Korygowanie złośliwych wiadomości e-mail dostarczanych w usłudze Office 365

• Dotyczy:

  ✅ Microsoft Defender for Office 365 Plan 2

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Korygowanie oznacza podjęcie określonego działania przeciwko zagrożeniu. Złośliwe wiadomości e-mail wysyłane do organizacji mogą być czyszczone przez system, przez automatyczne przeczyszczanie (ZAP) przez zero godzin lub przez zespoły zabezpieczeń poprzez akcje korygowania, takie jak przejście do skrzynki odbiorczej, przejście na śmieci, przejście do usuniętych elementów, usuwanie nietrwałe lub usuwanie twarde. Ochrona usługi Office 365 w usłudze Microsoft Defender Plan 2/E5 umożliwia zespołom ds. zabezpieczeń korygowanie zagrożeń za pomocą poczty e-mail i funkcji współpracy za pomocą ręcznego i zautomatyzowanego badania.

Co należy wiedzieć przed rozpoczęciem

• Istnieją limity ograniczania dla korygowania na dużą skalę, które pomagają zapewnić stabilność i wydajność usługi:

  • Limity organizacji: maksymalna liczba aktywnych, współbieżnych korygowania poczty e-mail wynosi 50. Po osiągnięciu limitu nie są wyzwalane żadne nowe korygowania, dopóki niektóre akcje nie zostaną ukończone.
  • Email limity wiadomości: jeśli aktywne korygowanie obejmuje ponad milion wiadomości e-mail, żadne nowe korygowanie wiadomości e-mail nie jest dozwolone.
  • Wymagania adresatów dotyczące korygowania:
    • Łączny odsetek wybranych adresatów musi wynosić co najmniej 40% całkowitej liczby wiadomości e-mail w korygowaniu. Jeśli na przykład wiadomość e-mail zostanie wysłana do pięciu adresatów, Eksplorator (Eksplorator zagrożeń) zlicza ją jako pięć wiadomości e-mail. Jeśli korygowanie wymaga usunięcia 5000 wiadomości e-mail, korygowanie musi dotyczyć co najmniej 2000 adresatów.
    • Jeśli liczba adresatów jest mniejsza niż 40% całkowitej liczby wiadomości e-mail, korygowanie nie może zostać użyte do usunięcia więcej niż 1000 wiadomości wysłanych do jednego adresata.

• Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Administratorzy mogą wykonać wymaganą akcję w wiadomościach e-mail, ale rola Wyszukiwanie i przeczyszczanie jest wymagana do zatwierdzenia tych akcji. Aby przypisać rolę Wyszukiwanie i przeczyszczanie , dostępne są następujące opcje:

  • Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) (jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell): operacje zabezpieczeń/Dane zabezpieczeń/Email & zaawansowane akcje współpracy (zarządzanie).
  • Email & uprawnienia do współpracy w portalu Microsoft Defender: członkostwo w grupach ról Zarządzanie organizacją lub Badacz danych. Możesz też utworzyć nową grupę ról z przypisaną roląWyszukiwanie i przeczyszczanie oraz dodać użytkowników do niestandardowej grupy ról.

• Sprawdź , czy automatyczne badanie jest włączone pod adresem https://security.microsoft.com/securitysettings/endpoints/integration.

Ręczne i zautomatyzowane korygowanie

Ręczne wyszukiwanie zagrożeń występuje, gdy zespoły ds. zabezpieczeń ręcznie identyfikują zagrożenia przy użyciu funkcji wyszukiwania i filtrowania w Eksploratorze (Eksploratorze zagrożeń). Ręczne korygowanie poczty e-mail może być wyzwalane za pośrednictwem dowolnego widoku poczty e-mail (złośliwego oprogramowania, języka Phish lub wszystkich wiadomości e-mail) po zidentyfikowaniu zestawu wiadomości e-mail, które muszą zostać skorygowane.

Zespoły zabezpieczeń mogą używać Eksploratora do wybierania wiadomości e-mail na kilka sposobów:

• Wybierz wiadomości e-mail ręcznie: użyj filtrów w różnych widokach. Wybierz maksymalnie 100 wiadomości e-mail do skorygowania.

