Jaa

Office 365:ssä toimitettujen haitallisten sähköpostien korjaaminen

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Korjaus tarkoittaa määrättyä toimintaa uhkaa vastaan. Järjestelmä voi puhdistaa organisaatiollesi lähetetyt haitalliset sähköpostiviestit nolla tunnin automaattisen puhdistuksen (ZAP) kautta tai suojaustiimien suorittamalla korjaustoimilla, kuten siirtämällä Saapuneet-kansioon, siirtämällä roskapostiin, siirtämällä poistettuihin kohteisiin, poistamalla pehmeästi tai poistamalla kiinteästi. Microsoft Defender for Office 365 palvelupaketin 2/E5 avulla suojaustiimit voivat korjata uhat sähköposti- ja yhteistyötoiminnoissa manuaalisen ja automatisoidun tutkinnan avulla.

Asioita, jotka on hyvä tietää ennen aloittamista

  • Palvelun vakauden ja suorituskyvyn takaaville laajamittaisille korjauksille on raja-arvot:

    • Organisaatiorajoitukset: Aktiivisten, samanaikaisten sähköpostikorjausten enimmäismäärä on 50. Kun raja saavutetaan, uusia korjauksia ei käynnistetä, ennen kuin jotkin toiminnot on suoritettu.
    • Sähköpostiviestien rajoitukset: Jos aktiiviseen korjaukseen liittyy yli miljoona sähköpostiviestiä, uusia sähköpostikorjauksia ei sallita.
    • Vastaanottajan vaatimukset korjauksissa:
      • Valittujen vastaanottajien kokonaismäärän on oltava vähintään 40 prosenttia sähköpostiviestien kokonaismäärästä korjauksessa. Jos esimerkiksi sähköpostiviesti lähetetään viidelle vastaanottajalle, Explorer (Threat Explorer) laskee sen viideksi sähköpostiviestiksi. Jos korjaus edellyttää 5 000 sähköpostiviestin poistamista, korjauksen on kohdistuttava vähintään 2 000 vastaanottajaan.
      • Jos vastaanottajien määrä on alle 40 % sähköpostiviestien kokonaismäärästä, korjauksella voidaan poistaa enintään 1 000 yhdelle vastaanottajalle lähetettyä viestiä.

  • Sinulla on oltava käyttöoikeudet, ennen kuin voit suorittaa tämän artikkelin menettelyt. Järjestelmänvalvojat voivat suorittaa vaaditun toiminnon sähköpostiviesteissä, mutta haku- ja tyhjennysrooli vaaditaan, jotta kyseiset toiminnot hyväksytään. Jos haluat määrittää Hae ja tyhjennä -roolin, sinulla on seuraavat vaihtoehdot:

  • Varmista , että automaattinen tutkinta on käytössä kohteessa https://security.microsoft.com/securitysettings/endpoints/integration.

Manuaalinen ja automaattinen korjaus

Manuaalinen metsästys tapahtuu, kun suojaustiimit tunnistavat uhat manuaalisesti Explorerin (Threat Explorer) haku- ja suodatustoimintojen avulla. Manuaalinen sähköpostin korjaus voidaan käynnistää millä tahansa sähköpostinäkymällä (Haittaohjelma, Tietojenkalastelu tai Kaikki sähköpostit), kun olet tunnistanut joukon sähköpostiviestejä, jotka on korjattava.

Näyttökuva manuaalisesta metsästyksestä Explorerissa (Threat Explorer) päivämäärän mukaan.

Suojaustiimit voivat käyttää Exploreria sähköpostien valitsemiseen useilla tavoilla:

  • Valitse sähköpostiviestit käsin: Käytä suodattimia eri näkymissä. Voit korjata enintään 100 sähköpostiviestiä.

  • Kyselyn valinta: Valitse koko kysely käyttämällä ylintä Valitse kaikki -painiketta. Sama kysely näytetään myös toimintokeskuksen sähköpostin lähetystiedoissa. Asiakkaat voivat lähettää Explorerista enintään 200 000 sähköpostiviestiä.

