potřebujete napravit velké dávky e-mailů, exportujte zprávy odeslané k nápravě prostřednictvím odesílání pošty a exportujte zprávy, které byly napraveny prostřednictvím protokolů akcí. Limit exportu se zvýší na 100 000 záznamů.

Správci můžou provádět nápravné akce, jako je přesunutí e-mailových zpráv do složky Nevyžádaná pošta, Doručená pošta nebo Odstraněná pošta, a odstranit akce, jako je obnovitelné odstranění nebo pevné odstranění ze stránek rozšířeného proaktivního vyhledávání.

Náprava zmírňuje hrozby, řeší podezřelé e-maily a pomáhá udržovat organizaci v bezpečí.