Dela via


Åtgärda skadlig e-post som levereras i Office 365

Tips

Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

Reparation innebär att vidta en föreskriven åtgärd mot ett hot. Skadlig e-post som skickas till din organisation kan rensas av systemet, via automatisk rensning utan timme (ZAP) eller av säkerhetsteam genom åtgärder som att flytta till inkorgen, flytta till skräp, flytta till borttagna objekt, mjuk borttagning eller hård borttagning. Microsoft Defender för Office 365 plan 2/E5 gör det möjligt för säkerhetsteam att åtgärda hot i e-post- och samarbetsfunktioner genom manuell och automatiserad undersökning.

Vad du behöver veta innan du börjar

  • Det finns begränsningsgränser för storskaliga åtgärder som bidrar till att säkerställa stabilitet och prestanda för tjänsten:

    • Organisationsgränser: Det maximala antalet aktiva, samtidiga e-postreparationer är 50. När gränsen har nåtts utlöses inga nya åtgärder förrän vissa åtgärder har slutförts.
    • Email meddelandebegränsningar: Om en aktiv reparation omfattar mer än en miljon e-postmeddelanden tillåts inga nya e-postreparationer.
    • Mottagarkrav i reparation:
      • Den totala procentandelen valda mottagare måste vara minst 40 % av det totala antalet e-postmeddelanden i reparationen. Om ett e-postmeddelande till exempel skickas till fem mottagare räknar Explorer (Threat Explorer) det som fem e-postmeddelanden. Om reparationen kräver borttagning av 5 000 e-postmeddelanden måste reparationen riktas mot minst 2 000 mottagare.
      • Om antalet mottagare är mindre än 40 % av det totala antalet e-postmeddelanden kan reparationen inte användas för att ta bort fler än 1 000 meddelanden som har skickats till en enda mottagare.
  • Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Administratörer kan vidta nödvändiga åtgärder för e-postmeddelanden, men rollen Sök och Rensa krävs för att dessa åtgärder ska godkännas. Om du vill tilldela sök- och rensningsrollen har du följande alternativ:

  • Kontrollera att Automatisk undersökning är aktiverat på https://security.microsoft.com/securitysettings/endpoints/integration.

Manuell och automatiserad reparation

Manuell jakt sker när säkerhetsteam identifierar hot manuellt med hjälp av sök- och filtreringsfunktionerna i Explorer (Threat Explorer). Manuell e-postreparation kan utlösas via valfri e-postvy (skadlig kod, nätfiske eller all e-post) när du har identifierat en uppsättning e-postmeddelanden som behöver åtgärdas.

Skärmbild av manuell jakt i Explorer (Threat Explorer) efter datum.

Säkerhetsteam kan använda Explorer för att välja e-post på flera sätt:

  • Välj e-post för hand: Använd filter i olika vyer. Välj upp till 100 e-postmeddelanden för att åtgärda problemet.

  • Frågeval: Välj en hel fråga med hjälp av knappen Markera alla högst upp. Samma fråga visas också i information om e-postöverföring i Åtgärdscenter. Kunder kan skicka högst 200 000 e-postmeddelanden från Explorer.

  • Frågeval med undantag: Ibland kan säkerhetsåtgärdsteam vilja åtgärda e-postmeddelanden genom att välja en hel fråga och exkludera vissa e-postmeddelanden från frågan manuellt. För att göra det kan en administratör använda kryssrutan Markera alla och rulla ned för att exkludera e-postmeddelanden manuellt. Frågan kan innehålla högst 200 000 e-postmeddelanden.

När e-postmeddelanden har valts via Explorer kan du starta reparationen genom att vidta direkta åtgärder eller genom att köa e-postmeddelanden för en åtgärd:

  • Direkt godkännande: När åtgärder som att flytta till inkorgen, flytta till skräppost, flytta till borttagna objekt, mjuk borttagning eller hård borttagning väljs av säkerhetspersonal som har lämpliga behörigheter, och nästa steg i reparationen följs, börjar reparationsprocessen att köra den valda åtgärden.

    Obs!

