修正在 Office 365 中传递的恶意电子邮件
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
修正是指针对威胁采取规定的操作。 发送到组织的恶意电子邮件可由系统、零小时自动清除 (ZAP) ,或安全团队通过修正操作(如 移动到收件箱、 移动到垃圾邮件、 移动到已删除的项目、 软删除或 硬删除)进行清理。 Microsoft Defender for Office 365计划 2/E5 使安全团队能够通过手动和自动调查来修正电子邮件和协作功能中的威胁。
开始之前需要了解的内容
需要先分配权限,然后才能执行本文中的过程。 管理员可以对电子邮件执行所需的操作,但需要 “搜索和清除” 角色才能获得这些操作的批准。 若要分配 “搜索和清除” 角色,可以使用以下选项:
- Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不会影响 PowerShell) :安全操作/安全数据/Email &协作高级操作 (管理) 。
- Email & Microsoft Defender门户中的协作权限:组织管理或数据调查员角色组中的成员身份。 或者,可以 创建分配 有 “搜索”和“清除 ”角色的新角色组,并将用户添加到自定义角色组。
验证是否在 https://security.microsoft.com/securitysettings/endpoints/integration中启用了自动调查。
手动和自动修正
当安全团队使用资源管理器中的搜索和筛选功能手动识别威胁时,将发生手动搜寻。 识别需要修正的一组电子邮件后,可以通过任何电子邮件视图 (恶意软件、 网络钓鱼或 所有电子邮件) 触发手动电子邮件修正。
安全团队可以通过多种方式使用资源管理器选择电子邮件:
手动选择电子邮件:在各种视图中使用筛选器。 最多选择要修正的 100 封电子邮件。
查询选择:使用顶部的“ 全选 ”按钮选择整个查询。 操作中心邮件提交详细信息中也显示了相同的查询。 客户最多可以从威胁资源管理器提交 200,000 封电子邮件。
包含排除项的查询选择:有时,安全运营团队可能希望通过选择整个查询并从查询中手动排除某些电子邮件来修正电子邮件。 为此,管理员可以使用“选择所有检查”框并向下滚动以手动排除电子邮件。 查询最多可保存 200,000 封电子邮件。
通过资源管理器选择电子邮件后,可以通过采取直接操作或排队电子邮件来开始修正操作:
直接批准:当具有适当权限的安全人员选择“ 移动到收件箱”、“ 移动到垃圾邮件”、“ 移动到已删除的项目”、“ 软删除”或 “硬删除” 等操作时,并遵循修正中的后续步骤时,修正过程将开始执行所选操作。
注意
随着修正的启动,它会同时生成警报和调查。 警报显示在警报队列中,名称为“管理员提交的管理操作”,表明安全人员采取了修正实体的操作。 它提供详细信息,例如执行操作的人员的姓名、支持调查链接、时间等。每次对实体执行严厉操作(如修正)时,它非常有效。 所有这些操作都可以在 “操作 & 提交>操作中心 ->历史记录”选项卡 (公共预览版) 下进行跟踪。
双重审批:没有适当权限或需要等待执行操作的管理员可以执行“添加到修正”操作。 在这种情况下,目标电子邮件将添加到修正容器。 在执行修正之前,需要批准。
自动调查和响应 操作由警报或安全运营团队从资源管理器触发。 这些操作可能包括建议的修正操作,这些操作必须由安全运营团队批准。 这些操作包含在自动调查的“ 操作 ”选项卡上。
在资源管理器、高级搜寻或通过自动调查中创建的所有修正 (直接审批) 显示在操作中心的 “操作 & 提交>操作中心>历史记录 ”选项卡 (https://security.microsoft.com/action-center/history) 。
使用双重审批流程 (1 执行等待审批的手动操作。由一个安全操作团队成员 2 添加到修正。在“操作 & 提交>操作中心>”选项卡 (“) ”中,可以看到其他安全操作团队成员审阅https://security.microsoft.com/action-center/pending 和批准的) 。 审批后,它们将显示在 “操作 & 提交>操作中心>历史记录 ”选项卡上, https://security.microsoft.com/action-center/history () 。
统一操作中心显示过去 30 天的修正操作。 通过资源管理器执行的操作按创建修正时提供的名称以及审批 ID、调查 ID 列出。通过自动调查执行的操作的标题以触发调查的相关警报开头,例如 Zap 电子邮件群集。
打开任何修正项目以查看其详细信息,包括其修正名称、审批 ID、调查 ID、创建日期、说明、状态、操作源、操作类型、决定者、状态。 它还会打开一个侧窗格,其中包含操作详细信息、电子邮件群集详细信息、警报和事件详细信息。
打开“调查”页 会打开包含较少详细信息和选项卡的管理员调查。 它显示详细信息,例如:相关警报、为修正选择的实体、执行的操作、修正状态、实体计数、日志、操作审批者。 此调查跟踪管理员手动完成的调查,并包含管理员所做的选择的详细信息,因此称为管理员操作调查。 无需对调查采取行动,并提醒其已处于已批准状态。
Email计数 显示通过威胁资源管理器提交的电子邮件数。 这些电子邮件可以是可操作的,也可以是不可操作的。