  • Kyselyn valinta poissulkeen: Joskus suojaustoimintojen tiimit saattavat haluta korjata sähköpostiviestejä valitsemalla koko kyselyn ja sulkemalla pois tietyt sähköpostiviestit kyselystä manuaalisesti. Jos haluat tehdä niin, järjestelmänvalvoja voi käyttää Valitse kaikki -valintaruutua ja vierittää alaspäin jättääkseen sähköpostiviestit pois manuaalisesti. Kysely voi sisältää enintään 200 000 sähköpostiviestiä.

Kun sähköpostit on valittu Resurssienhallinnan kautta, voit aloittaa korjauksen suorittamalla suoria toimia tai jonottamalla sähköpostiviestejä toimintoa varten:

  • Suora hyväksyntä: Kun suojaushenkilöstö, jolla on tarvittavat oikeudet, valitsee toiminnot, kuten Siirrä Saapuneet-kansioon, siirtyy roskapostiin, siirtää poistettuihin kohteisiin, pehmeä poisto tai kova poisto , ja seuraavat korjausvaiheet suoritetaan, korjausprosessi alkaa suorittaa valittua toimintoa.

    Huomautus

    Kun korjaus käynnistetään, se luo hälytyksen ja tutkimuksen rinnakkain. Ilmoitus näkyy ilmoitusjonossa nimellä Järjestelmänvalvojan lähettämä hallintatoiminto, joka viittaa siihen, että suojaushenkilöstö on korjannut entiteetin. Se esittää tietoja, kuten toiminnon suorittaneen henkilön nimen, tutkimuslinkkiä tukevan linkin, ajan jne. Toimii todella hyvin tietää joka kerta, kun entiteeteille suoritetaan ankara toiminta, kuten korjaus. Kaikkia näitä toimintoja voi seurata Toiminnot & Lähetysten>toimintokeskuksen>historia -välilehdessä (julkinen esikatselu).

  • Kaksivaiheinen hyväksyntä: Lisää korjaukseen -toiminnon voivat suorittaa järjestelmänvalvojat, joilla ei ole tarvittavia käyttöoikeuksia tai joiden on odotettava toiminnon suorittamista. Tässä tapauksessa kohdennetut sähköpostiviestit lisätään korjaussäilöön. Ennen korjauksen suorittamista tarvitaan hyväksyntä.

Automaattiset tutkinta- ja vastaustoiminnot käynnistetään Explorerin ilmoituksista tai suojaustoimintoryhmistä. Nämä tulokset voivat sisältää suositeltuja korjaustoimia, jotka suojaustoimintaryhmän on hyväksyttävä. Nämä toiminnot sisältyvät automaattisen tutkimuksen Toiminto-välilehteen.

Sähköposti, jossa on haittaohjelmia Zapped-sivulla, joka näyttää ZAP:n suorittamisen ajan.

Kaikki Explorerissa, kehittyneessä metsästyksessä tai automatisoidussa tutkimuksessa luodut korjaukset (suorat hyväksynnät) näytetään Toimintokeskuksessa Toiminnot & Lähetysten>toimintokeskuksen>historia -välilehdessä (https://security.microsoft.com/action-center/history).

Manuaaliset toiminnot, jotka odottavat hyväksyntää kaksivaiheisen hyväksyntäprosessin avulla (lisätty yhden suojaustoimintoryhmän jäsenen korjaukseen ja jotka toinen suojaustoimintaryhmän jäsen on tarkistanut ja hyväksynyt) näkyvät Toiminnot & Lähetysten>toimintokeskuksen>Odottaa-välilehdessä ().https://security.microsoft.com/action-center/pending Hyväksynnän jälkeen ne näkyvät Toiminnot & Lähetysten>toimintokeskuksen>historia -välilehdessä (https://security.microsoft.com/action-center/history).

Yhtenäisessä toimintokeskuksessa näytetään 30 päivän korjaustoiminnot.

Unified Action Center näyttää korjaustoiminnot viimeisten 30 päivän ajalta. Explorerin kautta toteutetut toiminnot luetellaan nimellä, jonka suojaustoimintaryhmä antoi korjausta luotaessa, sekä hyväksyntätunnuksella, tutkintatunnuksella. Automaattisilla tutkimuksilla toteutetuilla toimilla on otsikoita, jotka alkavat tutkimuksen käynnistävällä hälytyksessä, kuten Zap-sähköpostiklusterissa.