    När reparationen startas genereras en avisering och en undersökning parallellt. Aviseringen visas i aviseringskön med namnet "Administrativ åtgärd som skickats av en administratör" som tyder på att säkerhetspersonalen vidtog åtgärden att åtgärda en entitet. Den visar information som namnet på den person som utförde åtgärden, stöd för undersökningslänk, tid osv. Det fungerar riktigt bra att veta varje gång en hård åtgärd som reparation utförs på entiteter. Alla dessa åtgärder kan spåras underflikenÅtgärder & Åtgärdscenter> för inlämningar > (offentlig förhandsversion).

  • Tvåstegsgodkännande: En åtgärd för att lägga till i reparation kan vidtas av administratörer som inte har rätt behörighet eller som behöver vänta med att utföra åtgärden. I det här fallet läggs riktade e-postmeddelanden till i en reparationscontainer. Godkännande krävs innan reparationen körs.

Automatiserade undersöknings- och svarsåtgärder utlöses av aviseringar eller av säkerhetsåtgärdsteam från Explorer. Dessa resultat kan omfatta rekommenderade åtgärder som måste godkännas av ett säkerhetsåtgärdsteam. De här åtgärderna ingår på fliken Åtgärd i den automatiserade undersökningen.

Email med skadlig kod på Zapped-sidan som visar tiden för ZAP-körning.

Alla åtgärder (direkta godkännanden) som skapats i Utforskaren, Avancerad jakt eller genom automatiserad undersökning visas i åtgärdscentret på fliken Åtgärder &Historik föråtgärdscenter>för inlämningar> (https://security.microsoft.com/action-center/history).

Manuella åtgärder som väntar på godkännande med hjälp av godkännandeprocessen i två steg (som lagts till i reparationen av en medlem i säkerhetsåtgärdsgruppen och granskats och godkänts av en annan medlem i säkerhetsåtgärdsgruppen) visas på fliken Åtgärder &Åtgärdscenter>förinlämningar> (https://security.microsoft.com/action-center/pending). Efter godkännandet visas de på fliken Åtgärder &Historik för överföringsåtgärdscenter>> (https://security.microsoft.com/action-center/history).

Det enhetliga åtgärdscentret visar 30 dagars åtgärdsåtgärder.

Unified Action Center visar reparationsåtgärder för de senaste 30 dagarna. Åtgärder som vidtas via Explorer visas med det namn som säkerhetsåtgärdsteamet angav när reparationen skapades samt godkännande-ID, undersöknings-ID. Åtgärder som vidtas via automatiserade undersökningar har rubriker som börjar med den relaterade aviseringen som utlöste undersökningen, till exempel Zap-e-postkluster.

Öppna alla reparationsobjekt för att visa information om det, inklusive dess reparationsnamn, godkännande-ID, undersöknings-ID, skapandedatum, beskrivning, status, åtgärdskälla, åtgärdstyp, bestäms av, status. Den öppnar också en sidoruta med åtgärdsinformation, information om e-postkluster, avisering och incidentinformation.

  • Öppna undersökningssidan: Öppnar en administratörsundersökning som innehåller färre detaljer och flikar. Den visar information som: relaterad avisering, entitet som valts för reparation, åtgärdsstatus, entitetsantal, loggar och godkännare av åtgärden. Spårar en undersökning manuellt som utförts av administratören manuellt och innehåller information om val som gjorts av administratören. Det finns inget behov av att agera på undersökningen och aviseringen (den är redan i tillståndet Godkänd).

  • Email antal: Visar antalet e-postmeddelanden som skickas via Explorer. Dessa meddelanden kan vara åtgärdsbara eller inte åtgärdsbara.

  • Åtgärdsloggar: Visar information om reparationsstatus som lyckad, misslyckad och redan i målet.

    Åtgärdscenter med alternativet Flytta till inkorg öppen.

    • Åtgärdsbar: Email på följande platser för molnpostlådor kan åtgärdas och flyttas:

      • Inkorg
      • Skräp*
      • Mappen Borttagna objekt*
      • Mappen Återställningsbara objekt\Borttagningar (mjukt borttagna objekt)*
      • Karantän

      * Inte tillgängligt för objekt i karantän.

