Correggere i messaggi di posta elettronica dannosi recapitati in Office 365

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 2

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Correzione significa intraprendere un'azione prescritta contro una minaccia. I messaggi di posta elettronica dannosi inviati all'organizzazione possono essere eliminati dal sistema, tramite l'eliminazione automatica di zero ore (ZAP) o dai team di sicurezza tramite azioni di correzione come il passaggio alla posta in arrivo, lo spostamento indesiderata, lo spostamento agli elementi eliminati, l'eliminazione temporanea o l'eliminazione definitiva. Microsoft Defender per Office 365 Piano 2/E5 consente ai team di sicurezza di correggere le minacce nella funzionalità di posta elettronica e collaborazione tramite indagini manuali e automatizzate.

Cosa devi sapere prima di iniziare

• Esistono limiti di limitazione per le correzioni su larga scala che consentono di garantire stabilità e prestazioni del servizio:

  • Limiti dell'organizzazione: il numero massimo di correzioni di posta elettronica attive e simultanee è 50. Una volta raggiunto il limite, non vengono attivate nuove correzioni fino al completamento di alcune azioni.
  • Email limiti dei messaggi: se una correzione attiva coinvolge più di un milione di messaggi di posta elettronica, non sono consentite nuove correzioni di posta elettronica.
  • Requisiti del destinatario nelle correzioni:
    • La percentuale totale dei destinatari selezionati deve essere almeno del 40% del numero totale di messaggi di posta elettronica nella correzione. Ad esempio, se un messaggio di posta elettronica viene inviato a cinque destinatari, Explorer (Esplora minacce) lo conta come cinque messaggi di posta elettronica. Se la correzione richiede l'eliminazione di 5.000 messaggi di posta elettronica, la correzione deve essere destinata ad almeno 2.000 destinatari.
    • Se il numero di destinatari è inferiore al 40% del numero totale di messaggi di posta elettronica, la correzione non può essere usata per eliminare più di 1.000 messaggi inviati a un singolo destinatario.

• Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Gli amministratori possono eseguire l'azione necessaria sui messaggi di posta elettronica, ma per ottenere l'approvazione di tali azioni è necessario il ruolo Cerca ed elimina . Per assegnare il ruolo Cerca e ripulisci , sono disponibili le opzioni seguenti:

  • Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender e non su PowerShell: operazioni di sicurezza/Dati di sicurezza/azioni avanzate di collaborazione Email & (gestione).
  • Email & autorizzazioni di collaborazione nel portale di Microsoft Defender: appartenenza ai gruppi di ruoli Gestione organizzazione o Ricerca dati. In alternativa, è possibile creare un nuovo gruppo di ruoli con il ruolo Ricerca ed eliminazione assegnato e aggiungere gli utenti al gruppo di ruoli personalizzato.

• Verificare che l'analisi automatizzata sia attivata in https://security.microsoft.com/securitysettings/endpoints/integration.

Correzione manuale e automatizzata

La ricerca manuale si verifica quando i team di sicurezza identificano manualmente le minacce usando le funzionalità di ricerca e filtro in Explorer (Esplora minacce). La correzione manuale della posta elettronica può essere attivata tramite qualsiasi visualizzazione di posta elettronica (Malware, Phish o Tutti i messaggi di posta elettronica) dopo aver identificato un set di messaggi di posta elettronica che devono essere corretti.

I team di sicurezza possono usare Explorer per selezionare i messaggi di posta elettronica in diversi modi:

• Scegliere i messaggi di posta elettronica a mano: usare i filtri in varie visualizzazioni. Selezionare fino a 100 messaggi di posta elettronica da correggere.

• Selezione query: selezionare un'intera query usando il pulsante seleziona tutto in alto. La stessa query viene visualizzata anche nei dettagli di invio della posta elettronica del Centro notifiche. I clienti possono inviare al massimo 200.000 messaggi di posta elettronica da Explorer.

• Selezione query con esclusione: a volte i team delle operazioni di sicurezza potrebbero voler correggere i messaggi di posta elettronica selezionando un'intera query ed escludendo manualmente determinati messaggi di posta elettronica dalla query. A tale scopo, un amministratore può usare la casella di controllo Seleziona tutto e scorrere verso il basso per escludere manualmente i messaggi di posta elettronica. La query può contenere un massimo di 200.000 messaggi di posta elettronica.

