Office 365:ssä toimitettujen haitallisten sähköpostien korjaaminen
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Korjaus tarkoittaa määrättyä toimintaa uhkaa vastaan. Organisaatiollesi lähetetyt haitalliset sähköpostiviestit voidaan puhdistaa joko järjestelmän toimesta nolla tunnin automaattisen puhdistuksen (ZAP) kautta tai suojaustiimien suorittamalla korjaustoimilla, kuten siirtämällä Saapuneet-kansioon, siirtämällä roskapostiin, siirtämällä poistettuihin kohteisiin, poistamalla pehmeästi tai poistamalla kiinteästi. Microsoft Defender for Office 365 palvelupaketin 2/E5 avulla suojaustiimit voivat korjata uhat sähköposti- ja yhteistyötoiminnoissa manuaalisen ja automatisoidun tutkinnan avulla.
Asioita, jotka on hyvä tietää ennen aloittamista
Sinulla on oltava käyttöoikeudet, ennen kuin voit suorittaa tämän artikkelin menettelyt. Järjestelmänvalvojat voivat suorittaa vaaditun toiminnon sähköpostiviesteissä, mutta haku- ja tyhjennysrooli vaaditaan, jotta kyseiset toiminnot hyväksytään. Jos haluat määrittää Hae ja tyhjennä -roolin, sinulla on seuraavat vaihtoehdot:
- Microsoft Defender XDR RBAC (Unified Role Based Access Control) (If Email & collaboration>Defender for Office 365 permissions is Active. Vaikuttaa vain Defender-portaaliin, ei PowerShelliin: Suojaustoiminnot/Suojaustiedot/Sähköposti & yhteistyön lisätoiminnot (hallinta).
- Sähköposti & yhteiskäyttöoikeudet Microsoft Defender-portaalissa: Organisaation hallinta- tai Tietotutkija-rooliryhmien jäsenyys. Voit myös luoda uuden rooliryhmän , jolle on määritetty Hae ja tyhjennä-rooli , ja lisätä käyttäjät mukautettuun rooliryhmään.
Varmista , että automaattinen tutkinta on käytössä kohteessa https://security.microsoft.com/securitysettings/endpoints/integration.
Manuaalinen ja automaattinen korjaus
Manuaalinen metsästys tapahtuu, kun suojausryhmät tunnistavat uhat manuaalisesti Explorerin haku- ja suodatustoimintojen avulla. Manuaalinen sähköpostin korjaus voidaan käynnistää millä tahansa sähköpostinäkymällä (Haittaohjelma, Tietojenkalastelu tai Kaikki sähköpostit), kun olet tunnistanut joukon sähköpostiviestejä, jotka on korjattava.
Suojaustiimit voivat käyttää Exploreria sähköpostien valitsemiseen useilla tavoilla:
Valitse sähköpostiviestit käsin: Käytä suodattimia eri näkymissä. Voit korjata enintään 100 sähköpostiviestiä.
Kyselyn valinta: Valitse koko kysely käyttämällä ylintä Valitse kaikki -painiketta. Sama kysely näytetään myös toimintokeskuksen sähköpostin lähetystiedoissa. Asiakkaat voivat lähettää uhkienhallinnasta enintään 200 000 sähköpostiviestiä.
Kyselyn valinta poissulkeva: Joskus suojaustoimintojen tiimit saattavat haluta korjata sähköpostiviestejä valitsemalla koko kyselyn ja sulkemalla tietyt sähköpostiviestit pois kyselystä manuaalisesti. Jos haluat tehdä niin, järjestelmänvalvoja voi käyttää Valitse kaikki -valintaruutua ja vierittää alaspäin jättääkseen sähköpostiviestit pois manuaalisesti. Kysely voi sisältää enintään 200 000 sähköpostiviestiä.
Kun sähköpostit on valittu Resurssienhallinnan kautta, voit aloittaa korjauksen suorittamalla suoria toimia tai jonottamalla sähköpostiviestejä toimintoa varten:
Suora hyväksyntä: Kun suojaushenkilöstö, jolla on tarvittavat oikeudet, valitsee toiminnot, kuten Siirrä Saapuneet-kansioon, siirtyy roskapostiin, siirtää poistettuihin kohteisiin, pehmeä poisto tai kova poisto , ja seuraavat korjausvaiheet suoritetaan, korjausprosessi alkaa suorittaa valittua toimintoa.