• Wybór zapytania: wybierz całe zapytanie, używając górnego przycisku wybierz wszystko . To samo zapytanie jest również wyświetlane w szczegółach przesyłania poczty centrum akcji. Klienci mogą przesyłać maksymalnie 200 000 wiadomości e-mail z Eksploratora.

• Wybór zapytania z wykluczeniem: Czasami zespoły operacji zabezpieczeń mogą chcieć korygować wiadomości e-mail, wybierając całe zapytanie i ręcznie wykluczając niektóre wiadomości e-mail z zapytania. W tym celu administrator może użyć pola wyboru Zaznacz wszystko i przewiń w dół, aby ręcznie wykluczyć wiadomości e-mail. Zapytanie może zawierać maksymalnie 200 000 wiadomości e-mail.

Po wybraniu wiadomości e-mail za pośrednictwem Eksploratora możesz rozpocząć korygowanie, podejmując akcję bezpośrednią lub kolejkując wiadomości e-mail w celu wykonania akcji:

• Bezpośrednie zatwierdzanie: Gdy akcje, takie jak przejście do skrzynki odbiorczej, przenoszenie do wiadomości-śmieci, przenoszenie do usuniętych elementów, usuwanie nietrwałe lub usuwanie twarde , są wybierane przez pracowników ochrony, którzy mają odpowiednie uprawnienia, a następnie są wykonywane kolejne kroki korygowania, proces korygowania rozpoczyna wykonywanie wybranej akcji.

  Uwaga

  Gdy korygowanie zostanie uruchomione, generuje alert i badanie równolegle. Alert jest wyświetlany w kolejce alertów o nazwie "Akcja administracyjna przesłana przez administratora" sugerująca, że pracownicy ochrony podjęli akcję korygowania jednostki. Przedstawia szczegóły, takie jak imię i nazwisko osoby, która wykonała akcję, link do badania pomocniczego, czas itp. To działa naprawdę dobrze wiedzieć za każdym razem, gdy trudne działania, takie jak korygowanie jest wykonywana na jednostkach. Wszystkie te akcje można śledzić nakarcie Historiacentrum> akcji & Przesłania> (publiczna wersja zapoznawcza).

• Zatwierdzanie dwuetapowe: akcję "dodaj do korygowania" mogą wykonać administratorzy, którzy nie mają odpowiednich uprawnień lub muszą poczekać na wykonanie akcji. W takim przypadku docelowe wiadomości e-mail są dodawane do kontenera korygowania. Zatwierdzenie jest wymagane przed wykonaniem korygowania.

Zautomatyzowane akcje badania i reagowania są wyzwalane przez alerty lub zespoły operacji zabezpieczeń z Eksploratora. Te wyniki mogą obejmować zalecane akcje korygowania, które muszą zostać zatwierdzone przez zespół ds. operacji zabezpieczeń. Te akcje są uwzględniane na karcie Akcja w zautomatyzowanym badaniu.

Wszystkie korygowanie (zatwierdzenia bezpośrednie) utworzone w Eksploratorze, zaawansowane wyszukiwanie zagrożeń lub za pośrednictwem zautomatyzowanego badania są wyświetlane w centrum akcji na karcieHistoriacentrum> akcji & Przesłania> (https://security.microsoft.com/action-center/history).

Akcje ręczne oczekujące na zatwierdzenie przy użyciu dwuetapowego procesu zatwierdzania (dodane do korygowania przez jednego członka zespołu operacji zabezpieczeń oraz przeglądane i zatwierdzane przez innego członka zespołu operacji zabezpieczeń) są widoczne na karcie Akcje & Centrum>akcjiprzesyłania> oczekujące (https://security.microsoft.com/action-center/pending). Po zatwierdzeniu są one widoczne na karcie Akcje> & Centrumakcji> PrzesłaniaHistoria (https://security.microsoft.com/action-center/history).

