Remediar e-mails maliciosos que foram entregues no Office 365
Sugestão
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Remediação significa tomar uma ação prescrita contra uma ameaça. Os e-mails maliciosos enviados para a sua organização podem ser limpos pelo sistema, através da remoção automática de zero horas (ZAP) ou pelas equipas de segurança através de ações de remediação, como mover para a caixa de entrada, mover para lixo, mover para itens eliminados, eliminação recuperável ou eliminação dura. Microsoft Defender para Office 365 Plano 2/E5 permite às equipas de segurança remediar ameaças na funcionalidade de e-mail e colaboração através de investigação manual e automatizada.
O que precisa de saber antes de começar
Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Os administradores podem tomar a ação necessária em mensagens de e-mail, mas a função Procurar e Remover é necessária para que essas ações sejam aprovadas. Para atribuir a função Procurar e Remover , tem as seguintes opções:
- Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender, não o PowerShell): operações de segurança/Dados de segurança/Email & ações avançadas de colaboração (gerir).
- Email & permissões de colaboração no portal do Microsoft Defender: Associação nos grupos de funções Gestão da Organização ou Investigador de Dados. Em alternativa, pode criar um novo grupo de funções com a função Procurar e Remover atribuída e adicionar os utilizadores ao grupo de funções personalizado.
Verifique se a Investigação Automatizada está ativada em https://security.microsoft.com/securitysettings/endpoints/integration.
Remediação manual e automatizada
A investigação manual ocorre quando as equipas de segurança identificam as ameaças manualmente através das capacidades de pesquisa e filtragem no Explorador. A remediação manual de e-mail pode ser acionada através de qualquer vista de e-mail (Software Maligno, Phish ou Todos os e-mails) depois de identificar um conjunto de e-mails que precisam de ser remediados.
As equipas de segurança podem utilizar o Explorador para selecionar e-mails de várias formas:
Escolher e-mails manualmente: utilize filtros em várias vistas. Selecione até 100 e-mails para remediar.
Seleção de consultas: selecione uma consulta inteira com o botão selecionar tudo na parte superior. A mesma consulta também é apresentada nos detalhes de submissão de correio do centro de ação. Os clientes podem submeter um máximo de 200 000 e-mails a partir do explorador de ameaças.
Seleção de consultas com exclusão: por vezes, as equipas de operações de segurança podem querer remediar e-mails ao selecionar uma consulta completa e excluir alguns e-mails da consulta manualmente. Para tal, um administrador pode utilizar a caixa de verificação Selecionar tudo e deslocar-se para baixo para excluir e-mails manualmente. A consulta pode conter um máximo de 200 000 e-mails.
Assim que os e-mails forem selecionados através do Explorador, pode iniciar a remediação ao efetuar uma ação direta ou ao colocar e-mails em fila para uma ação:
Aprovação direta: quando ações como mover para a caixa de entrada, mover para lixo, mover para itens eliminados, eliminação recuperável ou eliminação fixa são selecionadas por pessoal de segurança que tem as permissões adequadas e os passos seguintes na remediação são seguidos, o processo de remediação começa a executar a ação selecionada.
Nota
À medida que a remediação é iniciada, gera um alerta e uma investigação em paralelo. O alerta é apresentado na fila de alertas com o nome "Ação administrativa submetida por um Administrador" que sugere que o pessoal de segurança tomou a ação de remediar uma entidade. Apresenta detalhes como o nome da pessoa que efetuou a ação, ligação de apoio à investigação, hora, etc. Funciona muito bem saber sempre que uma ação dura como a remediação é executada em entidades. Todas estas ações podem ser controladas noseparador Centro de Ações& Submissões> ->Histórico (pré-visualização pública).
Aprovação de dois passos: uma ação "adicionar à remediação" pode ser tomada por administradores que não têm as permissões adequadas ou que precisam de esperar para executar a ação. Neste caso, os e-mails visados são adicionados a um contentor de remediação. A aprovação é necessária antes de a remediação ser executada.
As ações automatizadas de investigação e resposta são acionadas por alertas ou por equipas de operações de segurança do Explorador. Estas podem incluir ações de remediação recomendadas que têm de ser aprovadas por uma equipa de operações de segurança. Estas ações estão incluídas no separador Ação na investigação automatizada.
Todas as remediações (aprovações diretas) criadas no Explorador, investigação avançada ou através da Investigação automatizada são apresentadas no Centro de ação no separadorHistórico do Centro > deAções& Submissões> (https://security.microsoft.com/action-center/history).