Huomautus
Kun korjaus käynnistetään, se luo hälytyksen ja tutkimuksen rinnakkain. Ilmoitus näkyy ilmoitusjonossa nimellä Järjestelmänvalvojan lähettämä hallintatoiminto, joka viittaa siihen, että suojaushenkilöstö on korjannut entiteetin. Se esittää tietoja, kuten toiminnon suorittaneen henkilön nimen, tutkimuslinkkiä tukevan linkin, ajan jne. Toimii todella hyvin tietää joka kerta, kun entiteeteille suoritetaan ankara toiminta, kuten korjaus. Kaikkia näitä toimintoja voidaan seurata Toiminnot & Lähetykset>Toimintokeskus - Historia ->välilehdessä (julkinen esikatselu).
Kaksivaiheinen hyväksyntä: Lisää korjaukseen -toiminnon voivat suorittaa järjestelmänvalvojat, joilla ei ole tarvittavia käyttöoikeuksia tai joiden on odotettava toiminnon suorittamista. Tässä tapauksessa kohdennetut sähköpostiviestit lisätään korjaussäilöön. Ennen korjauksen suorittamista tarvitaan hyväksyntä.
Automaattiset tutkinta- ja vastaustoiminnot käynnistetään Explorerin ilmoituksista tai suojaustoimintoryhmistä. Ne voivat sisältää suositeltuja korjaustoimia, jotka suojaustoimintaryhmän on hyväksyttävä. Nämä toiminnot sisältyvät automaattisen tutkimuksen Toiminto-välilehteen.
Kaikki Explorerissa, kehittyneessä metsästyksessä tai automatisoidussa tutkimuksessa luodut korjaukset (suorat hyväksynnät) näytetään Toimintokeskuksessa Toiminnot & Lähetysten>toimintokeskuksen>historia -välilehdessä (https://security.microsoft.com/action-center/history).
Hyväksyntää odottavat manuaaliset toiminnot kaksivaiheisen hyväksyntäprosessin avulla (1. Lisää korjaukseen yksi suojaustoimintaryhmän jäsen, 2. Toinen suojaustoiminnon ryhmän jäsen on tarkistanut ja hyväksynyt) näkyy Toiminnot & Lähetysten>toimintokeskuksen>Odottaa-välilehdessä ().https://security.microsoft.com/action-center/pending Hyväksynnän jälkeen ne näkyvät Toiminnot & Lähetysten>toimintokeskuksen>historia -välilehdessä (https://security.microsoft.com/action-center/history).
Unified Action Center näyttää korjaustoiminnot viimeisten 30 päivän ajalta. Explorerin kautta toteutetut toiminnot luetellaan nimellä, jonka korjausta luotaessa annettu suojaustoimintoryhmä on antanut, sekä hyväksyntätunnuksella, tutkintatunnuksella. Automaattisilla tutkimuksilla toteutetuilla toimilla on otsikot, jotka alkavat liittyvällä hälytyksella, joka käynnisti tutkimuksen, kuten Zap-sähköpostiklusteri.
Avaa mikä tahansa korjauskohde, jos haluat tarkastella sen tietoja, mukaan lukien sen korjausnimi, hyväksynnän tunnus, tutkintatunnus, luontipäivämäärä, kuvaus, tila, toiminnon lähde, toimintotyyppi, josta päätettiin, tila. Se avaa myös sivuruudun, joka sisältää toimintotiedot, sähköpostiklusterin tiedot, hälytyksen ja tapahtumatiedot.
Avaa Tutkimus-sivu , jossa avautuu järjestelmänvalvojan tutkimus, joka sisältää vähemmän tietoja ja välilehtiä. Se näyttää tiedot, kuten liittyvän ilmoituksen, korjaukseen valitun entiteetin, toteutetun toiminnon, korjauksen tilan, entiteettimäärän, lokit, toiminnon hyväksyjän. Tässä tutkimuksessa seurataan järjestelmänvalvojan manuaalisesti tekemiä tutkimuksia ja se sisältää tietoja järjestelmänvalvojan tekemistä valintojen toiminnoista, joten sitä kutsutaan järjestelmänvalvojan toimien tutkinnaksi. Ei tarvitse toimia tutkimuksen perusteella ja ilmoittaa siitä jo hyväksytyssä tilassa.
Sähköpostien määrä Näyttää Threat Explorerin kautta lähetettyjen sähköpostiviestien määrän. Nämä sähköpostiviestit voivat olla toteutettavissa tai ne eivät ole toteutettavissa.
Toimintolokit Näytä korjaustilan tiedot, kuten onnistunut, epäonnistunut ja jo kohdesijainti.
Toiminnallinen: Seuraavissa pilvipalvelupostilaatikon sijainneissa olevia sähköpostiviestejä voidaan käsitellä ja siirtää:
- Saapuneet-kansio
- Jäte*
- Poistetut-kansio*
- Palautettavat kohteet\Poistot-kansio (pehmeästi poistetut kohteet)*
- Karanteeni
* Ei käytettävissä karanteeniin asetetuissa kohteissa.