    • Kan inte åtgärdas: Email på följande platser kan inte åtgärdas eller flyttas i reparationsåtgärder:

      • Hårt borttagen mapp
      • Lokalt/externt
      • Misslyckades/släpptes
      • Okänd
    • Typer av flytt- och borttagningsåtgärder som stöds:

      • Flytta till skräppostmapp: Flyttar meddelanden till användarens skräppostmapp Email.

      • Flytta till inkorgen: Flyttar meddelanden till användarnas inkorgsmapp.

      • Flytta till borttagna objekt: Flyttar meddelanden till användarens mapp Borttaget.

      • Mjuk borttagning: Ta bort meddelandet från mappen Borttaget (flytta till mappen Återställningsbara objekt\Borttagningar). Meddelandet kan återställas av användaren och administratörerna.

        Ta bort avsändarens kopia: Försök också att mjukt ta bort meddelandet från avsändarens mapp Skickat om avsändaren är organisationen.

      • Hård borttagning: Rensa det borttagna meddelandet. Administratörer kan återställa hårt borttagna objekt med hjälp av enstaka objektåterställning. Mer information om hårt borttagna och mjukt borttagna objekt finns i Mjukt borttagna och hårt borttagna objekt.

    Obs!

    I amerikanska myndighetsorganisationer (Microsoft 365 GCC, GCC High och DoD) kan administratörer vidta åtgärderna Mjuk borttagning, Flytta till skräppostmapp, Flytta till borttagna objekt, Hård borttagning och Flytta till inkorgen. Åtgärderna Ta bort avsändarens kopia och Flytta till inkorgen från karantänmappen är inte tillgängliga.

    Misstänkta meddelanden kategoriseras som antingen reparationsbara eller icke-omedelbart. I de flesta fall är det totala antalet reparationsbara och icke-omedelbart skickade meddelanden lika med det totala antalet meddelanden som skickas. Men summorna kanske inte matchar på grund av systemförseningar, tidsgränser eller utgångna meddelanden. Meddelanden upphör att gälla baserat på kvarhållningsperioden för Utforskaren för din organisation.

    Om du inte åtgärdar gamla meddelanden efter kvarhållningsperioden för utforskaren i din organisation rekommenderar vi att du försöker åtgärda objekten igen om du ser inkonsekvenser i antalet. Vid systemfördröjningar uppdateras vanligtvis reparationsuppdateringar inom några timmar.

    Om organisationens kvarhållningsperiod för e-post i Explorer är 30 dagar och du åtgärdar e-postmeddelanden som går tillbaka 29–30 dagar kanske antalet e-postmeddelanden inte alltid summeras. E-postmeddelandena kan redan ha börjat flyttas från kvarhållningsperioden.

    Om reparationen har fastnat i tillståndet "Pågår" ett tag beror det sannolikt på systemförseningar. Det kan ta upp till några timmar att åtgärda problemet. Du kan se variationer i antalet e-postöverföringar eftersom vissa e-postmeddelanden kanske inte har inkluderats i frågan i början av reparationen på grund av systemförseningar. Det är en bra idé att försöka åtgärda igen i sådana fall.

    Tips

    För bästa resultat bör reparation utföras i batchar om 50 000 eller färre.

    Endast åtgärdsbara e-postmeddelanden åtgärdas under reparationen. Icke-omedelbar e-post kan inte åtgärdas av Microsoft 365. De lagras inte i molnpostlådor.

    Administratörer kan vidta åtgärder för e-postmeddelanden i karantän om det behövs, men dessa e-postmeddelanden upphör att gälla i karantän om de inte rensas manuellt. Som standard är e-postmeddelanden i karantän på grund av skadligt innehåll som inte är tillgängliga för användare, så säkerhetspersonal behöver inte vidta några åtgärder för att bli av med hot i karantän. Om e-postmeddelandena är lokala eller externa kan användaren kontaktas för att adressera det misstänkta e-postmeddelandet. Eller så kan administratörerna använda separata e-postservrar/säkerhetsverktyg för borttagning. Dessa e-postmeddelanden kan identifieras genom att tillämpa leveransplatsen = lokalt externt filter i Explorer. För misslyckad eller borttagen e-post, eller e-post som inte är tillgänglig för användare, finns det inget e-postmeddelande att åtgärda, eftersom dessa e-postmeddelanden inte når postlådan.

