Del via

Afhjælp skadelig mail leveret i Office 365

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender for Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

Afhjælpning betyder at tage en foreskrevet handling mod en trussel. Ondsindet mail, der sendes til din organisation, kan ryddes op af systemet via automatisk tømning på nul timer (ZAP) eller af sikkerhedsteams via afhjælpningshandlinger, f.eks. flytning til indbakke, flytning til uønsket post, flytning til slettede elementer, blød sletning eller hård sletning. Microsoft Defender for Office 365 Plan 2/E5 gør det muligt for sikkerhedsteams at afhjælpe trusler i mail- og samarbejdsfunktioner via manuel og automatiseret undersøgelse.

Det har du brug for at vide, før du begynder

  • Der er begrænsningsgrænser for store afhjælpninger, der hjælper med at sikre stabiliteten og ydeevnen af tjenesten:

    • Organisationsgrænser: Det maksimale antal aktive, samtidige mailafhjælpninger er 50. Når grænsen er nået, udløses der ingen nye afhjælpninger, før nogle handlinger er fuldført.
    • Grænser for mailmeddelelser: Hvis en aktiv afhjælpning omfatter mere end én million mails, er ingen nye mailafhjælpning tilladt.
    • Modtagerkrav i afhjælpninger:
      • Den samlede procentdel af de valgte modtagere skal være mindst 40 % af det samlede antal mails i afhjælpningen. Hvis en mail f.eks. sendes til fem modtagere, tæller Explorer (Threat Explorer) den som fem mails. Hvis afhjælpningen kræver sletning af 5.000 mailmeddelelser, skal afhjælpningen være målrettet til mindst 2.000 modtagere.
      • Hvis antallet af modtagere er mindre end 40 % af det samlede antal mails, kan afhjælpningen ikke bruges til at slette mere end 1.000 meddelelser, der er sendt til en enkelt modtager.

  • Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Administratorer kan udføre den nødvendige handling på mails, men rollen Søg og Fjern er påkrævet for at få disse handlinger godkendt. Hvis du vil tildele rollen Søg og Fjern , har du følgende muligheder:

  • Kontrollér , at Automatiseret undersøgelse er slået til den https://security.microsoft.com/securitysettings/endpoints/integration.

Manuel og automatiseret afhjælpning

Manuel jagt finder sted, når sikkerhedsteams identificerer trusler manuelt ved hjælp af søge- og filtreringsfunktionerne i Explorer (Threat Explorer). Manuel mailafhjælpning kan udløses via en hvilken som helst mailvisning (malware, phish eller alle mails), når du har identificeret et sæt mails, der skal afhjælpes.

Skærmbillede af manuel jagt i Explorer (Threat Explorer) efter dato.

Sikkerhedsteams kan bruge Stifinder til at vælge mails på flere måder:

  • Vælg mails i hånden: Brug filtre i forskellige visninger. Vælg op til 100 mails for at afhjælpe.

  • Valg af forespørgsel: Markér en hel forespørgsel ved hjælp af knappen Vælg alle øverst. Den samme forespørgsel vises også i oplysninger om afsendelse af mail i Handlingscenter. Kunder kan sende maksimalt 200.000 mails fra Explorer.

  • Forespørgselsvalg med udeladelse: Nogle gange vil sikkerhedshandlinger teams måske afhjælpe mails ved at vælge en hel forespørgsel og udelade visse mails fra forespørgslen manuelt. Det gør en administrator ved at bruge afkrydsningsfeltet Markér alle og rulle ned for at udelade mails manuelt. Forespørgslen kan maksimalt indeholde 200.000 mails.

Når mails er valgt via Stifinder, kan du starte afhjælpningen ved at udføre direkte handling eller ved at lægge mails i kø for en handling:

  • Direkte godkendelse: Når handlinger som f.eks. flytning til indbakke, flytning til uønsket post, flytning til slettede elementer, blød sletning eller hård sletning vælges af sikkerhedsafdelingen, der har de nødvendige tilladelser, og de næste trin i afhjælpningen følges, begynder afhjælpningsprocessen at udføre den valgte handling.

    Bemærk!