Avaa mikä tahansa korjauskohde, jos haluat tarkastella sen tietoja, mukaan lukien sen korjausnimi, hyväksyntätunnus, tutkimustunnus, luontipäivämäärä, kuvaus, tila, toiminnon lähde, toimintotyyppi, josta päätettiin, tila. Se avaa myös sivuruudun, joka sisältää toiminnon tiedot, sähköpostiklusterin tiedot, hälytyksen ja tapahtumatiedot.

  • Avaa tutkimussivu: Avaa järjestelmänvalvojan tutkimuksen, joka sisältää vähemmän tietoja ja välilehtiä. Se näyttää esimerkiksi liittyvät ilmoitukset, korjattavaksi valitun entiteetin, toteutetut toimet, korjauksen tilan, entiteettimäärän, lokit ja toiminnon hyväksyjän. Seuraa järjestelmänvalvojan manuaalisesti tekemää tutkimusta ja sisältää tietoja järjestelmänvalvojan tekemistä valinnoista. Tutkintaa ja hälytystä ei tarvitse käsitellä (se on jo Hyväksytyssä tilassa).

  • Sähköpostien määrä: Näyttää Resurssienhallinnan kautta lähetettyjen sähköpostiviestien määrän. Nämä viestit voivat olla toteutettavissa tai ne eivät ole toiminnallisia.

  • Toimintolokit: Näyttää korjauksen tilan tiedot, kuten onnistuneet, epäonnistuneet ja jo kohdesijainnissa.

    Toimintokeskus, jossa Siirry Saapuneet-kansioon -vaihtoehto on avoinna.

    • Toiminnallinen: Seuraavissa pilvipalvelupostilaatikon sijainneissa olevia sähköpostiviestejä voidaan käsitellä ja siirtää:

      • Saapuneet-kansio
      • Jäte*
      • Poistetut-kansio*
      • Palautettavat kohteet\Poistot-kansio (pehmeästi poistetut kohteet)*
      • Karanteeni

      * Ei käytettävissä karanteeniin asetetuissa kohteissa.

    • Ei käytettävissä: Seuraavissa sijainneissa olevaa sähköpostia ei voi käsitellä tai siirtää korjaustoiminnoissa:

      • Vaikeasti poistettu kansio
      • Paikallinen/ulkoinen
      • Epäonnistui tai pudotettiin
      • tuntematon

    • Tuettujen siirto- ja poistotoimintojen tyypit:

      • Siirrä roskapostikansioon: Siirtää viestit käyttäjän Roskaposti-kansioon.

      • Siirrä Saapuneet-kansioon: Siirtää viestit käyttäjien Saapuneet-kansioon.

      • Siirrä poistettuihin kohteisiin: Siirtää viestit käyttäjän Poistetut-kansioon.

      • Pehmeä poisto: Poista viesti Poistetut-kansiosta (siirry Palautettavat kohteet\Poistot-kansioon). Käyttäjä ja järjestelmänvalvojat voivat palauttaa viestin.

        Poista lähettäjän kopio: Yritä myös poistaa viesti lähettäjän Lähetetyt-kansiosta, jos lähettäjä on organisaatio.

      • Kova poisto: Poista poistettu viesti. Järjestelmänvalvojat voivat palauttaa poistettuja pysyväiskohteita yhden kohteen palautuksen avulla. Lisätietoja poistetuista ja pehmeistä poistetuista kohteista on kohdassa Pehmeästi poistetut ja poistetut kohteet.

    Huomautus

    Yhdysvaltain julkisen hallinnon organisaatioissa (Microsoft 365 GCC, GCC High ja DoD) järjestelmänvalvojat voivat suorittaa toimintoja Pehmeä poisto, Siirrä roskapostikansioon, Siirrä poistettuihin kohteisiin, Kova poisto ja Siirrä Saapuneet-kansioon. Toiminnot Poista lähettäjän kopio ja Siirrä Saapuneet-kansioon karanteenikansiosta eivät ole käytettävissä.