  • Åtgärdsloggar: Visar meddelandena reparerade, lyckade, misslyckade, som redan finns i målet.

    Status kan vara:

    • Startat: Reparationen utlöses.
      • I kö: Reparationen har placerats i kö för att minska antalet e-postmeddelanden.
      • Pågår: Åtgärder pågår.
      • Slutförd: Åtgärd för alla åtgärdsbara e-postmeddelanden som antingen har slutförts eller med vissa fel.
      • Misslyckades: Inga åtgärder lyckades.

    Eftersom endast åtgärdsbara e-postmeddelanden kan åtgärdas visas rensningen av varje e-postmeddelande som lyckad eller misslyckad. Från de totala åtgärdsbara e-postmeddelandena rapporteras lyckade och misslyckade åtgärder.

    • Lyckades: Den önskade åtgärden för åtgärdsbara e-postmeddelanden utfördes. Till exempel: En administratör vill ta bort e-postmeddelanden från postlådor, så att administratören vidtar åtgärder för mjuk borttagning av e-postmeddelanden. Om ett åtgärdsbart e-postmeddelande inte hittas i den ursprungliga mappen när åtgärden har vidtagits visas statusen som lyckad.

    • Fel: Den önskade åtgärden för åtgärdsbara e-postmeddelanden misslyckades. Till exempel: En administratör vill ta bort e-postmeddelanden från postlådor, så att administratören vidtar åtgärder för mjuk borttagning av e-postmeddelanden. Om ett åtgärdsbart e-postmeddelande fortfarande hittas i postlådan när åtgärden har vidtagits visas statusen som misslyckad.

    • Redan i målet: Den önskade åtgärden har redan vidtagits på e-postmeddelandet eller så fanns e-postmeddelandet redan på målplatsen. Till exempel: Ett e-postmeddelande togs bort mjukt av administratören via Utforskaren dag ett. Sedan visas liknande e-postmeddelanden dag 2, som återigen tas bort mjukt av administratören. När du väljer dessa e-postmeddelanden hämtar administratören några e-postmeddelanden från dag ett som redan är mjukt borttagna. Nu åtgärdas inte dessa meddelanden. I stället visas de som Redan i målet, eftersom ingen åtgärd vidtogs på dem eftersom de fanns på målplatsen.

    • Ny: En redan i målkolumn har lagts till i åtgärdsloggen. Den här funktionen använder den senaste leveransplatsen i Explorer för att signalera om e-postmeddelandet redan har åtgärdats. Redan i målet hjälper säkerhetsteamen att förstå det totala antalet meddelanden som fortfarande behöver åtgärdas.

Åtgärder kan endast vidtas på meddelanden i mapparna Inkorgen, Skräppost, Borttaget och Mjukt borttaget i Utforskaren. Här är ett exempel på hur den nya kolumnen fungerar. En åtgärd för mjuk borttagning sker i meddelandet som finns i inkorgen och sedan hanteras meddelandet enligt principer. Nästa gång en mjuk borttagning utförs visas det här meddelandet under kolumnen "Redan i målet" som signalerar att det inte behöver åtgärdas igen.

Välj ett objekt i åtgärdsloggen för att visa reparationsinformation. Om informationen visar Lyckades eller Hittades inte i postlådan har objektet redan tagits bort från postlådan. Ibland uppstår ett systemfel under reparationen. I dessa fall är det en bra idé att försöka utföra reparationsåtgärden igen.

Om du behöver åtgärda stora batchar med e-post exporterar du de meddelanden som skickas för reparation via e-postöverföring och exporterar meddelanden som har åtgärdats via åtgärdsloggar. Exportgränsen ökas till 100 000 poster.

Administratörer kan vidta åtgärder som att flytta e-postmeddelanden till mappen Skräppost, Inkorgen eller Borttagna objekt och ta bort åtgärder som mjuk borttagning eller hård borttagning från sidorna Avancerad jakt.

Panelen Avancerad jakt, vidta åtgärder med val av åtgärder.

Reparation minskar hot, åtgärdar misstänkta e-postmeddelanden och hjälper till att skydda en organisation.