Ujednolicone centrum akcji pokazuje akcje korygowania z ostatnich 30 dni. Akcje wykonywane za pośrednictwem Eksploratora są wyświetlane według nazwy, którą zespół ds. operacji zabezpieczeń podał podczas tworzenia korygowania, a także identyfikator zatwierdzenia, identyfikator badania. Akcje wykonywane za pomocą zautomatyzowanych badań mają tytuły rozpoczynające się od powiązanego alertu, który wyzwolił badanie, takiego jak klaster poczty e-mail Zap.

Otwórz dowolny element korygowania, aby wyświetlić szczegółowe informacje na jego temat, w tym jego nazwę korygowania, identyfikator zatwierdzenia, identyfikator badania, datę utworzenia, opis, stan, źródło akcji, typ akcji, o którym decyduje stan. Zostanie również otwarte okienko boczne ze szczegółami akcji, szczegółami klastra poczty e-mail, alertem i szczegółami zdarzenia.

• Otwórz stronę Badanie: otwiera badanie administratora, które zawiera mniej szczegółów i kart. Przedstawia on szczegóły, takie jak: alert pokrewny, jednostka wybrana do korygowania, podjęta akcja, stan korygowania, liczba jednostek, dzienniki i osoba zatwierdzająca akcję. Śledzi badanie ręcznie wykonane przez administratora ręcznie i zawiera szczegółowe informacje dotyczące wyborów dokonanych przez administratora. Nie ma potrzeby działania w oparciu o badanie i alert (jest już w stanie Zatwierdzone).

• liczba Email: wyświetla liczbę wiadomości e-mail przesyłanych za pośrednictwem Eksploratora. Te komunikaty mogą być możliwe do wykonania lub nie umożliwiają wykonania akcji.

• Dzienniki akcji: pokazuje szczegóły stanu korygowania, takie jak pomyślne, zakończone niepowodzeniem i już w miejscu docelowym.

  

  • Możliwość wykonania akcji: Email w następujących lokalizacjach skrzynki pocztowej w chmurze można wykonywać działania i przenosić je:

    • Skrzynka odbiorcza
    • Dżonka^*
    • Folder Elementy usunięte^*
    • Folder Items\Deletions możliwy do odzyskania (nietrwale usunięte elementy)^*
    • Kwarantanna

    ^* Niedostępne dla elementów poddanych kwarantannie.

  • Nie można wykonać akcji: nie można wykonać Email w następujących lokalizacjach ani przenieść ich w akcjach korygowania:

    • Folder o twardym usunięciu
    • Lokalnie/zewnętrznie
    • Niepowodzenie/upuszczenie
    • Unknown

  • Obsługiwane typy akcji Przenoszenie i usuwanie:

    • Przenieś do folderu śmieci: przenosi komunikaty do folderu Email wiadomości-śmieci użytkownika.

    • Przenieś do skrzynki odbiorczej: przenosi komunikaty do folderu Skrzynka odbiorcza użytkowników.

    • Przenieś do usuniętych elementów: przenosi komunikaty do folderu Elementy usunięte użytkownika.

    • Usuwanie nietrwałe: usuń komunikat z folderu Elementy usunięte (przejdź do folderu Recoverable Items\Deletions). Komunikat jest możliwy do odzyskania przez użytkownika i administratorów.

      Usuń kopię nadawcy: spróbuj również usunąć komunikat nietrwale z folderu Elementy wysłane nadawcy, jeśli nadawcą jest organizacja.

    • Usunięcie twarde: przeczyszczanie usuniętej wiadomości. Administratorzy mogą odzyskać usunięte elementy przy użyciu odzyskiwania pojedynczego elementu. Aby uzyskać więcej informacji o usuniętych i nietrwałych elementach, zobacz Elementy usunięte nietrwale i usunięte.

  Uwaga

  W organizacjach rządowych STANÓW Zjednoczonych (Microsoft 365 GCC, GCC High i DoD) administratorzy mogą wykonywać akcje usuwania nietrwałego, przenoszenia do folderu śmieci, przenoszenia do usuniętych elementów, usuwania twardego i przechodzenia do skrzynki odbiorczej. Akcje Usuwanie kopii nadawcy i Przenoszenie do skrzynki odbiorczej z folderu kwarantanny nie są dostępne.

