補救 Office 365 中傳送的惡意電子郵件
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
補救表示對威脅採取指定的動作。 系統可以透過零時差自動清除 (ZAP) ,或安全性小組透過 移至收件匣、 移至垃圾郵件、 移至已刪除的專案、 虛刪除或 硬刪除等補救動作,清除傳送給貴組織的惡意電子郵件。 適用於 Office 365 的 Microsoft Defender 方案 2/E5 可讓安全性小組透過手動和自動化調查來補救電子郵件和共同作業功能中的威脅。
開始之前需要知道的事項
您必須獲得指派許可權,才能執行本文中的程式。 系統管理員可以對電子郵件訊息採取必要的動作,但需要 搜尋和清除 角色,才能核准這些動作。 若要指派 搜尋和清除 角色,您有下列選項:
- Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) :安全性作業/安全性資料/Email & 共同作業進階動作, (管理) 。
- Email & Microsoft Defender 入口網站中的共同作業許可權:組織管理或數據管理角色群組中的成員資格。 或者,您可以建立已指派搜尋和清除角色的新角色群組,並將使用者新增至自定義角色群組。
確認已在 https://security.microsoft.com/securitysettings/endpoints/integration開啟自動化調查。
手動和自動化補救
當安全性小組使用 Explorer 中的搜尋和篩選功能手動識別威脅時,就會發生手動搜捕。 在您識別一組需要補救的電子郵件之後,可以透過任何電子郵件檢視來觸發手動電子郵件補救 (惡意代碼、 網路釣魚或 所有電子郵件) 。
安全性小組可以使用 [總管] 以數種方式選取電子郵件:
手動選擇電子郵件:在各種檢視中使用篩選。 選取最多 100 封電子郵件以進行補救。
查詢選取:使用頂端的 [選取所有] 按鈕 來選取整個 查詢。 相同的查詢也會顯示在控制中心郵件提交詳細數據中。 客戶最多可以從威脅總管提交 200,000 封電子郵件。
排除的查詢選取:有時安全性作業小組可能會想要藉由選取整個查詢,並手動從查詢中排除特定電子郵件來補救電子郵件。 若要這樣做,系統管理員可以使用 [ 選取所有 ] 複選框並向下卷動以手動排除電子郵件。 查詢最多可以保存 200,000 封電子郵件。
透過 [總管] 選取電子郵件之後,您可以採取直接動作或將電子郵件排入動作,以開始補救:
直接核准:當具有適當許可權的安全性人員選取 移至收件匣、 移至垃圾郵件、 移至已刪除的專案、 虛刪除或 實刪除 等動作,並遵循補救中的後續步驟時,補救程式就會開始執行選取的動作。
注意事項
當補救開始時,它會以平行方式產生警示和調查。 警示會顯示在警示佇列中,其名稱為「系統管理員提交的系統管理動作」,建議安全性人員採取補救實體的動作。 它會顯示詳細數據,例如執行動作的人員名稱、支援調查鏈接、時間等。每次在實體上執行補救之類的嚴苛動作時,它非常適合知道。 您可以在公開預覽 ) ([提交>動作 & 提交控制中心 ->歷程記錄] 索引卷標底下追蹤所有這些動作。
雙步驟核准:沒有適當許可權或需要等候執行動作的系統管理員可以採取「新增至補救」動作。 在此情況下,目標電子郵件會新增至補救容器。 執行補救之前需要核准。
來自 Explorer 的警示或安全性作業小組會觸發自動化調查和回應動作。 這些動作可能包括必須由安全性作業小組核准的建議補救動作。 這些動作會包含在自動化調查的 [ 動作 ] 索引標籤上。
