Compartilhar via

Corrigir emails mal-intencionados entregues no Office 365

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Remediação significa tomar uma ação prescrita contra uma ameaça. Os e-mails maliciosos enviados para a sua organização podem ser limpos pelo sistema, através da remoção automática de zero horas (ZAP) ou pelas equipas de segurança através de ações de remediação como mover para a caixa de entrada, mover para lixo, mover para itens eliminados, eliminação recuperável ou eliminação dura. Microsoft Defender para Office 365 Plano 2/E5 permite às equipas de segurança remediar ameaças na funcionalidade de e-mail e colaboração através de investigação manual e automatizada.

O que você precisa saber antes de começar

  • Existem limites de limitação para remediações em grande escala que ajudam a garantir a estabilidade e o desempenho do serviço:

    • Limites da organização: o número máximo de remediações de e-mail ativas e simultâneas é 50. Assim que o limite for atingido, não são acionadas novas remediações até que algumas ações sejam concluídas.
    • Email limites de mensagens: se uma remediação ativa envolver mais de um milhão de mensagens de e-mail, não são permitidas novas remediações de e-mail.
    • Requisitos do destinatário nas remediações:
      • A percentagem total de destinatários selecionados tem de ser, pelo menos, 40% da contagem total de mensagens de e-mail na remediação. Por exemplo, se um e-mail for enviado para cinco destinatários, Explorer (Explorer de Ameaças) conta-o como cinco mensagens de e-mail. Se a remediação exigir a eliminação de 5000 mensagens de e-mail, a remediação tem de visar, pelo menos, 2000 destinatários.
      • Se a contagem de destinatários for inferior a 40% da contagem total de mensagens de e-mail, a remediação não pode ser utilizada para eliminar mais de 1000 mensagens que foram enviadas para um único destinatário.

  • Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Os administradores podem tomar a ação necessária em mensagens de e-mail, mas a função Procurar e Remover é necessária para que essas ações sejam aprovadas. Para atribuir a função Procurar e Remover , tem as seguintes opções:

  • Verifique se a Investigação Automatizada está ativada em https://security.microsoft.com/securitysettings/endpoints/integration.

Remediação manual e automatizada

A investigação manual ocorre quando as equipas de segurança identificam as ameaças manualmente através das capacidades de pesquisa e filtragem no Explorer (Explorer de Ameaças). A remediação manual de e-mail pode ser acionada através de qualquer vista de e-mail (Software Maligno, Phish ou Todos os e-mails) depois de identificar um conjunto de e-mails que precisam de ser remediados.

Captura de ecrã da investigação manual no Explorer (Explorer de Ameaças) por data.

As equipas de segurança podem utilizar Explorer para selecionar e-mails de várias formas:

  • Escolher e-mails manualmente: utilize filtros em várias vistas. Selecione até 100 e-mails para remediar.

  • Seleção de consultas: selecione uma consulta inteira com o botão selecionar tudo na parte superior. A mesma consulta também é apresentada nos detalhes de submissão de correio do centro de ação. Os clientes podem submeter um máximo de 200 000 e-mails de Explorer.

  • Seleção de consultas com exclusão: por vezes, as equipas de operações de segurança podem querer remediar e-mails selecionando uma consulta completa e excluindo determinados e-mails da consulta manualmente. Para tal, um administrador pode utilizar a caixa Selecionar todos os marcar e deslocar para baixo para excluir e-mails manualmente. A consulta pode conter um máximo de 200 000 e-mails.

Assim que os e-mails forem selecionados através de Explorer, pode iniciar a remediação ao tomar medidas diretas ou ao colocar e-mails em fila para uma ação:

  • Aprovação direta: quando ações como mover para a caixa de entrada, mover para lixo, mover para itens eliminados, eliminação recuperável ou eliminação fixa são selecionadas por pessoal de segurança que tem as permissões adequadas e os passos seguintes na remediação são seguidos, o processo de remediação começa a executar a ação selecionada.

