Del via

Utbedre skadelig e-post levert i Office 365

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Utbedring betyr å iverksette en foreskrevet handling mot en trussel. Skadelig e-post som sendes til organisasjonen, kan ryddes opp av systemet, gjennom nulltimers automatisk tømming (ZAP), eller av sikkerhetsteam gjennom utbedringshandlinger som å flytte til innboksen, flytte til søppelpost, flytte til slettede elementer, myk sletting eller hard sletting. Microsoft Defender for Office 365 Plan 2/E5 gjør det mulig for sikkerhetsteam å utbedre trusler i e-post- og samarbeidsfunksjonalitet gjennom manuell og automatisert undersøkelse.

Dette må du vite før du begynner

  • Det finnes begrensningsgrenser for utbedringer i stor skala som bidrar til å sikre stabiliteten og ytelsen til tjenesten:

    • Organisasjonsgrenser: Maksimalt antall aktive, samtidige e-postutbedringer er 50. Når grensen er nådd, utløses ingen nye utbedringer før noen handlinger er fullført.
    • Begrensninger på e-postmeldinger: Hvis en aktiv utbedring innebærer mer enn én million e-postmeldinger, er ingen nye e-postutbedringer tillatt.
    • Mottakerkrav i utbedringer:
      • Den totale prosentandelen av valgte mottakere må være minst 40 % av det totale antallet e-postmeldinger i utbedringen. Hvis for eksempel en e-postmelding sendes til fem mottakere, teller Explorer (Trusselutforsker) den som fem e-postmeldinger. Hvis utbedringen krever sletting av 5000 e-postmeldinger, må utbedringen være rettet mot minst 2000 mottakere.
      • Hvis antall mottakere er mindre enn 40 % av det totale antallet e-postmeldinger, kan ikke utbedringen brukes til å slette mer enn 1000 meldinger som ble sendt til én enkelt mottaker.

  • Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Administratorer kan utføre den nødvendige handlingen i e-postmeldinger, men søke - og tømmingsrollen er nødvendig for å få disse handlingene godkjent. Hvis du vil tilordne rollen Søk og tøm , har du følgende alternativer:

  • Kontroller at automatisert undersøkelse er aktivert på https://security.microsoft.com/securitysettings/endpoints/integration.

Manuell og automatisert utbedring

Manuell jakt oppstår når sikkerhetsteam identifiserer trusler manuelt ved hjelp av søke- og filtreringsfunksjonene i Explorer (Trusselutforsker). Manuell utbedring av e-post kan utløses gjennom en hvilken som helst e-postvisning (malware, phish eller all e-post) etter at du har identifisert et sett med e-postmeldinger som må utbedres.

Skjermbilde av manuell jakt i Explorer (Trusselutforsker) etter dato.

Sikkerhetsteam kan bruke Explorer til å velge e-postmeldinger på flere måter:

  • Velg e-postmeldinger for hånd: Bruk filtre i ulike visninger. Velg opptil 100 e-postmeldinger som skal utbedres.

  • Spørringsvalg: Merk en hel spørring ved hjelp av den øverste knappen for å velge alle . Den samme spørringen vises også i detaljene for e-postinnsending i handlingssenteret. Kunder kan sende maksimalt 200 000 e-postmeldinger fra Explorer.

  • Spørringsvalg med utelukkelse: Noen ganger kan det hende at sikkerhetsoperasjonsgrupper ønsker å utbedre e-postmeldinger ved å velge en hel spørring og ekskludere bestemte e-postmeldinger fra spørringen manuelt. Hvis du vil gjøre dette, kan en administrator bruke avmerkingsboksen Merk alt og rulle ned for å utelate e-postmeldinger manuelt. Spørringen kan inneholde maksimalt 200 000 e-postmeldinger.

Når e-postmeldinger er valgt gjennom Explorer, kan du starte utbedringen ved å utføre direkte handlinger eller ved å sette e-postmeldinger i kø for en handling:

  • Direkte godkjenning: Når handlinger som å flytte til innboksen, flytte til søppelpost, flytte til slettede elementer, sletting med myk sletting eller hard sletting , velges av sikkerhetspersonell som har riktige tillatelser, og de neste trinnene i utbedring følges, begynner utbedringsprosessen å utføre den valgte handlingen.