  Podejrzane komunikaty są kategoryzowane jako korygowanie lub niezobowiązujące. W większości przypadków łączna liczba komunikatów korygowanych i nienadających się do zniesienia jest równa łącznej liczbie przesłanych komunikatów. Jednak sumy mogą nie być zgodne z powodu opóźnień systemowych, przekroczenia limitu czasu lub wygasłych komunikatów. Komunikaty wygasają na podstawie okresu przechowywania Eksploratora dla Organizacji.

  Jeśli nie korygujesz starych komunikatów po okresie przechowywania Eksploratora organizacji, zaleca się ponowienie próby skorygowania elementów, jeśli wystąpią niespójności liczbowe. W przypadku opóźnień systemu aktualizacje korygowania są zwykle odświeżane w ciągu kilku godzin.

  Jeśli okres przechowywania poczty e-mail w Eksploratorze w organizacji wynosi 30 dni, a korygujesz wiadomości e-mail po upływie 29–30 dni, liczba przesłanych wiadomości e-mail może nie zawsze się sumować. Wiadomości e-mail mogły już zacząć się przenosić z okresu przechowywania.

  Jeśli korygowania są zablokowane w stanie "W toku" na chwilę, jest to prawdopodobnie spowodowane opóźnieniami systemu. Korygowanie może potrwać do kilku godzin. Mogą wystąpić zmiany liczby przesłanych wiadomości e-mail, ponieważ niektóre wiadomości e-mail mogły nie zostać dołączone do zapytania na początku korygowania z powodu opóźnień w systemie. Dobrym pomysłem jest ponowienie próby skorygowania w takich przypadkach.

  Porada

  Aby uzyskać najlepsze wyniki, korygowanie powinno odbywać się w partiach o wartości 50 000 lub mniejszej.

  Podczas korygowania są obsługiwane tylko skorygowane wiadomości e-mail. Niezbywalne wiadomości e-mail nie mogą być korygowane przez platformę Microsoft 365, ponieważ nie są one przechowywane w skrzynkach pocztowych w chmurze.

  Administratorzy mogą w razie potrzeby podejmować działania dotyczące wiadomości e-mail w kwarantannie, ale te wiadomości e-mail wygasają z kwarantanny, jeśli nie zostaną ręcznie wyczyszczone. Domyślnie wiadomości e-mail poddane kwarantannie z powodu złośliwej zawartości nie są dostępne dla użytkowników, więc pracownicy ochrony nie muszą podejmować żadnych działań, aby pozbyć się zagrożeń w kwarantannie. Jeśli wiadomości e-mail są lokalne lub zewnętrzne, można skontaktować się z użytkownikiem w celu wysłania podejrzanej wiadomości e-mail. Administratorzy mogą też użyć oddzielnych narzędzi do usuwania serwera poczty e-mail/zabezpieczeń. Te wiadomości e-mail można zidentyfikować, stosując lokalizację dostarczania = lokalny filtr zewnętrzny w Eksploratorze. W przypadku wiadomości e-mail zakończonych niepowodzeniem lub porzuconych wiadomości e-mail lub wiadomości e-mail niedostępnych dla użytkowników nie ma żadnej wiadomości e-mail do wyeliminowania, ponieważ te wiadomości nie docierają do skrzynki pocztowej.

• Dzienniki akcji: pokazuje komunikaty skorygowane, zakończone pomyślnie, zakończone niepowodzeniem, już w miejscu docelowym.

  Stan może być:

  • Rozpoczęto: wyzwalane jest korygowanie.
    • W kolejce: Korygowanie jest umieszczane w kolejce w celu ograniczenia ryzyka wiadomości e-mail.
    • W toku: Środki zaradcze są w toku.
    • Ukończono: Ograniczenie ryzyka dla wszystkich skorygowanych wiadomości e-mail zostało ukończone pomyślnie lub z pewnymi błędami.
    • Niepowodzenie: żadne korygowanie nie powiodło się.

  Ponieważ można wykonywać tylko naprawcze wiadomości e-mail, oczyszczanie każdej wiadomości e-mail jest wyświetlane jako pomyślne lub zakończone niepowodzeniem. Z łącznej liczby skorygowanych wiadomości e-mail są zgłaszane pomyślne i nieudane środki zaradcze.