Ações manuais com aprovação pendente com o processo de aprovação de dois passos (1. Adicione à remediação por um membro da equipa de operação de segurança, 2. Revistos e aprovados por outro membro da equipa de operação de segurança) estão visíveis no separador Centro > deAções& Submissões>Pendentes (https://security.microsoft.com/action-center/pending). Após a aprovação, ficam visíveis no separador Ações & Histórico>do Centro> de Ações ().https://security.microsoft.com/action-center/history
O Centro de Ação Unificado mostra as ações de remediação dos últimos 30 dias. As ações executadas através do Explorador são listadas pelo nome que a equipa de operações de segurança forneceu quando a remediação foi criada, bem como o ID de aprovação, ID da Investigação. As ações realizadas através de investigações automatizadas têm títulos que começam com o alerta relacionado que acionou a investigação, como o cluster de e-mail zap.
Abra qualquer item de remediação para ver detalhes sobre o mesmo, incluindo o respetivo nome de remediação, ID de aprovação, ID da Investigação, data de criação, descrição, estado, origem da ação, tipo de ação, decidido por, estado. Também abre um painel lateral com detalhes de ação, detalhes do cluster de e-mail, alertas e Detalhes do incidente.
Abra a página Investigação , esta ação abre uma Investigação de Administração que contém menos detalhes e separadores. Mostra detalhes como: alerta relacionado, entidade selecionada para remediação, ação tomada, estado de remediação, contagem de entidades, registos, aprovador de ação. Esta investigação mantém um registo da investigação feita manualmente pelo administrador e contém detalhes sobre as seleções efetuadas pelo administrador, pelo que é denominada investigação de ação de administrador. Não é necessário agir sobre a investigação e alertar o seu estado já aprovado.
Email contagem Apresenta o número de e-mails submetidos através do Explorador de Ameaças. Estes e-mails podem ser acionáveis ou não podem ser acionáveis.
Registos de ações Mostrar os detalhes dos estados de remediação, como com êxito, com falhas e já no destino.
Acionável: Email nas seguintes localizações da caixa de correio na nuvem podem ser executadas e movidas:
- Caixa de Entrada
- Lixo*
- Pasta Itens Eliminados*
- Pasta Itens Recuperáveis\Eliminações (itens eliminados de forma recuperável)*
- Quarentena
* Não disponível para itens em quarentena.
Não acionável: Email nas seguintes localizações não podem ser executadas ou movidas em ações de remediação:
- Pasta eliminada duramente
- No local/externo
- Falha/removida
- Unknown
Tipos de ações de Movimentação e Eliminação suportadas:
Mover para a pasta de lixo: move as mensagens para a pasta Email de Lixo do utilizador.
Mover para a caixa de entrada: move mensagens para a pasta Caixa de Entrada dos utilizadores.
Mover para itens eliminados: move mensagens para a pasta Itens Eliminados do utilizador.
Eliminação recuperável: elimine a mensagem da pasta Itens eliminados (ir para a pasta Itens Recuperáveis\Eliminações). A mensagem é recuperável pelo utilizador e pelos administradores.
Eliminar cópia do remetente: tente também eliminar de forma recuperável a mensagem da pasta Itens Enviados do remetente se o remetente for a organização.
Eliminação rápida: remova a mensagem eliminada. Os administradores podem recuperar itens eliminados com a recuperação de itens únicos. Para obter mais informações sobre itens eliminados e eliminados de forma recuperável, veja Itens eliminados de forma recuperável e eliminados de forma recuperável.
As mensagens suspeitas são categorizadas como remediadas ou não remediáveis. Na maioria dos casos, as mensagens remediadas e não remediáveis combinam mensagens totais submetidas. Mas em casos raros isto pode não ser verdade. Isto pode acontecer devido a atrasos no sistema, tempos limite ou mensagens expiradas. As mensagens expiram com base no período de retenção do Explorador para a sua organização.
A menos que esteja a remediar mensagens antigas após o período de retenção do Explorador da sua organização, é aconselhável repetir a remediação de itens se vir inconsistências de números. Para atrasos no sistema, as atualizações de remediação são normalmente atualizadas dentro de algumas horas.
Se o período de retenção do e-mail da sua organização no Explorer for de 30 dias e estiver a remediar e-mails que remontam há 29 a 30 dias, as contagens de submissão de correio podem nem sempre ser adicionadas. Os e-mails podem já ter começado a sair do período de retenção.
Se as remediações estiverem bloqueadas no estado "Em curso" durante algum tempo, é provável que se deva a atrasos no sistema. Pode demorar algumas horas a remediar. Poderá ver variações nas contagens de submissão de correio, uma vez que alguns dos e-mails podem não ter sido incluídos na consulta no início da remediação devido a atrasos no sistema. Recomendamos que repita a remediação nestes casos.
Nota
Para obter os melhores resultados, a remediação deve ser feita em lotes de 50 000 ou menos.
Apenas os e-mails remediados são executados durante a remediação. Os e-mails não remediáveis não podem ser remediados pelo sistema de e-mail Office 365, uma vez que não são armazenados em caixas de correio na nuvem.