操作日志 显示修正状态的详细信息,例如成功、失败和已在目标中。
可操作:可以处理和移动以下云邮箱位置中的Email:
- Inbox
- 垃圾*
- “已删除邮件”文件夹*
- 可恢复的项目\Deletes 文件夹 (软删除的项目) *
- Quarantine
* 不适用于隔离项。
不可操作:以下位置的Email不能在修正操作中执行或移动:
- 硬删除文件夹
- 本地/外部
- 失败/已删除
- 未知
支持的移动和删除操作类型:
移动到垃圾邮件文件夹:将邮件移动到用户的垃圾邮件Email文件夹。
移动到收件箱:将邮件移动到用户收件箱文件夹。
移动到已删除的项目:将邮件移动到用户的“已删除邮件”文件夹。
软删除:从“已删除邮件”文件夹中删除邮件, (移动到“可恢复的项目”\“删除”文件夹) 。 用户和管理员可恢复该消息。
删除发件人的副本:如果发件人是组织,则尝试从发件人的“已发送邮件”文件夹中软删除邮件。
硬删除:清除已删除的邮件。 管理员可以使用单项恢复来恢复硬删除的项。 有关硬删除项和软删除项的详细信息,请参阅 软删除项和硬删除项。
可疑邮件分为可修复或不可修复。 在大多数情况下,可修复消息和不可修复消息的组合等于提交的消息总数。 但在极少数情况下,这可能不是真的。 出现这种情况的原因可能是系统延迟、超时或消息已过期。 消息根据组织的资源管理器保留期过期。
除非在组织的资源管理器保留期之后修正旧邮件,否则如果发现数量不一致,建议重试修正项目。 对于系统延迟,修正更新通常在几个小时内刷新。
如果你的组织在资源管理器中对电子邮件的保留期为 30 天,而你正在修正的电子邮件可追溯到 29-30 天,则邮件提交计数可能并不总是加起来。 电子邮件可能已经开始移出保留期。
如果修正停滞在“正在进行”状态一段时间,可能是由于系统延迟。 修正可能需要长达几个小时。 你可能会看到邮件提交计数的变化,因为由于系统延迟,某些电子邮件在修正开始时可能未包含在查询中。 在这种情况下,最好重试修正。
注意
为了获得最佳结果,修正应以 50,000 个或更少的批次完成。
修正期间仅处理可修复的电子邮件。 Office 365电子邮件系统无法修正不可修复的电子邮件,因为它们不存储在云邮箱中。
管理员可在必要时对隔离区中的电子邮件执行操作,但如果这些电子邮件未手动清除,则这些电子邮件将在隔离区外过期。 默认情况下,用户无法访问因恶意内容而隔离的电子邮件,因此安全人员不必采取任何措施来消除隔离中的威胁。 如果电子邮件位于本地或外部,则可以联系用户以处理可疑电子邮件。 或者,管理员可以使用单独的电子邮件服务器/安全工具进行删除。 可以通过在资源管理器中应用 传递位置 = 本地 外部筛选器来识别这些电子邮件。 对于失败或已删除的电子邮件,或用户无法访问的电子邮件,不会有任何电子邮件可以缓解,因为这些邮件不会到达邮箱。
操作日志:显示已修正、成功、失败、已在目标中的消息。
状态可以是:
-
已启动:触发修正。
- 已排队:修正已排队以缓解电子邮件。
- 正在进行:缓解措施正在进行中。
- 已完成:所有可修复电子邮件的缓解已成功完成或失败。
- 失败:修正未成功。
由于只能对可修复的电子邮件执行操作,因此每封电子邮件的清理都显示为成功或失败。 从可修复的电子邮件总数中,将报告成功和失败的缓解措施。
成功:完成了对可修复电子邮件的所需操作。 例如:管理员想要从邮箱中删除电子邮件,因此管理员采取软删除电子邮件的操作。 如果在执行操作后在原始文件夹中找不到可修复的电子邮件,则状态将显示为“成功”。
失败:针对可修复电子邮件的所需操作失败。 例如:管理员想要从邮箱中删除电子邮件,因此管理员采取软删除电子邮件的操作。 如果在执行操作后邮箱中仍发现可修复的电子邮件,则状态将显示为“失败”。
已在目标中:已对电子邮件执行所需操作,或者电子邮件已存在于目标位置。 例如:管理员第一天通过资源管理器软删除了电子邮件。 然后,类似的电子邮件显示在第 2 天,管理员再次软删除。选择这些电子邮件时,管理员最终会从第一天开始选取一些已软删除的电子邮件。 现在,这些电子邮件不再被处理,它们只会显示为“已在目标中”,因为目标位置中不存在对它们执行任何操作。
新建:已在 操作 日志中添加目标列中的 。 此功能使用威胁资源管理器中的最新传递位置来指示邮件是否已得到修正。 已在目标中 可帮助安全团队了解仍需要处理的消息总数。
-
已启动:触发修正。
只能对威胁资源管理器的“收件箱”、“垃圾邮件”、“已删除”和“软删除”文件夹中的邮件执行操作。 下面是新列工作原理的示例。 对收件箱中存在的邮件执行 软删除操作 ,然后根据策略处理邮件。 下次执行软删除时,此消息将显示在“已在目标中”列下,表示不需要再次处理。
选择操作日志中的任何项以显示修正详细信息。 如果详细信息显示“成功”或“在邮箱中找不到”,则表示该项目已从邮箱中删除。 有时在修正期间出现系统错误。 在这些情况下,最好重试修正操作。
如果修正了大量电子邮件,请导出通过邮件提交发送以进行修正的邮件,以及通过操作日志修正的邮件。 导出限制增加到 100,000 条记录。
管理员可以采取修正操作,例如将电子邮件移动到垃圾邮件、收件箱或已删除邮件文件夹,以及从高级搜寻页面删除软删除或硬删除等操作。
修正可缓解威胁、解决可疑电子邮件并帮助确保组织安全。