Dopo aver selezionato i messaggi di posta elettronica tramite Esplora risorse, è possibile avviare la correzione eseguendo un'azione diretta o accodando i messaggi di posta elettronica per un'azione:

• Approvazione diretta: quando azioni come passare alla posta in arrivo, passare alla posta indesiderata, passare a elementi eliminati, eliminazione temporanea o eliminazione temporanea vengono selezionate dal personale di sicurezza che dispone delle autorizzazioni appropriate e vengono seguiti i passaggi successivi per la correzione, il processo di correzione inizia a eseguire l'azione selezionata.

  Nota

  Quando la correzione viene avviata, genera un avviso e un'indagine in parallelo. L'avviso viene visualizzato nella coda degli avvisi con il nome "Azione amministrativa inviata da un amministratore" che suggerisce che il personale di sicurezza ha intrapreso l'azione di correzione di un'entità. Presenta dettagli come il nome della persona che ha eseguito l'azione, il collegamento di indagine di supporto, l'ora e così via. Funziona molto bene sapere ogni volta che viene eseguita un'azione dura come la correzione sulle entità. Tutte queste azioni possono essere rilevate nella scheda Actions & Submissions>Action center>History (anteprima pubblica).

• Approvazione in due passaggi: un'azione di "aggiunta alla correzione" può essere eseguita dagli amministratori che non dispongono delle autorizzazioni appropriate o che devono attendere l'esecuzione dell'azione. In questo caso, i messaggi di posta elettronica di destinazione vengono aggiunti a un contenitore di correzione. L'approvazione è necessaria prima dell'esecuzione della correzione.

Le azioni di indagine e risposta automatizzate vengono attivate dagli avvisi o dai team delle operazioni di sicurezza di Explorer. Questi risultati potrebbero includere azioni correttive consigliate che devono essere approvate da un team delle operazioni di sicurezza. Queste azioni sono incluse nella scheda Azione nell'indagine automatizzata.

Tutte le correzioni (approvazioni dirette) create in Esplora risorse, Ricerca avanzata o tramite indagine automatizzata vengono visualizzate nel Centro notifiche nella schedaCronologia centronotifiche>Azioni & Invii> (https://security.microsoft.com/action-center/history).

Le azioni manuali in attesa di approvazione tramite il processo di approvazione in due passaggi (aggiunte alla correzione da un membro del team dell'operazione di sicurezza e esaminate e approvate da un altro membro del team dell'operazione di sicurezza) sono visibili nella scheda Azioni & Centronotifiche>In> sospeso (https://security.microsoft.com/action-center/pending). Dopo l'approvazione, sono visibili nella scheda Actions & Submissions>Action center>History (https://security.microsoft.com/action-center/historyCronologia centro notifiche).

Il Centro operativo unificato mostra le azioni di correzione degli ultimi 30 giorni. Le azioni eseguite tramite Esplora risorse sono elencate in base al nome fornito dal team delle operazioni di sicurezza quando è stata creata la correzione, nonché all'ID di approvazione, all'ID indagine. Le azioni eseguite tramite indagini automatizzate includono titoli che iniziano con l'avviso correlato che ha attivato l'indagine, ad esempio il cluster di posta elettronica Zap.

Aprire qualsiasi elemento di correzione per visualizzarne i dettagli, tra cui il nome della correzione, l'ID approvazione, l'ID indagine, la data di creazione, la descrizione, lo stato, l'origine dell'azione, il tipo di azione, deciso da, lo stato. Viene inoltre aperto un riquadro laterale con i dettagli dell'azione, i dettagli del cluster di posta elettronica, l'avviso e i dettagli dell'evento imprevisto.

• Pagina Apri indagine: apre un'indagine di amministrazione che contiene meno dettagli e schede. Vengono visualizzati dettagli come: avviso correlato, entità selezionata per la correzione, azione eseguita, stato di correzione, conteggio delle entità, log e responsabile approvazione dell'azione. Tiene traccia di un'indagine eseguita manualmente dall'amministratore e contiene i dettagli delle selezioni effettuate dall'amministratore. Non è necessario agire in base all'indagine e all'avviso (è già nello stato Approvato).

• Email conteggio: visualizza il numero di messaggi di posta elettronica inviati tramite Esplora risorse. Questi messaggi possono essere interattivi o non interattivi.

• Log azioni: mostra i dettagli dello stato di correzione, ad esempio esito positivo, non riuscito e già nella destinazione.

  

  • Interattivo: Email nelle seguenti posizioni delle cassette postali cloud possono essere attivate e spostate:

    • Posta in arrivo
    • Posta indesiderata^*
    • cartella Elementi eliminati^*
    • Cartella Elementi ripristinabili\Eliminazioni (elementi eliminati temporaneamente)^*
    • Quarantena

    ^* Non disponibile per gli elementi in quarantena.