Ei käytettävissä: Seuraavissa sijainneissa olevaa sähköpostia ei voi käsitellä tai siirtää korjaustoiminnoissa:
- Vaikeasti poistettu kansio
- Paikallinen/ulkoinen
- Epäonnistui tai pudotettiin
- tuntematon
Tuettujen siirto- ja poistotoimintojen tyypit:
Siirrä roskapostikansioon: Siirtää viestit käyttäjän Roskaposti-kansioon.
Siirrä Saapuneet-kansioon: Siirtää viestit käyttäjien Saapuneet-kansioon.
Siirrä poistettuihin kohteisiin: Siirtää viestit käyttäjän Poistetut-kansioon.
Pehmeä poisto: Poista viesti Poistetut-kansiosta (siirry Palautettavat kohteet\Poistot-kansioon). Käyttäjä ja järjestelmänvalvojat voivat palauttaa viestin.
Poista lähettäjän kopio: Yritä myös poistaa viesti lähettäjän Lähetetyt-kansiosta, jos lähettäjä on organisaatio.
Kova poisto: Poista poistettu viesti. Järjestelmänvalvojat voivat palauttaa poistettuja pysyväiskohteita yhden kohteen palautuksen avulla. Lisätietoja poistetuista ja pehmeistä poistetuista kohteista on kohdassa Pehmeästi poistetut ja poistetut kohteet.
Epäilyttävät viestit luokitellaan joko korjaaviksi tai korjaamattomina. Useimmissa tapauksissa korjaavat ja korjaamattomat viestit yhdistävät lähetettyjen viestien kokonaismäärän. Mutta harvoissa tapauksissa tämä ei ehkä ole totta. Tämä voi johtua järjestelmän viiveistä, aikakatkaisuista tai vanhentuneista viesteistä. Viestit vanhenevat organisaatiosi Resurssienhallinnan säilytysajan mukaan.
Ellet korjaa vanhoja viestejä organisaatiosi Explorer-säilytysajan jälkeen, on suositeltavaa yrittää korjata kohteet uudelleen, jos niiden määrä on epäyhtenäinen. Järjestelmäviiveiden kohdalla korjauspäivitykset päivitetään yleensä muutaman tunnin kuluessa.
Jos organisaatiosi sähköpostin säilytysaika Explorerissa on 30 päivää ja korjaat 29–30 päivän takaisia sähköpostiviestejä, sähköpostien lähetysmäärät eivät välttämättä aina täsmää. Sähköpostit ovat saattaneet jo siirtyä pois säilytysjaksosta.
Jos korjaukset ovat jumissa Keskeneräisten töiden tilassa jonkin aikaa, se johtuu todennäköisesti järjestelmäviiveistä. Sen korjaaminen voi kestää jopa muutaman tunnin. Voit nähdä variaatioita sähköpostin lähetysmäärissä, koska joitakin sähköpostiviestejä ei ehkä ole sisällytetty kyselyyn korjauksen alussa järjestelmäviiveiden vuoksi. Tällaisten tapausten korjaamista on hyvä yrittää uudelleen.
Huomautus
Parhaan tuloksen saavuttamiseksi korjaus tulee tehdä enintään 50 000 eränä.
Vain korjaavia sähköpostiviestejä käsitellään korjauksen aikana. Office 365-sähköpostijärjestelmä ei voi korjata korjaamattomia sähköpostiviestejä, koska niitä ei ole tallennettu pilvipalvelupostilaatikoihin.
Järjestelmänvalvojat voivat tarvittaessa suorittaa toimia karanteenissa oleville sähköposteihin, mutta sähköpostiviestit vanhenevat karanteenista, jos niitä ei puhdistettu manuaalisesti. Oletusarvon mukaan pahantahtoisen sisällön vuoksi karanteeniin asetettuja sähköpostiviestejä eivät ole käyttäjien käytettävissä, joten tietoturvahenkilöstön ei tarvitse ryhtyä mihinkään toimiin päästäkseen eroon karanteenissa olevista uhista. Jos sähköpostiviestit ovat paikallisia tai ulkoisia, käyttäjään voidaan ottaa yhteyttä epäilyttävän sähköpostin käsittelemiseksi. Järjestelmänvalvojat voivat myös käyttää poistoon erillisiä sähköpostipalvelimen/suojaustyökalujen työkaluja. Nämä sähköpostiviestit voidaan tunnistaa käyttämällä toimitussijaintia = paikallisessa ulkoisessa suodattimessa Explorerissa. Epäonnistuneiden tai hylättyjen sähköpostiviestien tai käyttäjien käytettävissä olevien sähköpostien kohdalla lievennttäviä sähköpostiviestejä ei ole, koska nämä sähköpostit eivät pääse postilaatikkoon.