  • Powodzenie: Żądana akcja dotycząca skorygowanych wiadomości e-mail została wykonana. Na przykład: administrator chce usunąć wiadomości e-mail ze skrzynek pocztowych, więc administrator podejmuje akcję usuwania nietrwałych wiadomości e-mail. Jeśli po wykonaniu akcji w oryginalnym folderze nie odnaleziono adresu e-mail korygowania, stan zostanie wyświetlony jako pomyślny.

  • Niepowodzenie: Żądana akcja dotycząca skorygowanych wiadomości e-mail nie powiodła się. Na przykład: administrator chce usunąć wiadomości e-mail ze skrzynek pocztowych, więc administrator podejmuje akcję usuwania nietrwałych wiadomości e-mail. Jeśli po wykonaniu akcji w skrzynce pocztowej nadal znajduje się adres e-mail korygowania, stan będzie wyświetlany jako zakończony niepowodzeniem.

  • Już w miejscu docelowym: żądana akcja została już podjęta w wiadomości e-mail LUB wiadomość e-mail już istniała w lokalizacji docelowej. Na przykład: wiadomość e-mail została usunięta nietrwale przez administratora za pośrednictwem Eksploratora pierwszego dnia. Następnie podobne wiadomości e-mail są wyświetlane w dniu 2, które są ponownie nietrwale usuwane przez administratora. Podczas wybierania tych wiadomości e-mail administrator odbiera wiadomości e-mail od pierwszego dnia, które zostały już usunięte nietrwale. Teraz te komunikaty nie są realizowane. Zamiast tego są wyświetlane jako Już w miejscu docelowym, ponieważ nie podjęto na nich żadnych akcji, ponieważ istniały w lokalizacji docelowej.

  • Nowość: w dzienniku akcji dodano kolumnę Już w miejscu docelowym . Ta funkcja używa najnowszej lokalizacji dostarczania w Eksploratorze do sygnalizowania, czy poczta została już skorygowana. Już w miejscu docelowym pomaga zespołom ds. zabezpieczeń zrozumieć całkowitą liczbę komunikatów, które nadal wymagają rozwiązania.

Akcje można wykonywać tylko w przypadku komunikatów w folderach Skrzynka odbiorcza, Śmieci, Usunięte i Usunięte nietrwale w Eksploratorze. Oto przykład działania nowej kolumny. Akcja usuwania nietrwałego ma miejsce dla komunikatu obecnego w skrzynce odbiorczej, a następnie komunikat jest obsługiwany zgodnie z zasadami. Następnym razem, gdy zostanie wykonane usuwanie nietrwałe, ten komunikat będzie wyświetlany w kolumnie "Już w miejscu docelowym", sygnalizując, że nie trzeba go ponownie rozwiązywać.

Wybierz dowolny element w dzienniku akcji, aby wyświetlić szczegóły korygowania. Jeśli w skrzynce pocztowej są wyświetlane szczegóły Pomyślne lub Nie znaleziono, ten element został już usunięty ze skrzynki pocztowej. Czasami występuje błąd systemu podczas korygowania. W takich przypadkach warto ponowić próbę wykonania akcji korygowania.

Jeśli chcesz skorygować duże partie wiadomości e-mail, wyeksportuj wiadomości wysyłane do korygowania za pośrednictwem przesyłania poczty i wyeksportuj wiadomości skorygowane za pośrednictwem dzienników akcji. Limit eksportu zostanie zwiększony do 100 000 rekordów.

Administratorzy mogą podejmować akcje korygowania, takie jak przenoszenie wiadomości e-mail do folderu Wiadomości-śmieci, Skrzynka odbiorcza lub Usunięte elementy, oraz usuwać akcje, takie jak usuwanie nietrwałe lub twarde ze stron zaawansowanego wyszukiwania zagrożeń.

Korygowanie ogranicza zagrożenia, usuwa podejrzane wiadomości e-mail i pomaga zapewnić bezpieczeństwo organizacji.