    Da afhjælpningen bliver sparket i gang, genererer den en advarsel og en undersøgelse parallelt. Der vises en besked i beskedkøen med navnet "Administrativ handling sendt af en administrator", hvilket tyder på, at sikkerhedsafdelingen har udført afhjælpning af en enhed. Der vises oplysninger som f.eks. navnet på den person, der udførte handlingen, understøttende undersøgelseslink, tid osv. Det fungerer rigtig godt at vide, hver gang en hård handling som afhjælpning udføres på enheder. Alle disse handlinger kan spores underfanenHandlinger & Oversigt over indsendelser>i Løsningscenter> (offentlig prøveversion).

  • Totrinsgodkendelse: En handling af typen "Føj til afhjælpning" kan udføres af administratorer, der ikke har de nødvendige tilladelser, eller som skal vente med at udføre handlingen. I dette tilfælde føjes de målrettede mails til en afhjælpningsobjektbeholder. Der kræves godkendelse, før afhjælpningen udføres.

Automatiserede undersøgelses- og svarhandlinger udløses af beskeder eller af sikkerhedshandlinger fra Stifinder. Disse resultater kan omfatte anbefalede afhjælpningshandlinger, der skal godkendes af et team for sikkerhedshandlinger. Disse handlinger er inkluderet under fanen Handling i den automatiserede undersøgelse.

E-mail med malware på Zapped-siden, der viser tidspunktet for ZAP-udførelse.

Al afhjælpning (direkte godkendelser), der er oprettet i Stifinder, avanceret jagt eller gennem automatiseret undersøgelse, vises i Handlingscenter under fanen Handlinger & Indsendelser>Handlingscenters>oversigt (https://security.microsoft.com/action-center/history).

Manuelle handlinger, der afventer godkendelse ved hjælp af godkendelsesprocessen i to trin (føjet til afhjælpningen af et medlem af sikkerhedshandlingsteamet og gennemset og godkendt af et andet medlem af sikkerhedshandlingsteamet), er synlige under fanen Handlinger & Ventendehandlingscenter> for indsendelser> ().https://security.microsoft.com/action-center/pending Efter godkendelse er de synlige under fanen Handlinger & Oversigt over indsendelser>i Løsningscenter> ().https://security.microsoft.com/action-center/history

I det samlede løsningscenter kan du se 30 dages afhjælpningshandlinger.

Unified Action Center viser afhjælpningshandlinger for de seneste 30 dage. Handlinger, der udføres via Stifinder, vises med det navn, som sikkerhedsteamet angav, da afhjælpningen blev oprettet, samt godkendelses-id, undersøgelses-id. Handlinger, der udføres via automatiserede undersøgelser, har titler, der starter med den relaterede besked, der udløste undersøgelsen, f.eks. Zap-mailklynge.

Åbn et afhjælpningselement for at få vist detaljer om det, herunder afhjælpningsnavn, godkendelses-id, undersøgelses-id, oprettelsesdato, beskrivelse, status, handlingskilde, handlingstype, bestemt af, status. Der åbnes også en siderude med handlingsdetaljer, oplysninger om mailklynge, beskeder og oplysninger om hændelser.

  • Siden Åbn undersøgelse: Åbner en administratorundersøgelse, der indeholder færre detaljer og faner. Den viser detaljer som: relateret besked, enhed, der er valgt til afhjælpning, udført handling, afhjælpningsstatus, antal enheder, logge og godkender af handling. Sporer en undersøgelse, der udføres manuelt af administratoren, og indeholder oplysninger om valg foretaget af administratoren. Det er ikke nødvendigt at reagere på undersøgelsen og beskeden (den er allerede i tilstanden Godkendt).

  • Antal mails: Viser antallet af mails, der er sendt via Stifinder. Disse meddelelser kan være handlingsvenlige eller ikke-handlingsvenlige.

  • Handlingslogge: Viser oplysninger om afhjælpningsstatus, f.eks. vellykket, mislykket og allerede på destinationen.

    Løsningscenter med indstillingen Flyt til indbakke åben.

    • Handlingsbaseret: Mail på følgende placeringer i cloudpostkasser kan reageres på og flyttes:

      • Indbakke
      • Junke*
      • Mappen Slettet post*
      • Mappen Elementer, der kan gendannes\Sletninger (bløde slettede elementer)*
      • Karantæne

      * Ikke tilgængelig for elementer i karantæne.