    Epäilyttävät viestit luokitellaan joko korjaaviksi tai korjaamattomina. Useimmissa tapauksissa korjaavien ja korjaamattomien viestien kokonaismäärä vastaa lähetettyjen viestien kokonaismäärää. Kokonaissummat eivät kuitenkaan välttämättä täsmää järjestelmän viiveiden, aikakatkaisujen tai vanhentuneiden viestien vuoksi. Viestit vanhenevat organisaatiosi Resurssienhallinnan säilytysajan mukaan.

    Ellet korjaa vanhoja viestejä organisaatiosi Explorer-säilytysajan jälkeen, on suositeltavaa yrittää korjata kohteet uudelleen, jos niiden määrä on epäyhtenäinen. Järjestelmäviiveiden kohdalla korjauspäivitykset päivitetään yleensä muutaman tunnin kuluessa.

    Jos organisaatiosi sähköpostin säilytysaika Explorerissa on 30 päivää ja korjaat 29–30 päivän takaisia sähköpostiviestejä, sähköpostien lähetysmäärät eivät välttämättä aina täsmää. Sähköpostit ovat saattaneet jo siirtyä pois säilytysjaksosta.

    Jos korjaukset ovat jumissa Keskeneräisten töiden tilassa jonkin aikaa, se johtuu todennäköisesti järjestelmäviiveistä. Sen korjaaminen voi kestää jopa muutaman tunnin. Voit nähdä variaatioita sähköpostin lähetysmäärissä, koska joitakin sähköpostiviestejä ei ehkä ole sisällytetty kyselyyn korjauksen alussa järjestelmäviiveiden vuoksi. Tällaisten tapausten korjaamista on hyvä yrittää uudelleen.

    Vihje

    Parhaan tuloksen saavuttamiseksi korjaus tulee tehdä enintään 50 000 eränä.

    Vain korjattavissa olevia sähköpostiviestejä käsitellään korjauksen aikana. Microsoft 365 ei voi korjata korjaamattomia sähköpostiviestejä, koska niitä ei ole tallennettu pilvipalvelupostilaatikoihin.

    Järjestelmänvalvojat voivat tarvittaessa suorittaa toimia karanteenissa oleville sähköposteihin, mutta sähköpostiviestit vanhenevat karanteenista, jos niitä ei puhdistettu manuaalisesti. Oletusarvon mukaan pahantahtoisen sisällön vuoksi karanteeniin asetettuja sähköpostiviestejä eivät ole käyttäjien käytettävissä, joten tietoturvahenkilöstön ei tarvitse ryhtyä mihinkään toimiin päästäkseen eroon karanteenissa olevista uhista. Jos sähköpostiviestit ovat paikallisia tai ulkoisia, käyttäjään voidaan ottaa yhteyttä epäilyttävän sähköpostin käsittelemiseksi. Järjestelmänvalvojat voivat myös käyttää poistoon erillisiä sähköpostipalvelimen/suojaustyökalujen työkaluja. Nämä sähköpostiviestit voidaan tunnistaa ottamalla käyttöön toimitussijainti = paikallinen ulkoinen suodatin Explorerissa. Epäonnistuneiden tai hylättyjen sähköpostiviestien tai sähköpostin kohdalla, joita käyttäjät eivät voi käyttää, ei ole mitään lievennettävää sähköpostia, koska nämä sähköpostit eivät pääse postilaatikkoon.

  • Toimintolokit: Näyttää korjatut, onnistuneet ja epäonnistuneet viestit, jotka ovat jo kohteessa.

    Tila voi olla:

    • Aloitettu: Korjaus käynnistetään.
      • Jonossa: Korjaus on jonossa sähköpostiviestien lieventämistä varten.
      • Käynnissä: Lievennys on käynnissä.
      • Valmis: Kaikkien korjattavissa olevissa sähköposteissa lievennys onnistui tai ilmeni virheitä.
      • Epäonnistui: Korjauksia ei onnistunut.