    Observação

    À medida que a remediação é iniciada, gera um alerta e uma investigação em paralelo. O alerta é apresentado na fila de alertas com o nome "Ação administrativa submetida por um Administrador" que sugere que o pessoal de segurança tomou a ação de remediar uma entidade. Apresenta detalhes como o nome da pessoa que efetuou a ação, ligação de apoio à investigação, hora, etc. Funciona muito bem saber sempre que uma ação dura como a remediação é executada em entidades. Todas estas ações podem ser controladas noseparador Histórico do Centro > deAçõesAções & Submissões> (pré-visualização pública).

  • Aprovação de dois passos: uma ação "adicionar à remediação" pode ser tomada por administradores que não têm as permissões adequadas ou que precisam de esperar para executar a ação. Neste caso, os e-mails visados são adicionados a um contentor de remediação. A aprovação é necessária antes de a remediação ser executada.

As ações automatizadas de investigação e resposta são acionadas por alertas ou por equipas de operações de segurança de Explorer. Estes resultados podem incluir ações de remediação recomendadas que têm de ser aprovadas por uma equipa de operações de segurança. Estas ações estão incluídas no separador Ação na investigação automatizada.

Email com software maligno na página Zapped a mostrar a hora da execução do ZAP.

Todas as remediações (aprovações diretas) criadas em Explorer, Investigação avançada ou através de Investigação automatizada são apresentadas no Centro de ação no separadorHistórico do Centro > deAções& Submissões> (https://security.microsoft.com/action-center/history).

As ações manuais pendentes de aprovação através do processo de aprovação de dois passos (adicionadas à remediação por um membro da equipa da operação de segurança e revistas e aprovadas por outro membro da equipa de operação de segurança) são visíveis no separador Centro > deAçãoSubmissões> de Ações &Pendente (https://security.microsoft.com/action-center/pending). Após a aprovação, ficam visíveis no separador Ações & Histórico>do Centro> de Ações ().https://security.microsoft.com/action-center/history

O Centro de Ação unificado mostra-lhe 30 dias de ações de remediação.

O Centro de Ação Unificado mostra as ações de remediação dos últimos 30 dias. As ações realizadas através de Explorer são listadas pelo nome que a equipa de operações de segurança forneceu quando a remediação foi criada, bem como o ID de aprovação, O ID da Investigação. As ações realizadas através de investigações automatizadas têm títulos que começam com o alerta relacionado que acionou a investigação, como o cluster de e-mail zap.

Abra qualquer item de remediação para ver detalhes sobre o mesmo, incluindo o respetivo nome de remediação, ID de aprovação, ID de Investigação, data de criação, descrição, status, origem da ação, tipo de ação, decidido por status. Também abre um painel lateral com detalhes de ação, detalhes do cluster de e-mail, alerta e Detalhes do incidente.

  • Página Abrir Investigação: abre uma investigação de administrador que contém menos detalhes e separadores. Mostra detalhes como: alerta relacionado, entidade selecionada para remediação, ação tomada, remediação status, contagem de entidades, registos e aprovador de ação. Controla uma investigação feita manualmente pelo administrador manualmente e contém detalhes das seleções efetuadas pelo administrador. Não é necessário agir sobre a investigação e o alerta (já está no estado Aprovado).

  • Email contagem: apresenta o número de mensagens de e-mail enviadas através de Explorer. Estas mensagens podem ser acionáveis ou não acionáveis.

  • Registos de ações: mostra os detalhes da remediação status como com êxito, com falhas e já no destino.

    O Centro de Ação com a opção Mover para a Caixa de Entrada aberta.

    • Acionável: Email nas seguintes localizações da caixa de correio na nuvem podem ser executadas e movidas:

      • Caixa de Entrada
      • Lixo*
      • pasta Itens Excluídos*
      • Pasta Itens Recuperáveis\Eliminações (itens eliminados de forma recuperável)*
      • Quarentena

      * Não disponível para itens em quarentena.