    Obs!

    Etter hvert som utbedringen blir startet, genererer den et varsel og en undersøkelse parallelt. Varsel vises i varslingskøen med navnet «Administrativ handling sendt av en administrator» som tyder på at sikkerhetspersonell gjorde handlingen for å utbedre en enhet. Den presenterer detaljer som navnet på personen som utførte handlingen, støtter undersøkelseskobling, tid og så videre. Det fungerer veldig bra å vite hver gang en hard handling som utbedring utføres på enheter. Alle disse handlingene kan spores underhandlingssenteret> for handlinger & loggforinnsendinger> (offentlig forhåndsvisning).

  • Totrinnsgodkjenning: En «legg til i utbedring»-handling kan utføres av administratorer som ikke har riktige tillatelser, eller som må vente med å utføre handlingen. I dette tilfellet legges de målrettede e-postmeldingene til i en utbedringsbeholder. Godkjenning er nødvendig før utbedringen utføres.

Automatiserte undersøkelses- og svarhandlinger utløses av varsler eller sikkerhetsoperasjonsteam fra Explorer. Disse resultatene kan omfatte anbefalte utbedringshandlinger som må godkjennes av en sikkerhetsoperasjonsgruppe. Disse handlingene er inkludert på Handling-fanen i den automatiserte undersøkelsen.

E-post med skadelig programvare på Zapped-siden som viser tidspunktet for ZAP-kjøring.

Alle utbedringer (direkte godkjenninger) som er opprettet i Explorer, Avansert jakt eller gjennom automatisert undersøkelse, vises i handlingssenteret på handlingssenteret & loggfanen for innsendingers>handlingssenter> (https://security.microsoft.com/action-center/history).

Manuelle handlinger som venter på godkjenning ved hjelp av totrinns godkjenningsprosessen (lagt til i utbedringen av ett gruppemedlem for sikkerhetsoperasjoner, og gjennomgått og godkjent av et annet gruppemedlem for sikkerhetsoperasjoner), er synlige på Handlinger & Venterfanen Foresendinger>handlingssenter> ().https://security.microsoft.com/action-center/pending Etter godkjenning er de synligeHandlingssenter-fanen for Handlinger & Handlingssenter> for innsendinger > ().https://security.microsoft.com/action-center/history

Det enhetlige handlingssenteret viser deg 30 dager med utbedringshandlinger.

Enhetlig handlingssenter viser utbedringshandlinger for de siste 30 dagene. Handlinger som utføres gjennom Explorer, er oppført med navnet som sikkerhetsoperasjonsteamet oppgav da utbedringen ble opprettet, i tillegg til godkjennings-ID, undersøkelses-ID. Handlinger som utføres gjennom automatiserte undersøkelser, har titler som begynner med det relaterte varselet som utløste undersøkelsen, for eksempel Zap-e-postklyngen.

Åpne et utbedringselement for å vise detaljer om det, inkludert utbedringsnavn, godkjennings-ID, undersøkelses-ID, opprettelsesdato, beskrivelse, status, handlingskilde, handlingstype, bestemt av, status. Den åpner også en siderute med handlingsdetaljer, e-postklyngedetaljer, varsel og hendelsesdetaljer.

  • Åpne Undersøkelse-siden: Åpner en administratorundersøkelse som inneholder færre detaljer og faner. Den viser detaljer som: relatert varsel, enhet valgt for utbedring, handling utført, utbedringsstatus, enhetsantall, logger og godkjenner av handling. Sporer en undersøkelse manuelt utført av administratoren manuelt og inneholder detaljer om valg som er gjort av administratoren. Det er ikke nødvendig å gjøre noe med etterforskningen og varselet (det er allerede i godkjent tilstand).

  • Antall e-postmeldinger: Viser antall e-postmeldinger som sendes inn via Explorer. Disse meldingene kan være handlingsbare eller ikke gjennomførbare.

  • Handlingslogger: Viser detaljene for utbedringsstatus som vellykket, mislykket og allerede i mål.

    Handlingssenter med alternativet Flytt til innboks åpen.

    • Handlingsbar: E-post på følgende plasseringer i skyen kan behandles og flyttes:

      • Innboks
      • Skrap*
      • Slettede elementer-mappen*
      • Gjenopprettbare elementer\Slettede elementer-mappen (myke slettede elementer)*
      • Karantene

      * Ikke tilgjengelig for elementer som er satt i karantene.

