Поделиться через


Устранение вредоносных писем, доставленных в Office 365

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Исправление означает принятие предписанных действий против угрозы. Вредоносные сообщения электронной почты, отправленные в организацию, могут быть очищены системой, с помощью автоматической очистки нулевого часа (ZAP) или группами безопасности с помощью действий по исправлению, таких как перемещение в папку "Входящие", перемещение в нежелательную папку, перемещение к удаленным элементам, обратимое удаление или жесткое удаление. Microsoft Defender для Office 365 план 2/E5 позволяет группам безопасности устранять угрозы в функциях электронной почты и совместной работы с помощью ручного и автоматического исследования.

Что нужно знать перед началом работы

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Администраторы могут выполнять необходимые действия с сообщениями электронной почты, но для утверждения этих действий требуется роль поиска и очистки . Чтобы назначить роль "Поиск и очистка ", можно выбрать следующие варианты:

  • Убедитесь, что автоматическое исследование включено в .https://security.microsoft.com/securitysettings/endpoints/integration

Ручное и автоматическое исправление

Поиск вручную происходит, когда группы безопасности вручную определяют угрозы с помощью возможностей поиска и фильтрации в Обозреватель. Исправление электронной почты вручную можно активировать с помощью любого представления электронной почты (вредоносные программы, фишинг или все сообщения электронной почты) после того, как вы определите набор сообщений электронной почты, которые необходимо исправить.

Снимок экрана: охота вручную в Office 365 Обозреватель по дате.

Группы безопасности могут использовать Обозреватель для выбора сообщений электронной почты несколькими способами:

  • Выбор сообщений электронной почты вручную. Используйте фильтры в различных представлениях. Выберите до 100 сообщений электронной почты для исправления.

  • Выбор запроса. Выберите весь запрос с помощью верхней кнопки выбрать все . Тот же запрос также отображается в сведениях об отправке почты в центре уведомлений. Клиенты могут отправить не более 200 000 сообщений электронной почты из обозревателя угроз.

  • Выбор запроса с исключением. Иногда группам по операциям безопасности может потребоваться исправить сообщения электронной почты, выбрав весь запрос и исключив определенные сообщения из запроса вручную. Для этого администратор может использовать поле Выбрать все проверка и прокрутите вниз, чтобы исключить сообщения электронной почты вручную. Запрос может содержать не более 200 000 сообщений электронной почты.

После выбора сообщений электронной почты с помощью Обозреватель можно приступить к исправлению, выполнив прямое действие или вставив в очередь сообщения электронной почты для действия:

  • Прямое утверждение. Если сотрудники службы безопасности с соответствующими разрешениями выбирают такие действия, как перемещение в папку "Входящие", "Нежелательные", "Перемещение в папку "Входящие", " Нежелательные", "Перемещение к удаленным элементам", " Обратимое удаление" или "Жесткое удаление ", и выполняются следующие шаги по исправлению, процесс исправления начинается для выполнения выбранного действия.

    Примечание.

    По мере запуска исправления он создает оповещение и параллельное исследование. Оповещение отображается в очереди оповещений с именем "Административное действие, отправленное администратором", что указывает на то, что сотрудники службы безопасности предприняли действия по исправлению сущности. В нем представлены такие сведения, как имя человека, выполнившего действие, ссылка на вспомогательное исследование, время и т. д. Это работает очень хорошо, чтобы знать каждый раз, когда жесткие действия, такие как исправление, выполняются на сущностях. Все эти действия можно отслеживать на вкладке "Действия & отправки>" ->"Журнал" (общедоступная предварительная версия).

  • Двухфакторное утверждение. Действие "добавить в исправление" может быть выполнено администраторами, которые не имеют соответствующих разрешений или которым нужно дождаться выполнения действия. В этом случае целевые сообщения электронной почты добавляются в контейнер исправления. До выполнения исправления требуется утверждение.

Автоматическое исследование и реагирование активируются оповещениями или командами по операциям безопасности из Обозреватель. К ним могут относиться рекомендуемые действия по исправлению, которые должны быть утверждены группой по операциям безопасности. Эти действия включаются на вкладку Действие в автоматизированном исследовании.

Email с вредоносными программами на странице Zapped с указанием времени выполнения ZAP.

Все исправления (прямые утверждения), созданные в Обозреватель, расширенной охоте или с помощью автоматического исследования, отображаются в центре уведомлений на вкладке "Действия & отправки>>" (https://security.microsoft.com/action-center/history).

Действия, ожидающие утверждения вручную с помощью двухфакторного процесса утверждения (1. Добавьте к исправлению одним участником группы операций безопасности 2. Просмотренные и утвержденные другим участником группы операций по обеспечению безопасности) отображаются на вкладке Действия & отправкив>ожидании> (https://security.microsoft.com/action-center/pending). После утверждения они отображаются на вкладке "Действия & отправки>""Журналцентра> уведомлений" (https://security.microsoft.com/action-center/history).