    • Não acionável: Email nas seguintes localizações não podem ser executadas ou movidas em ações de remediação:

      • Pasta eliminada duramente
      • No local/externo
      • Falha/removida
      • Desconhecido

    • Tipos de ações de Movimentação e Eliminação suportadas:

      • Mover para a pasta de lixo: move as mensagens para a pasta Email de Lixo do utilizador.

      • Mover para a caixa de entrada: move mensagens para a pasta Caixa de Entrada dos utilizadores.

      • Mover para itens eliminados: move mensagens para a pasta Itens Eliminados do utilizador.

      • Eliminação recuperável: elimine a mensagem da pasta Itens eliminados (ir para a pasta Itens Recuperáveis\Eliminações). A mensagem é recuperável pelo utilizador e pelos administradores.

        Eliminar cópia do remetente: tente também eliminar de forma recuperável a mensagem da pasta Itens Enviados do remetente se o remetente for a organização.

      • Eliminação rápida: remova a mensagem eliminada. Os administradores podem recuperar itens eliminados com a recuperação de itens únicos. Para obter mais informações sobre itens eliminados e eliminados de forma recuperável, veja Itens eliminados de forma recuperável e eliminados de forma recuperável.

    Observação

    Em organizações do Governo dos E.U.A. (Microsoft 365 GCC, GCC High e DoD), os administradores podem realizar as ações Eliminação recuperável, Mover para a pasta de lixo, Mover para itens eliminados, Eliminação forçada e Mover para a caixa de entrada. As ações Eliminar cópia do remetente e Mover para a caixa de entrada da pasta de quarentena não estão disponíveis.

    As mensagens suspeitas são categorizadas como remediadas ou não remediáveis. Na maioria dos casos, o total de mensagens remediadas e não remediáveis é igual ao número total de mensagens submetidas. No entanto, os totais podem não corresponder devido a atrasos no sistema, tempos limite ou mensagens expiradas. As mensagens expiram com base no período de retenção Explorer da sua organização.

    A menos que esteja a remediar mensagens antigas após o período de retenção Explorer da sua organização, é aconselhável repetir a remediação de itens se vir inconsistências de números. Para atrasos no sistema, as atualizações de remediação são normalmente atualizadas dentro de algumas horas.

    Se o período de retenção do e-mail da sua organização no Explorer for de 30 dias e estiver a remediar e-mails que remontam a 29 a 30 dias, as contagens de submissão de correio podem nem sempre ser adicionadas. Os e-mails podem já ter começado a sair do período de retenção.

    Se as remediações estiverem bloqueadas no estado "Em curso" durante algum tempo, é provável que se deva a atrasos no sistema. Pode demorar algumas horas a remediar. Poderá ver variações nas contagens de submissão de correio, uma vez que alguns dos e-mails podem não ter sido incluídos na consulta no início da remediação devido a atrasos no sistema. Recomendamos que repita a remediação nestes casos.

    Dica

    Para obter os melhores resultados, a remediação deve ser feita em lotes de 50 000 ou menos.

    Apenas as mensagens de e-mail remediadas são executadas durante a remediação. Os e-mails não remediáveis não podem ser remediados pelo Microsoft 365, ou seja, não são armazenados em caixas de correio na nuvem.

    Os administradores podem tomar medidas em e-mails em quarentena, se necessário, mas esses e-mails expiram fora de quarentena se não forem removidos manualmente. Por predefinição, os e-mails colocados em quarentena devido a conteúdo malicioso não são acessíveis pelos utilizadores, pelo que o pessoal de segurança não tem de tomar qualquer medida para eliminar ameaças em quarentena. Se os e-mails forem no local ou externos, o utilizador pode ser contactado para abordar o e-mail suspeito. Em alternativa, os administradores podem utilizar ferramentas de segurança/servidor de e-mail separadas para remoção. Estes e-mails podem ser identificados ao aplicar a localização de entrega = filtro externo no local no Explorer. Para e-mails falhados ou removidos, ou e-mail não acessível pelos utilizadores, não existe nenhum e-mail para mitigar, uma vez que estes e-mails não chegam à caixa de correio.