Toimintolokit: Tämä näyttää korjatut, onnistuneet ja epäonnistuneet viestit, jotka ovat jo kohteessa.
Tila voi olla:
-
Aloitettu: Korjaus käynnistetään.
- Jonossa: Korjaus on jonossa sähköpostiviestien lieventämistä varten.
- Käynnissä: Lievennys on käynnissä.
- Valmis: Kaikkien korjattavissa olevissa sähköposteissa lievennys onnistui tai ilmeni virheitä.
- Epäonnistui: Korjauksia ei onnistunut.
Koska vain korjaavia sähköpostiviestejä voidaan käsitellä, kunkin sähköpostin puhdistus näkyy onnistuneena tai epäonnistuneena. Korjattavissa olevien sähköpostiviestien kokonaismäärästä raportoidaan onnistuneet ja epäonnistuneet lievennykset.
Onnistui: Korjattavissa sähköposteissa haluttu toiminto suoritettiin. Esimerkiksi: Järjestelmänvalvoja haluaa poistaa sähköpostiviestit postilaatikoista, joten järjestelmänvalvoja poistaa sähköpostiviestit pehmeästi. Jos korjaavaa sähköpostiviestiä ei löydy alkuperäisestä kansiosta toiminnon suorittamisen jälkeen, tila näkyy onnistuneena.
Virhe: Haluttu toiminto korjattavissa sähköposteissa epäonnistui. Esimerkiksi: Järjestelmänvalvoja haluaa poistaa sähköpostiviestit postilaatikoista, joten järjestelmänvalvoja poistaa sähköpostiviestit pehmeästi. Jos korjaava sähköpostiviesti löytyy edelleen postilaatikosta toiminnon suorittamisen jälkeen, tilaksi näytetään Epäonnistunut.
Jo kohdesijainnissa: Haluttu toiminto on jo tehty sähköpostille TAI sähköposti on jo olemassa kohdesijainnissa. Esimerkiksi: Järjestelmänvalvoja poisti sähköpostiviestin pehmeästi Explorerin kautta ensimmäisenä päivänä. Tämän jälkeen samanlaiset sähköpostiviestit näkyvät päivänä 2, jonka järjestelmänvalvoja on jälleen poistanut pehmeästi. Kun valitset nämä sähköpostiviestit, järjestelmänvalvoja poimii päivän 1 sähköpostiviestejä, jotka on jo poistettu pehmeästi. Nyt näitä sähköpostiviestejä ei käsitellä uudelleen, ne näkyvät vain "jo kohdesijainnissa", koska niille ei tehty mitään toimia, koska ne olivat olemassa kohdesijainnissa.
Uusi: Toimintolokiin on lisätty jo kohdesarake . Tämä ominaisuus käyttää Threat Explorerin uusinta toimitussijaintia viestittääkseen, onko sähköposti jo korjattu. Kohdesijainnissa olevat suojausryhmät ymmärtävät niiden viestien kokonaismäärän, joihin on vielä puututtava.
-
Aloitettu: Korjaus käynnistetään.
Toimintoja voidaan suorittaa vain Threat Explorerin Saapuneet-, Roskaposti-, Poistettu- ja Pehmeä poistettu -kansioissa. Tässä on esimerkki siitä, miten uusi sarake toimii. Saapuneet-kansiossa olevalle viestille tehdään pehmeä poistotoiminto , sitten viesti käsitellään käytäntöjen mukaisesti. Seuraavan kerran, kun pehmeä poisto suoritetaan, tämä sanoma näkyy jo kohdesijainnissa -sarakkeen alla ja ilmaisee, ettei sitä tarvitse käsitellä uudelleen.
Valitse mikä tahansa toimintolokin kohde, jotta saat näkyviin korjaustiedot. Jos tiedoissa sanotaan "onnistui" tai "ei löydy postilaatikosta", kyseinen kohde on jo poistettu postilaatikosta. Joskus korjauksen aikana tapahtuu järjestelmävirhe. Näissä tapauksissa on hyvä idea yrittää korjaustoimintoa uudelleen.
Jos kyseessä on suurten sähköpostierien korjaaminen, vie korjaukseen lähetetyt viestit Sähköpostin lähetyksen kautta ja viestit, jotka on korjattu toimintolokien kautta. Vientirajaa nostetaan 100 000 tietueeseen.
Järjestelmänvalvojat voivat suorittaa korjaustoimintoja, kuten siirtää sähköpostiviestejä Roskaposti-, Saapuneet- tai Poistetut-kansioon, ja poistaa toimintoja, kuten pehmeästi poistettuja tai kovapoistoja kehittyneen metsästyksen sivuilta.
Korjaus lieventää uhkia, vastaa epäilyttäviin sähköposteihin ja auttaa pitämään organisaation suojattuna.