В едином центре уведомлений отображаются действия по исправлению за 30 дней.

Единый центр уведомлений отображает действия по исправлению за последние 30 дней. Действия, выполняемые с помощью Обозреватель, перечислены по имени, которое группа по операциям безопасности предоставила при создании исправления, а также по идентификатору утверждения, идентификатору исследования. Действия, выполняемые с помощью автоматизированных расследований, начинаются с соответствующего оповещения, которое активировало расследование, например в кластере электронной почты Zap.

Откройте любой элемент исправления, чтобы просмотреть сведения о нем, включая его имя исправления, идентификатор утверждения, идентификатор исследования, дату создания, описание, состояние, источник действия, тип действия, определяемый, состояние. Кроме того, откроется боковая панель со сведениями о действиях, сведениями о кластере электронной почты, оповещением и сведениями об инциденте.

  • Откройте страницу "Исследование ", откроется административное исследование, содержащее меньше сведений и вкладок. Здесь отображаются такие сведения, как связанное оповещение, сущность, выбранная для исправления, предпринятая мера, состояние исправления, количество сущностей, журналы, утверждающее действие. Это исследование отслеживает расследование, выполняемое администратором вручную, и содержит сведения о выборах, сделанных администратором, поэтому называется исследованием действий администратора. Не нужно действовать в ходе расследования и оповещать его уже в утвержденном состоянии.

  • Email счетчик Отображает количество сообщений электронной почты, отправленных через Обозреватель угроз. Эти сообщения электронной почты могут быть практическими или недопустимыми.

  • Журналы действий Отображение сведений о состояниях исправления, таких как успешно, сбой и уже в назначении.

    Открыт центр уведомлений с параметром Переместить в папку

    • Действия: Email в следующих расположениях облачных почтовых ящиков можно использовать и перемещать:

      • Inbox;
      • Нежелательное*
      • папка "Удаленные"*
      • Элементы с возможностью восстановления\Папка удаления (обратимо удаленные элементы)*
      • Карантин

      * Недоступно для элементов, помещенных в карантин.

    • Не допускается действие: Email в следующих расположениях не могут выполняться или перемещаться в действиях по исправлению:

      • Жестко удаленная папка
      • Локальная или внешняя среда
      • Сбой или удаление
      • Unknown
    • Поддерживаемые типы действий перемещения и удаления:

      • Переместить в папку нежелательной почты. Перемещает сообщения в папку нежелательной Email пользователя.

      • Переместить в папку "Входящие". Перемещает сообщения в папку "Входящие" для пользователей.

      • Перемещение к удаленным элементам. Перемещает сообщения в папку "Удаленные" пользователя.

      • Обратимое удаление. Удалите сообщение из папки "Удаленные" (перейдите в папку "Элементы с возможностью восстановления\удаления"). Сообщение может быть восстановлено пользователем и администраторами.

        Удалить копию отправителя. Кроме того, попробуйте обратимо удалить сообщение из папки Отправленные, если отправитель является организацией.

      • Жесткое удаление: очистка удаленного сообщения. Администраторы могут восстанавливать жестко удаленные элементы с помощью восстановления с одним элементом. Дополнительные сведения о жестко удаленных и обратимо удаленных элементах см. в разделе Обратимо удаленные и жестко удаленные элементы.

    Подозрительные сообщения классифицируются как исправленные или невосприимчивые. В большинстве случаев исправление и невосприимываемые сообщения объединены в сумме, равно общему объему отправленных сообщений. Но в редких случаях это может быть не так. Это может произойти из-за системных задержек, времени ожидания или сообщений с истекшим сроком действия. Срок действия сообщений зависит от срока хранения Обозреватель для вашей организации.

    Если вы не исправите старые сообщения после Обозреватель периода хранения в вашей организации, рекомендуется повторить исправление элементов, если вы видите количество несоответствий. В случае системных задержек обновления исправления обычно обновляются в течение нескольких часов.

    Если в вашей организации срок хранения электронной почты в Обозреватель составляет 30 дней, а вы исправляете электронные письма с 29 по 30 дней, количество отправки почты может не всегда сложиться. Возможно, сообщения электронной почты уже начали переходить за пределы срока хранения.

    Если исправления некоторое время зависают в состоянии "Выполняется", это, скорее всего, связано с задержками системы. На исправление может потребоваться до нескольких часов. Вы можете увидеть изменения в количестве отправленных сообщений, так как некоторые сообщения электронной почты не были включены в запрос в начале исправления из-за задержек в системе. В таких случаях рекомендуется повторить исправление.

    Примечание.

    Для достижения наилучших результатов исправление должно выполняться пакетами из 50 000 или менее.

    Во время исправления обрабатываются только сообщения электронной почты с возможностью исправления. Нересредируемые сообщения электронной почты не могут быть исправлены системой электронной почты Office 365, так как они не хранятся в облачных почтовых ящиках.