  • Registos de ações: mostra as mensagens remediadas, bem-sucedidas, falhadas, já no destino.

    O estado pode ser:

    • Iniciado: a remediação é acionada.
      • Em fila: a remediação está em fila de espera para mitigação de e-mails.
      • Em curso: a mitigação está em curso.
      • Concluída: Mitigação de todos os e-mails remediados concluída com êxito ou com algumas falhas.
      • Falha: não foram efetuadas remediações com êxito.

    Uma vez que apenas os e-mails remediados podem ser executados, a limpeza de cada e-mail é apresentada como bem-sucedida ou falhada. A partir do total de e-mails remediados, são reportadas mitigações com êxito e falhadas.

    • Êxito: a ação pretendida em e-mails remediados foi realizada. Por exemplo: um administrador quer remover e-mails de caixas de correio, pelo que o administrador toma a ação de eliminar e-mails de forma recuperável. Se não for encontrado um e-mail remediado na pasta original após a ação ser executada, o status será apresentado como bem-sucedido.

    • Falha: a ação pretendida em e-mails remediados falhou. Por exemplo: um administrador quer remover e-mails de caixas de correio, pelo que o administrador toma a ação de eliminar e-mails de forma recuperável. Se ainda for encontrado um e-mail remediado na caixa de correio após a ação ser executada, status será apresentado como com falhas.

    • Já no destino: a ação pretendida já foi efetuada no e-mail OU o e-mail já existia na localização de destino. Por exemplo: um e-mail foi eliminado de forma recuperável pelo administrador através de Explorer no primeiro dia. Em seguida, os e-mails semelhantes são apresentados no dia 2, que são novamente eliminados de forma recuperável pelo administrador. Ao selecionar estes e-mails, o administrador acaba por recolher alguns e-mails do primeiro dia que já foram eliminados de forma recuperável. Agora, estas mensagens não são executadas. Em vez disso, são apresentados como Já no destino, uma vez que não foram tomadas medidas sobre eles, uma vez que existiam na localização de destino.

    • Novo: foi adicionada uma coluna Já no destino no Registo de Ações. Esta funcionalidade utiliza a localização de entrega mais recente no Explorer para sinalizar se o e-mail já foi remediado. Já no destino ajuda as equipas de segurança a compreender o número total de mensagens que ainda precisam de ser abordadas.

As ações só podem ser efetuadas em mensagens nas pastas Caixa de Entrada, Lixo, Eliminado e Eliminado De Forma Recuperável de Explorer. Eis um exemplo de como funciona a nova coluna. Ocorre uma ação de eliminação recuperável na mensagem presente na Caixa de Entrada e, em seguida, a mensagem é processada de acordo com as políticas. Da próxima vez que for efetuada uma eliminação recuperável, esta mensagem será apresentada na coluna "Já no destino", sinalizando que não precisa de ser abordada novamente.

Selecione qualquer item no registo de ações para apresentar os detalhes da remediação. Se os detalhes mostrarem Êxito ou Não encontrado na caixa de correio, esse item já foi removido da caixa de correio. Por vezes, ocorre um erro de sistema durante a remediação. Nesses casos, é boa ideia repetir a ação de remediação.

Se precisar de remediar grandes lotes de e-mail, exporte as mensagens enviadas para remediação através da Submissão de Correio e exporte as mensagens que foram remediadas através dos Registos de Ações. O limite de exportação é aumentado para 100 000 registos.

Os administradores podem efetuar ações de remediação, como mover mensagens de e-mail para a pasta Lixo, Caixa de Entrada ou Itens eliminados e eliminar ações como eliminação recuperável ou eliminação forçada de páginas de Investigação Avançada.

O painel Investigação Avançada, Tomar Ações com a sua escolha de ações.

A remediação mitiga ameaças, resolve e-mails suspeitos e ajuda a manter uma organização segura.