    • Kan ikke gjøre noe: E-post på følgende steder kan ikke behandles eller flyttes i utbedringshandlinger:

      • Hard slettet mappe
      • Lokalt/eksternt
      • Mislyktes/droppet
      • Ukjent

    • Typer handlinger for flytting og sletting som støttes:

      • Flytt til søppelpostmappe: Flytter meldinger til brukerens Søppelpost-mappe.

      • Flytt til innboksen: Flytter meldinger til brukernes innboksmappe.

      • Flytt til slettede elementer: Flytter meldinger til brukerens Slettede elementer-mappe.

      • Slett midlertidig: Slett meldingen fra Mappen Slettede elementer (flytt til mappen Gjenopprettelige elementer\Slettinger). Meldingen kan gjenopprettes av brukeren og administratorene.

        Slett avsenderens kopi: Prøv også å slette meldingen fra avsenderens Sendte elementer-mappe hvis avsenderen er organisasjonen.

      • Hard sletting: Tøm den slettede meldingen. Administratorer kan gjenopprette hardt slettede elementer ved hjelp av enkeltelementgjenoppretting. Hvis du vil ha mer informasjon om slettede og myke slettede elementer, kan du se Elementer som er slettet med myk sletting og sletting.

    Obs!

    I us Government-organisasjoner (Microsoft 365 GCC, GCC High og DoD) kan administratorer utføre handlingene Myk sletting, Flytt til søppelpostmappe, Flytt til slettede elementer, Slett hardt og Flytt til innboksen. Handlingene Slett avsenderens kopi og Flytt til innboks fra karantenemappen er ikke tilgjengelige.

    Mistenkelige meldinger kategoriseres som enten utbedrbare eller ikke-utbedrbare. I de fleste tilfeller er summen av utbedrbare og ikke-utbedrbare meldinger lik det totale antallet meldinger som sendes inn. Totalsummene samsvarer kanskje ikke på grunn av systemforsinkelser, tidsavbrudd eller utløpte meldinger. Meldinger utløper basert på explorer-oppbevaringsperioden for organisasjonen.

    Med mindre du utbedrer gamle meldinger etter organisasjonens oppbevaringsperiode i Explorer, anbefales det å prøve å utbedre elementer hvis du ser tallinkonsekvenser. Utbedringsoppdateringer oppdateres vanligvis i løpet av noen få timer for systemforsinkelser.

    Hvis organisasjonens oppbevaringsperiode for e-post i Explorer er 30 dager og du utbedrer e-postmeldinger som går 29–30 dager tilbake, kan det hende at antallet innsendinger av e-post ikke alltid blir lagt sammen. E-postmeldingene kan allerede ha begynt å flytte ut av oppbevaringsperioden.

    Hvis utbedringer sitter fast i tilstanden «Pågår» en stund, skyldes det sannsynligvis systemforsinkelser. Det kan ta opptil noen timer å utbedre. Det kan hende du ser variasjoner i antall innsendinger av e-post, da noen av e-postmeldingene kanskje ikke er inkludert i spørringen ved starten av utbedringen på grunn av systemforsinkelser. Det er lurt å prøve å utbedre i slike tilfeller.

    Tips

    For best resultat bør utbedring gjøres i grupper på 50 000 eller færre.

    Bare utbedrbare e-postmeldinger behandles under utbedring. Ikke-utbedrbare e-postmeldinger kan ikke utbedres av Microsoft 365, becayse de ikke er lagret i skypostbokser.

    Administratorer kan utføre handlinger på e-postmeldinger i karantene om nødvendig, men disse e-postmeldingene utløper ut av karantene hvis de ikke fjernes manuelt. Som standard er ikke e-postmeldinger i karantene på grunn av skadelig innhold tilgjengelig for brukere, så sikkerhetspersonell trenger ikke å gjøre noe for å bli kvitt trusler i karantene. Hvis e-postmeldingene er lokale eller eksterne, kan brukeren kontaktes for å adressere den mistenkelige e-postmeldingen. Eller administratorene kan bruke separate e-postserver-/sikkerhetsverktøy for fjerning. Disse e-postmeldingene kan identifiseres ved å bruke leveringsplasseringen = lokalt eksternt filter i Explorer. For mislykket eller droppet e-post, eller e-post som ikke er tilgjengelig for brukere, er det ingen e-post å begrense, siden disse e-postmeldingene ikke kommer til postboksen.