    • Der kan ikke handles på: Mail på følgende placeringer kan ikke reageres på eller flyttes i afhjælpningshandlinger:

      • Hard-deleted mappe
      • I det lokale miljø/eksternt
      • Mislykkedes/slippes
      • Unknown

    • Understøttede typer af handlingerne Flyt og Slet:

      • Flyt til mappen Uønsket mail: Flytter meddelelser til brugerens mappe med uønsket mail.

      • Flyt til indbakke: Flytter meddelelser til brugernes indbakkemappe.

      • Flyt til slettede elementer: Flytter meddelelser til brugerens mappe Slettet post.

      • Blød sletning: Slet meddelelsen fra mappen Slettet post (flyt til mappen Gendan elementer\Sletninger). Meddelelsen kan genoprettes af brugeren og administratorer.

        Slet afsenderens kopi: Prøv også at slette meddelelsen fra afsenderens mappe Sendt post, hvis afsenderen er organisationen.

      • Hård sletning: Fjern den slettede meddelelse. Administratorer kan gendanne hårdt slettede elementer ved hjælp af genoprettelse med et enkelt element. Du kan få flere oplysninger om hårdt slettede og bløde slettede elementer under Elementer, der er slettet med blød og hårdt slettet.

    Bemærk!

    I amerikanske offentlige organisationer (Microsoft 365 GCC, GCC High og DoD) kan administratorer udføre handlingerne Blød sletning, Flyt til mappen Uønsket, Flyt til slettede elementer, Hård sletning og Flyt til indbakke. Handlingerne Slet afsenderens kopi og Flyt til indbakke fra karantænemappe er ikke tilgængelige.

    Mistænkelige meddelelser er kategoriseret som enten afhjælpelige eller umiddelbart anvendelige. I de fleste tilfælde svarer det samlede antal af afhjælpende og ikke-umiddelbarlende meddelelser til det samlede antal indsendte meddelelser. Men totalerne stemmer muligvis ikke overens på grund af systemforsinkelser, timeouts eller udløbne meddelelser. Meddelelser udløber baseret på opbevaringsperioden i Stifinder for din organisation.

    Medmindre du afhjælper gamle meddelelser efter din organisations opbevaringsperiode i Stifinder, anbefales det at forsøge at afhjælpe elementer igen, hvis du ser uoverensstemmelser mellem antallet. I forbindelse med systemforsinkelser opdateres afhjælpningsopdateringer typisk inden for nogle få timer.

    Hvis din organisations opbevaringsperiode for mail i Stifinder er 30 dage, og du afhjælper mails, der går 29-30 dage tilbage, vil antallet af afsendelser af mails muligvis ikke altid blive tilføjet. Mails kan allerede være begyndt at blive flyttet ud af opbevaringsperioden.

    Hvis afhjælpninger sidder fast i tilstanden "Igangværende" i et stykke tid, er det sandsynligvis på grund af systemforsinkelser. Det kan tage op til et par timer at afhjælpe. Du kan se variationer i antallet af indsendelser af mails, da nogle af mails muligvis ikke er blevet inkluderet i forespørgslen i starten af afhjælpningen på grund af systemforsinkelser. Det er en god idé at forsøge at løse problemet igen i sådanne tilfælde.

    Tip

    For at opnå det bedste resultat skal afhjælpningen udføres i batches på 50.000 eller færre.

    Der reageres kun på de mailmeddelelser, der kan afhjælpes, under afhjælpningen. Ikke-umiddelbare mails kan ikke afhjælpes af Microsoft 365, og derfor gemmes de ikke i cloudpostkasser.

    Administratorer kan udføre handlinger på mails i karantæne, hvis det er nødvendigt, men disse mails udløber uden for karantæne, hvis de ikke fjernes manuelt. Som standard er mails, der er sat i karantæne på grund af skadeligt indhold, ikke tilgængelige for brugere, så sikkerhedspersonalet behøver ikke at foretage sig noget for at slippe af med trusler i karantæne. Hvis mails er i det lokale miljø eller eksterne, kan brugeren kontaktes for at håndtere den mistænkelige mail. Eller administratorer kan bruge separate værktøjer til mailserver/sikkerhed til fjernelse. Disse mails kan identificeres ved at anvende leveringsplaceringen = eksternt filter i det lokale miljø i Stifinder. For mislykkede eller mistede mails eller mails, der ikke er tilgængelige for brugerne, er der ingen mail, der kan afhjælpes, da disse mails ikke når postkassen.