在檔案總管、進階搜捕或透過自動化調查中建立的所有補救 (直接) 核准,都會顯示在控制中心的 [ 動作 & 提交>控制中心>歷程 記錄] 索引卷標 () https://security.microsoft.com/action-center/history 。
使用雙步驟核准程式 (1 手動執行擱置核准的動作。由一個安全性作業小組成員 2 新增至補救。另一個安全性作業小組成員) 檢閱並核准,會顯示在 [ 動作 & 提交>控制中心>擱置 ] 索引標籤 () https://security.microsoft.com/action-center/pending 。 核准之後,它們會顯示在 [ 動作 & 提交>控制中心>歷程 記錄] 索引標籤 (https://security.microsoft.com/action-center/history) 。
整合控制中心會顯示過去 30 天的補救動作。 透過 Explorer 採取的動作會依建立補救時安全性作業小組提供的名稱,以及核准標識碼、調查標識碼列出。透過自動化調查所採取的動作具有以觸發調查的相關警示開頭的標題,例如 Zap 電子郵件叢集。
開啟任何補救專案以檢視其相關詳細數據,包括其補救名稱、核准標識碼、調查標識碼、建立日期、描述、狀態、動作來源、動作類型、決定者、狀態。 它也會開啟包含動作詳細數據、電子郵件叢集詳細數據、警示和事件詳細數據的側邊窗格。
開啟 [調查] 頁面 會開啟系統管理調查,其中包含較少的詳細數據和索引標籤。 它會顯示詳細數據,例如:相關警示、選取以進行補救的實體、採取的動作、補救狀態、實體計數、記錄、動作核准者。 此調查會追蹤系統管理員手動完成的調查,並包含系統管理員所選取專案的詳細數據,因此稱為系統管理動作調查。 不需要對調查採取行動,並警示其已處於核准狀態。
Email 計數 顯示透過威脅總管送出的電子郵件數目。 這些電子郵件可以是可採取動作或無法採取動作。
動作記錄 顯示補救狀態的詳細數據,例如成功、失敗和已在目的地。
可採取動作:下列雲端信箱位置中的 Email 可以採取動作並移動:
- 收件匣
- 垃圾*
- [刪除的郵件] 資料夾*
- 可復原的專案\刪除資料夾 (虛刪除的專案) *
- 隔離
* 不適用於隔離的專案。
無法採取動作:下列位置中的 Email 無法在補救動作中採取動作或移動:
- 硬式刪除資料夾
- 內部部署/外部
- 失敗/卸除
- Unknown
支援的移動與移除動作型態:
移至垃圾郵件資料夾:將信件移至使用者的 [垃圾郵件] Email資料夾。
移至收件匣:將訊息移至使用者的 [收件匣] 資料夾。
移至已刪除的專案:將訊息移至使用者的 [刪除的專案] 資料夾。
虛刪除:從 [刪除的專案] 資料夾中刪除訊息, (移至 [可復原的專案\刪除] 資料夾) 。 用戶和系統管理員可以復原訊息。
刪除寄件人的復本:如果寄件者是組織,也請嘗試從發件人的 [傳送郵件] 資料夾中虛刪除郵件。
硬式刪除:清除已刪除的訊息。 系統管理員可以使用單一項目復原來復原已刪除的硬式專案。 如需硬式刪除和虛刪除項目的詳細資訊,請參閱 虛刪除和硬刪除專案。
可疑的訊息會分類為可補救或無法補救。 在大部分情況下,可補救和不可補救的訊息會結合等於提交的訊息總數。 但在極少數情況下,這可能不是真的。 這可能是因為系統延遲、逾時或訊息過期所造成。 訊息會根據貴組織的 Explorer 保留期間到期。
除非您在組織的Explorer保留期間之後補救舊訊息,否則如果您看到數位不一致,建議您重試修復專案。 針對系統延遲,補救更新通常會在幾小時內重新整理。
如果您組織在 Explorer 中的電子郵件保留期間為 30 天,且您正在補救 29-30 天的電子郵件,則郵件提交計數不一定會加總。 電子郵件可能已開始移出保留期間。