  • Handlingslogger: Viser meldinger utbedret, vellykket, mislykket, allerede i mål.

    Status kan være:

    • Startet: Utbedring utløses.
      • I kø: Utbedring legges i kø for utbedring av e-postmeldinger.
      • Pågår: Reduksjon pågår.
      • Fullført: Begrensning på alle utbedrbare e-postmeldinger er enten fullført eller med noen feil.
      • Mislyktes: Ingen utbedringer var vellykket.

    Siden bare utbedrbare e-postmeldinger kan behandles, vises hver e-postmeldings opprydding som vellykket eller mislykket. Fra de totale utbedrbare e-postmeldingene rapporteres vellykkede og mislykkede begrensninger.

    • Vellykket: Den ønskede handlingen på utbedrbare e-postmeldinger ble utført. For eksempel: En administrator ønsker å fjerne e-postmeldinger fra postbokser, slik at administratoren utfører handlingen med myk sletting av e-postmeldinger. Hvis en utbedrbar e-postmelding ikke finnes i den opprinnelige mappen etter at handlingen er utført, vises statusen som vellykket.

    • Feil: Den ønskede handlingen på utbedrbare e-postmeldinger mislyktes. For eksempel: En administrator ønsker å fjerne e-postmeldinger fra postbokser, slik at administratoren utfører handlingen med myk sletting av e-postmeldinger. Hvis det fremdeles finnes en utbedrbar e-postmelding i postboksen etter at handlingen er utført, vises statusen som mislykket.

    • Allerede i mål: Den ønskede handlingen ble allerede utført på e-postmeldingen, ELLER e-postmeldingen fantes allerede på målplasseringen. For eksempel: En e-postmelding ble slettet av administratoren via Explorer på dag én. Deretter vises lignende e-postmeldinger på dag 2, som igjen slettes av administratoren. Når du velger disse e-postmeldingene, ender administratoren opp med å plukke noen e-postmeldinger fra dag én som allerede er myk slettet. Disse meldingene blir ikke behandlet. I stedet vises de som allerede i mål, siden ingen handling ble utført på dem slik de eksisterte på målplasseringen.

    • Ny: En allerede i målkolonne er lagt til i handlingsloggen. Denne funksjonen bruker den nyeste leveringsplasseringen i Explorer til å signalisere om e-postmeldingen allerede er utbedret. Allerede i mål hjelper sikkerhetsteamene med å forstå det totale antallet meldinger som fortsatt må håndteres.

Handlinger kan bare utføres på meldinger i mappene Innboks, Søppelpost, Slettet og Mykt slettet i Explorer. Her er et eksempel på hvordan den nye kolonnen fungerer. En myk slettehandling finner sted på meldingen som finnes i innboksen, og deretter håndteres meldingen i henhold til policyer. Neste gang en myk sletting utføres, vises denne meldingen under kolonnen «Allerede i mål» som signaliserer at den ikke trenger å løses på nytt.

Velg et element i handlingsloggen for å vise utbedringsdetaljer. Hvis detaljene viser Vellykket eller Ikke funnet i postboksen, er elementet allerede fjernet fra postboksen. Noen ganger er det en systemfeil under utbedring. I slike tilfeller er det lurt å prøve utbedringshandlingen på nytt.

Hvis du trenger å utbedre store grupper med e-post, eksporterer du meldingene som sendes til utbedring via e-postinnsending, og eksporterer meldinger som ble utbedret via handlingslogger. Eksportgrensen økes til 100 000 poster.

Administratorer kan utføre utbedringshandlinger som å flytte e-postmeldinger til Søppelpost-, Innboks- eller Slettede elementer-mappen og slette handlinger som myk slettet eller hard sletting fra avanserte jaktsider.

Avansert jakt, Ta handlinger-panelet med ditt valg av handlinger.

Utbedring reduserer trusler, adresserer mistenkelige e-postmeldinger og bidrar til å holde en organisasjon sikker.