  • Handlingslogge: Viser de meddelelser, der er løst, lykkedes, mislykkedes, og som allerede findes på destinationen.

    Status kan være:

    • Startet: Afhjælpningen udløses.
      • Sat i kø: Afhjælpning er sat i kø til afhjælpning af mails.
      • Igangværende: Afhjælpning er i gang.
      • Fuldført: Afhjælpning af alle afhjælpende mails er enten fuldført eller med nogle fejl.
      • Mislykket: Ingen afhjælpninger lykkedes.

    Da det kun er afhjælpende mails, der kan reageres på, vises oprydningen i hver mail som vellykket eller mislykket. Fra de samlede afhjælpende mails rapporteres vellykkede og mislykkede afhjælpninger.

    • Succes: Den ønskede handling på afhjælpende mails blev gennemført. Eksempel: En administrator ønsker at fjerne mails fra postkasser, så administratoren foretager en blød sletning af mails. Hvis der ikke findes en mail, der kan afhjælpes, i den oprindelige mappe, når handlingen er udført, vises statussen som fuldført.

    • Fejl: Den ønskede handling på afhjælpende mails mislykkedes. Eksempel: En administrator ønsker at fjerne mails fra postkasser, så administratoren foretager en blød sletning af mails. Hvis der stadig findes en mail, der kan afhjælpes, i postkassen, når handlingen er udført, vises status som mislykket.

    • Allerede i destinationen: Den ønskede handling blev allerede udført på mailen eller den mail, der allerede fandtes på destinationsplaceringen. Eksempel: En mail blev slettet af administratoren via Stifinder den første dag. Derefter vises lignende mails på dag 2, som igen er bløde slettet af administratoren. Mens du vælger disse mails, ender administratoren med at hente nogle mails fra dag ét, der allerede er bløde slettet. Nu reageres der ikke på disse meddelelser. I stedet vises de som Allerede i destinationen, da der ikke blev foretaget nogen handling på dem, som de fandtes på destinationsstedet.

    • Ny: Der er tilføjet en kolonne, der allerede findes i destinationskolonnen , i handlingsloggen. Denne funktion bruger den seneste leveringsplacering i Stifinder til at signalere, om mailen allerede er blevet afhjulpet. Allerede i destinationen hjælper sikkerhedsteams med at forstå det samlede antal meddelelser, der stadig skal håndteres.

Handlinger kan kun udføres på meddelelser i mapperne Indbakke, Uønsket, Slettet og Blød slettet i Stifinder. Her er et eksempel på, hvordan den nye kolonne fungerer. Der udføres en blød sletning af den meddelelse, der findes i indbakken, og derefter håndteres meddelelsen i henhold til politikker. Næste gang der udføres en blød sletning, vises denne meddelelse under kolonnen 'Allerede i destination', der signalerer, at den ikke behøver at blive behandlet igen.

Vælg et element i handlingsloggen for at få vist oplysninger om afhjælpning. Hvis oplysningerne viser Fuldført eller Ikke fundet i postkassen, er elementet allerede fjernet fra postkassen. Nogle gange er der en systemfejl under afhjælpning. I disse tilfælde er det en god idé at prøve afhjælpningshandlingen igen.

Hvis du har brug for at afhjælpe store batches af mails, skal du eksportere de meddelelser, der er sendt til afhjælpning via Afsendelse af mail, og eksportere meddelelser, der blev afhjælpet via Handlingslogge. Eksportgrænsen øges til 100.000 poster.

Administratorer kan udføre afhjælpningshandlinger, f.eks. flytte mails til mappen Uønsket mail, Indbakke eller Slettet post og slette handlinger som blød sletning eller hård sletning fra avancerede jagtsider.

Panelet Avanceret jagt, Handlinger med dit valg af handlinger.

Afhjælpning afhjælper trusler, adresserer mistænkelige mails og hjælper med at beskytte en organisation.