    При необходимости администраторы могут выполнять действия с письмами в карантине, но срок действия этих сообщений истекает из карантина, если они не очищены вручную. По умолчанию сообщения электронной почты, помещенные в карантин из-за вредоносного содержимого, недоступны пользователям, поэтому сотрудникам службы безопасности не нужно предпринимать никаких действий, чтобы избавиться от угроз в карантине. Если сообщения электронной почты являются локальными или внешними, с пользователем можно связаться, чтобы связаться с подозрительным письмом. Кроме того, администраторы могут использовать отдельный сервер электронной почты или средства безопасности для удаления. Эти сообщения электронной почты можно определить, применив расположение доставки = локальный внешний фильтр в Обозреватель. Если сообщение электронной почты завершилось ошибкой, удалено или недоступно для пользователей, не будет сообщений электронной почты, которые нужно устранить, так как эти сообщения не доходят до почтового ящика.

  • Журналы действий. Здесь отображаются сообщения, исправленные, успешно, сбои, уже в назначении.

    Состояние может быть следующим:

    • Запущено: активируется исправление.
      • В очереди. Исправление ставится в очередь для устранения неполадок электронной почты.
      • Выполняется: выполняется устранение рисков.
      • Завершено: устранение неполадок для всех сообщений электронной почты, которые можно исправить, успешно завершены или с некоторыми сбоями.
      • Сбой: исправление не выполнено.

    Так как можно действовать только с сообщениями электронной почты с возможностью исправления, очистка каждого сообщения отображается как успешная или сбойная. Из общего числа исправлений сообщений электронной почты сообщается об успешных и неудачных мерах по устранению рисков.

    • Успешно. Выполнено требуемое действие по исправлению сообщений электронной почты. Например: администратор хочет удалить сообщения из почтовых ящиков, поэтому администратор принимает меры обратимого удаления сообщений. Если после выполнения действия сообщение электронной почты с возможностью исправления не найдено в исходной папке, состояние будет отображаться как успешное.

    • Сбой: не удалось выполнить требуемое действие для сообщений электронной почты, которые можно исправить. Например: администратор хочет удалить сообщения из почтовых ящиков, поэтому администратор принимает меры обратимого удаления сообщений. Если после выполнения действия в почтовом ящике по-прежнему найдено исправленное сообщение, состояние будет отображаться как сбой.

    • Уже в месте назначения: нужное действие уже было выполнено в адресе электронной почты или сообщение электронной почты уже существует в целевом расположении. Например: сообщение электронной почты было обратимо удалено администратором через Обозреватель в первый день. Затем аналогичные сообщения электронной почты отображаются на 2-й день, которые снова обратимо удаляются администратором. При выборе этих сообщений электронной почты администратор в конечном итоге забирает некоторые сообщения электронной почты с первого дня, которые уже обратимо удалены. Теперь эти сообщения электронной почты не будут выполняться снова, они просто будут отображаться как "уже в месте назначения", так как никаких действий с ними не было предпринят, так как они существовали в расположении назначения.

    • Новое. В журнал действий добавлен столбец Уже в назначении . Эта функция использует последнее расположение доставки в Обозреватель угроз, чтобы сообщить, что почта уже исправлена. Уже в месте назначения помогает группам безопасности понять общее количество сообщений, которые по-прежнему необходимо адресовать.

Действия можно выполнять только с сообщениями в папках "Входящие", "Нежелательная почта", "Удаленные" и "Обратимо удаленные" Обозреватель. Ниже приведен пример работы нового столбца. Действие обратимого удаления выполняется для сообщения, присутствующих в папке "Входящие", а затем сообщение обрабатывается в соответствии с политиками. При следующем выполнении обратимого удаления это сообщение будет отображаться под столбцом "Уже в назначении", сигналив о том, что его не нужно обращаться повторно.

Выберите любой элемент в журнале действий, чтобы отобразить сведения об исправлении. Если в сведениях указано "успешно" или "не найдено в почтовом ящике", этот элемент уже был удален из почтового ящика. Иногда во время исправления возникает системная ошибка. В таких случаях рекомендуется повторить действие по исправлению.

В случае исправления больших пакетов сообщений электронной почты экспортируйте сообщения, отправленные для исправления с помощью отправки почты, и сообщения, исправленные с помощью журналов действий. Ограничение на экспорт увеличено до 100 000 записей.

Администраторы могут выполнять действия по исправлению, например перемещать сообщения электронной почты в папку "Нежелательная почта", папку "Входящие" или "Удаленные", а также удалять такие действия, как обратимое или жесткое удаление со страниц "Расширенная охота".

Панель Advanced Hunting, Take Actions (Расширенная охота, выполнение действий) с выбранными действиями.

Исправление устраняет угрозы, отправляет подозрительные сообщения электронной почты и помогает обеспечить безопасность организации.