  • Non utilizzabile: Email nelle posizioni seguenti non possono essere attivate o spostate nelle azioni di correzione:

    • Cartella eliminata in modo rigido
    • Locale/esterno
    • Non riuscito/eliminato
    • Unknown

  • Tipi di azioni di spostamento ed eliminazione supportate:

    • Sposta nella cartella posta indesiderata: sposta i messaggi nella cartella Junk Email dell'utente.

    • Sposta nella posta in arrivo: sposta i messaggi nella cartella Posta in arrivo degli utenti.

    • Sposta in elementi eliminati: sposta i messaggi nella cartella Posta eliminata dell'utente.

    • Eliminazione temporanea: eliminare il messaggio dalla cartella Posta eliminata (passare alla cartella Elementi ripristinabili\Eliminazioni). Il messaggio è recuperabile dall'utente e dagli amministratori.

      Elimina la copia del mittente: provare anche a eliminare temporaneamente il messaggio dalla cartella Posta inviata del mittente se il mittente è l'organizzazione.

    • Eliminazione definitiva: eliminare il messaggio eliminato. Gli amministratori possono ripristinare gli elementi eliminati con un solo elemento. Per altre informazioni sugli elementi eliminati in modo rigido e temporaneamente eliminati, vedere Elementi eliminati temporaneamente e eliminati in modo rigido.

  Nota

  Nelle organizzazioni governative degli Stati Uniti (Microsoft 365 GCC, GCC High e DoD) gli amministratori possono eseguire le azioni Eliminazione temporanea, Sposta nella cartella posta indesiderata, Sposta in elementi eliminati, Eliminazione temporanea e Sposta nella posta in arrivo. Le azioni Elimina la copia del mittente e Sposta nella cartella Posta in arrivo dalla cartella di quarantena non sono disponibili.

  I messaggi sospetti vengono categorizzati come correggibili o non correggibili. Nella maggior parte dei casi, il totale dei messaggi correggibili e non correggibili è uguale al numero totale di messaggi inviati. Tuttavia, i totali potrebbero non corrispondere a causa di ritardi del sistema, timeout o messaggi scaduti. I messaggi scadono in base al periodo di conservazione di Explorer per l'organizzazione.

  A meno che non si stia correggendo i messaggi precedenti dopo il periodo di conservazione di Explorer dell'organizzazione, è consigliabile ripetere la correzione degli elementi se vengono visualizzate incoerenze di numero. Per i ritardi del sistema, gli aggiornamenti delle correzioni vengono in genere aggiornati entro poche ore.

  Se il periodo di conservazione della tua organizzazione per la posta elettronica in Explorer è di 30 giorni e stai correggendo i messaggi di posta elettronica che risalgono a 29-30 giorni fa, i conteggi degli invii di posta elettronica potrebbero non essere sempre aggiunti. È possibile che i messaggi di posta elettronica abbiano già iniziato a uscire dal periodo di conservazione.

  Se le correzioni sono bloccate nello stato "In corso" per un po ', è probabile che sia dovuto a ritardi del sistema. La correzione potrebbe richiedere fino a poche ore. È possibile che vengano visualizzate variazioni nei conteggi degli invii di posta elettronica, poiché alcuni dei messaggi di posta elettronica potrebbero non essere stati inclusi nella query all'inizio della correzione a causa di ritardi del sistema. È consigliabile ripetere la correzione in questi casi.

  Consiglio

  Per ottenere risultati ottimali, la correzione deve essere eseguita in batch di almeno 50.000.

  Durante la correzione vengono attivati solo i messaggi di posta elettronica correggibili. I messaggi di posta elettronica non correggibili non possono essere corretti da Microsoft 365, perché non vengono archiviati nelle cassette postali cloud.

  Gli amministratori possono eseguire azioni sui messaggi di posta elettronica in quarantena, se necessario, ma tali messaggi scadono dalla quarantena se non vengono eliminati manualmente. Per impostazione predefinita, i messaggi di posta elettronica messi in quarantena a causa di contenuti dannosi non sono accessibili dagli utenti, quindi il personale di sicurezza non deve intraprendere alcuna azione per eliminare le minacce in quarantena. Se i messaggi di posta elettronica sono locali o esterni, l'utente può essere contattato per risolvere il messaggio di posta elettronica sospetto. In alternativa, gli amministratori possono usare strumenti di sicurezza/server di posta elettronica separati per la rimozione. Questi messaggi di posta elettronica possono essere identificati applicando il percorso di recapito = filtro esterno locale in Explorer. Per la posta elettronica non riuscita o eliminata o la posta elettronica non accessibile dagli utenti, non esiste alcun messaggio di posta elettronica da mitigare, poiché questi messaggi non raggiungono la cassetta postale.