    Koska vain korjaavia sähköpostiviestejä voidaan käsitellä, kunkin sähköpostin puhdistus näkyy onnistuneena tai epäonnistuneena. Korjattavissa olevien sähköpostiviestien kokonaismäärästä raportoidaan onnistuneet ja epäonnistuneet lievennykset.

    • Onnistui: Korjattavissa sähköposteissa haluttu toiminto suoritettiin. Esimerkiksi: Järjestelmänvalvoja haluaa poistaa sähköpostiviestit postilaatikoista, joten järjestelmänvalvoja poistaa sähköpostiviestit pehmeästi. Jos korjaavaa sähköpostiviestiä ei löydy alkuperäisestä kansiosta toiminnon suorittamisen jälkeen, tila näkyy onnistuneena.

    • Virhe: Haluttu toiminto korjattavissa sähköposteissa epäonnistui. Esimerkiksi: Järjestelmänvalvoja haluaa poistaa sähköpostiviestit postilaatikoista, joten järjestelmänvalvoja poistaa sähköpostiviestit pehmeästi. Jos korjaava sähköpostiviesti löytyy edelleen postilaatikosta toiminnon suorittamisen jälkeen, tilaksi näytetään Epäonnistunut.

    • Jo kohdesijainnissa: Haluttu toiminto on jo tehty sähköpostille TAI sähköposti on jo olemassa kohdesijainnissa. Esimerkiksi: Järjestelmänvalvoja poisti sähköpostiviestin pehmeästi Explorerin kautta ensimmäisenä päivänä. Tämän jälkeen samanlaiset sähköpostiviestit näkyvät päivänä 2, jonka järjestelmänvalvoja on jälleen poistanut pehmeästi. Kun valitset nämä sähköpostiviestit, järjestelmänvalvoja poimii päivän 1 sähköpostiviestejä, jotka on jo poistettu pehmeästi. Nyt näitä viestejä ei käsitellä. Sen sijaan ne näkyvät jo kohdesijainnissa, koska niihin ei tehty mitään toimia, koska ne olivat olemassa kohdesijainnissa.

    • Uusi: Toimintolokiin on lisätty jo kohdesarake . Tämä ominaisuus käyttää Explorerin uusinta toimitussijaintia viestittääkseen, onko sähköposti jo korjattu. Kohdesijainnissa olevat suojausryhmät ymmärtävät niiden viestien kokonaismäärän, joihin on vielä puututtava.

Toimintoja voidaan suorittaa vain Explorerin Saapuneet-, Roskaposti-, Poistettu- ja Pehmeä poistettu -kansioissa oleviin viesteihin. Tässä on esimerkki siitä, miten uusi sarake toimii. Saapuneet-kansiossa olevalle viestille tehdään pehmeä poistotoiminto , sitten viesti käsitellään käytäntöjen mukaisesti. Seuraavan kerran, kun pehmeä poisto suoritetaan, tämä sanoma näkyy jo kohdesijainnissa -sarakkeen alla ja ilmaisee, ettei sitä tarvitse käsitellä uudelleen.

Valitse mikä tahansa toimintolokin kohde, jotta saat näkyviin korjaustiedot. Jos tiedoissa näkyy Onnistui tai Ei löytynyt postilaatikosta, kyseinen kohde on jo poistettu postilaatikosta. Joskus korjauksen aikana tapahtuu järjestelmävirhe. Näissä tapauksissa on hyvä idea yrittää korjaustoimintoa uudelleen.

Jos sinun on korjattava suuria sähköpostieriä, vie ne viestit, jotka lähetetään korjattavaksi Sähköpostin lähetyksen kautta, ja vie viestit, jotka on korjattu toimintolokien kautta. Vientirajaa nostetaan 100 000 tietueeseen.

Järjestelmänvalvojat voivat suorittaa korjaustoimintoja, kuten siirtää sähköpostiviestejä Roskaposti-, Saapuneet- tai Poistetut-kansioon, ja poistaa toimintoja, kuten pehmeästi poistettuja tai kovapoistoja kehittyneen metsästyksen sivuilta.

Kehittynyt metsästys, Ota toimet -paneeli valinnoillasi.

Korjaus lieventää uhkia, vastaa epäilyttäviin sähköposteihin ja auttaa pitämään organisaation suojattuna.