如果補救措施停滯在「進行中」狀態一段時間,可能是因為系統延遲。 最多可能需要數小時的時間來進行補救。 您可能會看到郵件提交計數的變化,因為由於系統延遲,某些電子郵件可能尚未包含在補救開始時的查詢中。 在這類情況下重試補救是不錯的主意。
注意事項
為了獲得最佳結果,應以50,000或更少的批次方式進行補救。
補救期間只會處理可補救的電子郵件。 Office 365 電子郵件系統無法補救不可補救的電子郵件,因為這些電子郵件不會儲存在雲端信箱中。
系統管理員可以視需要對隔離中的電子郵件採取動作,但如果未手動清除這些電子郵件,則這些電子郵件會在隔離區中過期。 根據預設,用戶無法存取因惡意內容而隔離的電子郵件,因此安全性人員不需要採取任何動作來消除隔離中的威脅。 如果電子郵件是內部部署或外部電子郵件,則可以連絡用戶以處理可疑的電子郵件。 或者,系統管理員可以使用個別的電子郵件伺服器/安全性工具來移除。 在 Explorer 中套用 傳遞位置 = 內部部署 外部篩選,即可識別這些電子郵件。 如果是失敗或已卸除的電子郵件,或使用者無法存取的電子郵件,將不會有任何電子郵件可減輕,因為這些郵件無法連線到信箱。
動作記錄:這會顯示已修復、成功、失敗的訊息已在目的地中。
狀態可以是:
-
已啟動:已觸發補救。
- 已排入佇列:補救已排入佇列,以降低電子郵件風險。
- 進行中:風險降低正在進行中。
- 已完成:成功完成或發生一些失敗時,可降低所有可補救電子郵件的風險。
- 失敗:未成功補救。
由於只能處理可補救的電子郵件,因此每封電子郵件的清除都會顯示為成功或失敗。 從可補救的電子郵件總數中,會回報成功和失敗的緩和措施。
成功:已完成可補救電子郵件所需的動作。 例如:系統管理員想要從信箱移除電子郵件,讓系統管理員採取虛刪除電子郵件的動作。 如果在採取動作之後在原始資料夾中找不到可補救的電子郵件,狀態會顯示為成功。
失敗:可補救電子郵件所需的動作失敗。 例如:系統管理員想要從信箱移除電子郵件,讓系統管理員採取虛刪除電子郵件的動作。 如果在採取動作之後,信箱中仍然找到可補救的電子郵件,狀態會顯示為失敗。
已在目的地中:已在電子郵件上採取所需的動作,或電子郵件已存在於目的地位置。 例如:系統管理員已透過總管,於第一天虛刪除電子郵件。 然後類似的電子郵件會顯示於第 2 天,系統管理員會再次虛刪除這些電子郵件。選取這些電子郵件時,系統管理員最後會從第一天收到一些已虛刪除的電子郵件。 現在,這些電子郵件將不會再次採取動作,只會顯示為「已在目的地中」,因為這些電子郵件在目的地位置中已存在,因此不會對其採取任何動作。
新增: 已在 [動作記錄檔] 中新增 [已在目的地中] 數據行。 這項功能會使用威脅總管中的最新傳遞位置,在郵件是否已修復時發出訊號。 已在目的地可 協助安全性小組瞭解仍然需要解決的訊息總數。
-
已啟動:已觸發補救。
只有在 [威脅總管] 的 [收件匣]、[垃圾郵件]、[已刪除] 和 [虛刪除] 資料夾中的訊息上,才能採取動作。 以下是新數據行運作方式的範例。 虛刪除動作會在 [收件匣] 中出現的訊息上執行,然後根據原則處理訊息。 下次執行虛刪除時,此訊息會顯示在 [已在目的地中] 資料行底下,表示不需要再次尋址。
選取動作記錄檔中的任何專案,以顯示補救詳細數據。 如果詳細數據顯示為「成功」或「在信箱中找不到」,則該專案已從信箱中移除。 有時候在補救期間會發生系統錯誤。 在這些情況下,最好重試補救動作。
若要補救大量電子郵件,請匯出透過郵件提交傳送以進行補救的郵件,以及透過動作記錄進行補救的訊息。 匯出限制會增加到 100,000 筆記錄。
系統管理員可以採取補救動作,例如將電子郵件訊息移至 [垃圾郵件]、[收件匣] 或 [刪除的專案] 資料夾,以及刪除動作,例如從進階搜捕頁面虛刪除或永久刪除。
補救可降低威脅、解決可疑的電子郵件,並協助保護組織的安全。