• Log azioni: mostra i messaggi corretti, riusciti, non riusciti, già nella destinazione.

  Lo stato può essere:

  • Avviato: viene attivata la correzione.
    • In coda: la correzione viene accodata per la mitigazione dei messaggi di posta elettronica.
    • In corso: la mitigazione è in corso.
    • Completato: mitigazione per tutti i messaggi di posta elettronica correggibili completati correttamente o con alcuni errori.
    • Non riuscito: non sono state eseguite correzioni.

  Poiché solo i messaggi di posta elettronica correggibili possono essere attivati, la pulizia di ogni messaggio di posta elettronica viene visualizzata come riuscita o non riuscita. Dai messaggi di posta elettronica correttivi totali vengono segnalate mitigazioni riuscite e non riuscite.

  • Operazione riuscita: l'azione desiderata per i messaggi di posta elettronica correggibili è stata eseguita. Ad esempio: un amministratore vuole rimuovere i messaggi di posta elettronica dalle cassette postali, quindi l'amministratore esegue l'azione di eliminazione temporanea dei messaggi di posta elettronica. Se non viene trovato un messaggio di posta elettronica correggibile nella cartella originale dopo l'esecuzione dell'azione, lo stato verrà visualizzato come corretto.

  • Errore: l'azione desiderata per i messaggi di posta elettronica correggibili non è riuscita. Ad esempio: un amministratore vuole rimuovere i messaggi di posta elettronica dalle cassette postali, quindi l'amministratore esegue l'azione di eliminazione temporanea dei messaggi di posta elettronica. Se viene ancora trovato un messaggio di posta elettronica correggibile nella cassetta postale dopo l'esecuzione dell'azione, lo stato verrà visualizzato come non riuscito.

  • Già nella destinazione: l'azione desiderata è già stata eseguita nel messaggio di posta elettronica OPPURE il messaggio di posta elettronica era già presente nel percorso di destinazione. Ad esempio: un messaggio di posta elettronica è stato eliminato temporaneamente dall'amministratore tramite Explorer il primo giorno. Quindi messaggi di posta elettronica simili vengono visualizzati il giorno 2, che vengono nuovamente eliminati temporaneamente dall'amministratore. Durante la selezione di questi messaggi di posta elettronica, l'amministratore finisce per ricevere alcuni messaggi di posta elettronica dal primo giorno che sono già eliminati temporaneamente. Ora questi messaggi non vengono agito su. Vengono invece visualizzati come Già nella destinazione, poiché non è stata eseguita alcuna azione su di essi come esistevano nella posizione di destinazione.

  • Nuovo: è stata aggiunta una colonna Già in destinazione nel log azioni. Questa funzionalità usa il percorso di recapito più recente in Explorer per segnalare se il messaggio è già stato corretto. Già nella destinazione aiuta i team di sicurezza a comprendere il numero totale di messaggi che devono ancora essere risolti.

Le azioni possono essere eseguite solo nei messaggi nelle cartelle Posta in arrivo, Posta indesiderata, Eliminata ed Eliminata temporaneamente di Explorer. Ecco un esempio del funzionamento della nuova colonna. Un'azione di eliminazione temporanea viene eseguita sul messaggio presente nella posta in arrivo, quindi il messaggio viene gestito in base ai criteri. La prossima volta che viene eseguita un'eliminazione temporanea, questo messaggio verrà visualizzato nella colonna "Già nella destinazione" segnalando che non è necessario risolvere nuovamente il problema.

Selezionare qualsiasi elemento nel log azioni per visualizzare i dettagli di correzione. Se i dettagli mostrano Esito positivo o Non trovato nella cassetta postale, l'elemento è già stato rimosso dalla cassetta postale. A volte si verifica un errore di sistema durante la correzione. In questi casi, è consigliabile ritentare l'azione di correzione.

Se è necessario correggere batch di posta elettronica di grandi dimensioni, esportare i messaggi inviati per la correzione tramite invio di posta elettronica ed esportare i messaggi corretti tramite i log azioni. Il limite di esportazione viene aumentato a 100.000 record.

Gli amministratori possono eseguire azioni correttive come lo spostamento dei messaggi di posta elettronica nella cartella Posta indesiderata, Posta in arrivo o Posta eliminata ed eliminare azioni come l'eliminazione temporanea o l'eliminazione temporanea dalle pagine ricerca avanzata.

La correzione riduce le minacce, risolve i messaggi di posta elettronica sospetti e consente di proteggere un'organizzazione.