Os administradores podem tomar medidas em e-mails em quarentena, se necessário, mas esses e-mails expiram fora de quarentena se não forem removidos manualmente. Por predefinição, os e-mails colocados em quarentena devido a conteúdo malicioso não são acessíveis pelos utilizadores, pelo que o pessoal de segurança não tem de tomar qualquer medida para eliminar ameaças em quarentena. Se os e-mails forem no local ou externos, o utilizador pode ser contactado para abordar o e-mail suspeito. Em alternativa, os administradores podem utilizar ferramentas de segurança/servidor de e-mail separadas para remoção. Estes e-mails podem ser identificados ao aplicar a localização de entrega = filtro externo no local no Explorador. Para e-mails falhados ou removidos, ou e-mails não acessíveis pelos utilizadores, não haverá qualquer e-mail para mitigar, uma vez que estes e-mails não chegam à caixa de correio.
Registos de ações: mostra as mensagens remediadas, bem-sucedidas, falhadas, já no destino.
O estado pode ser:
-
Iniciado: a remediação é acionada.
- Em fila: a remediação está em fila de espera para mitigação de e-mails.
- Em curso: a mitigação está em curso.
- Concluída: Mitigação de todos os e-mails remediados concluída com êxito ou com algumas falhas.
- Falha: não foram efetuadas remediações com êxito.
Uma vez que apenas os e-mails remediados podem ser executados, a limpeza de cada e-mail é apresentada como bem-sucedida ou falhada. A partir do total de e-mails remediados, são reportadas mitigações com êxito e falhadas.
Êxito: a ação pretendida em e-mails remediados foi realizada. Por exemplo: um administrador quer remover e-mails de caixas de correio, pelo que o administrador toma a ação de eliminar e-mails de forma recuperável. Se não for encontrado um e-mail remediado na pasta original após a ação ser executada, o estado será apresentado como bem-sucedido.
Falha: a ação pretendida em e-mails remediados falhou. Por exemplo: um administrador quer remover e-mails de caixas de correio, pelo que o administrador toma a ação de eliminar e-mails de forma recuperável. Se ainda for encontrado um e-mail remediado na caixa de correio após a ação ser efetuada, o estado será apresentado como com falha.
Já no destino: a ação pretendida já foi efetuada no e-mail OU o e-mail já existia na localização de destino. Por exemplo: um e-mail foi eliminado de forma recuperável pelo administrador através do Explorador no primeiro dia. Em seguida, os e-mails semelhantes são apresentados no dia 2, que são novamente eliminados de forma recuperável pelo administrador. Ao selecionar estes e-mails, o administrador acaba por recolher alguns e-mails do primeiro dia que já foram eliminados de forma recuperável. Agora, estes e-mails não serão executados novamente, apenas serão apresentados como "já no destino", uma vez que não foram tomadas medidas sobre os mesmos, uma vez que existiam na localização de destino.
Novo: foi adicionada uma coluna Já no destino no Registo de Ações. Esta funcionalidade utiliza a localização de entrega mais recente no Explorador de Ameaças para sinalizar se o e-mail já foi remediado. Já no destino ajuda as equipas de segurança a compreender o número total de mensagens que ainda precisam de ser abordadas.
-
Iniciado: a remediação é acionada.
As ações só podem ser efetuadas em mensagens nas pastas Caixa de Entrada, Lixo, Eliminado e Eliminado De Forma Recuperável do Explorador de Ameaças. Eis um exemplo de como funciona a nova coluna. Ocorre uma ação de eliminação recuperável na mensagem presente na Caixa de Entrada e, em seguida, a mensagem é processada de acordo com as políticas. Da próxima vez que for efetuada uma eliminação recuperável, esta mensagem será apresentada na coluna "Já no destino", sinalizando que não precisa de ser abordada novamente.
Selecione qualquer item no registo de ações para apresentar os detalhes da remediação. Se os detalhes indicarem "com êxito" ou "não encontrado na caixa de correio", esse item já foi removido da caixa de correio. Por vezes, ocorre um erro de sistema durante a remediação. Nesses casos, é boa ideia repetir a ação de remediação.
Em caso de remediação de grandes lotes de e-mail, exporte as mensagens enviadas para remediação através da Submissão de Correio e as mensagens que foram remediadas através dos Registos de Ações. O limite de exportação é aumentado para 100 000 registos.
Os administradores podem efetuar ações de remediação, como mover mensagens de e-mail para a pasta Lixo, Caixa de Entrada ou Itens eliminados e eliminar ações como eliminação recuperável ou eliminação forçada de páginas de Investigação Avançada.
A remediação mitiga ameaças, resolve e-mails suspeitos e ajuda a manter uma organização segura.