Náprava škodlivých e-mailů doručených v Office 365

Poznámka

Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotní Microsoft 365 Defender.

Platí pro

Náprava znamená provedení předepsaného opatření proti hrozbě. Škodlivý e-mail odeslaný do vaší organizace může vyčistit buď systém, prostřednictvím automatického vymazání (ZAP) za nulu, nebo bezpečnostními týmy prostřednictvím nápravných akcí, jako je přesun do doručené pošty, přechod na nevyžádanou poštu, přechod na odstraněné položky, obnovitelné odstranění nebo pevné odstranění. Microsoft Defender pro Office 365 Plán 2/E5 umožňuje bezpečnostním týmům napravit hrozby v e-mailech a funkcích spolupráce prostřednictvím ručního a automatizovaného šetření.

Poznámka

K nápravě škodlivého e-mailu potřebují bezpečnostní týmy přiřazenou roli Vyhledávání a vyprázdnění . Přiřazení role se provádí prostřednictvím oprávnění na portálu Microsoft 365 Defender.

Co potřebujete vědět, než začnete

Správci můžou u e-mailů provést požadovanou akci, ale aby tyto akce schválili, musí mít na portálu & Microsoft 365 Defender přiřazenou roli Vyhledávání a vyprázdnění. Bez přidání role Hledat a vyprázdnit do jedné ze skupin rolí nebudou moct akci spustit.

Ruční a automatizovaná náprava

Ruční proaktivní vyhledávání nastane, když bezpečnostní týmy identifikují hrozby ručně pomocí možností vyhledávání a filtrování v Průzkumníkovi. Ruční nápravu e-mailu můžete aktivovat prostřednictvím libovolného e-mailového zobrazení (malware, Phish nebo všechny e-maily) po identifikaci sady e-mailů, které je potřeba napravit.

Snímek obrazovky s ručním proaktivním vyhledáváním v Office 365 Exploreru podle data

Bezpečnostní týmy můžou pomocí Průzkumníka vybírat e-maily několika způsoby:

  • Ruční výběr e-mailů: Používejte filtry v různých zobrazeních. Vyberte až 100 e-mailů, které chcete napravit.

  • Výběr dotazu: Výběr celého dotazu pomocí horního tlačítka Vybrat vše Stejný dotaz se zobrazuje také v podrobnostech o odeslání pošty centra akcí. Zákazníci můžou z Průzkumníka hrozeb odeslat maximálně 200 000 e-mailů.

  • Výběr dotazů s vyloučením: Někdy můžou týmy operací zabezpečení chtít napravit e-maily tak, že vyberou celý dotaz a některé e-maily z dotazu vyloučí ručně. Správce to provede tak, že zaškrtnete políčko Vybrat vše a posunete se dolů a e-maily vyloučíte ručně. Dotaz může obsahovat maximálně 1 000 e-mailů. Maximální počet vyloučení je 100.

Po výběru e-mailů prostřednictvím Průzkumníka můžete zahájit nápravu provedením přímé akce nebo zařazením e-mailů do fronty pro akci:

  • Přímé schválení: Když pracovníci zabezpečení, kteří mají příslušná oprávnění, vyberou akce, jako je přesun do doručené pošty, přechod na nevyžádanou poštu, přesunutí na odstraněné položky, obnovitelné odstranění nebo pevné odstranění , a další kroky nápravy, zahájí proces nápravy vybranou akci.

Poznámka

S tím, jak se náprava spustí, vygeneruje upozornění a paralelní šetření. Výstraha se zobrazí ve frontě upozornění s názvem "Akce správy odeslaná správcem", která naznačuje, že pracovníci zabezpečení provedli akci nápravy entity. Zobrazuje podrobnosti, jako je jméno osoby, která akci provedla, odkaz na podporu vyšetřování, čas atd. Funguje to opravdu dobře vědět pokaždé, když se u entit provede tvrdá akce, jako je náprava. Všechny tyto akce se dají rozlišovat na kartě Akce & Centra akcí -> OdesláníHistory > (Public Preview).

  • Dvoustupňové schválení: Akci Přidat k nápravě můžou provést správci, kteří nemají příslušná oprávnění nebo potřebují počkat na provedení akce. V takovém případě se cílové e-maily přidají do kontejneru nápravy. Před provedením nápravy je potřeba schválení.

Akce automatizovaného vyšetřování a reakce se aktivují výstrahou nebo týmy operací zabezpečení z Průzkumníka. Můžou zahrnovat doporučené nápravné akce, které musí schválit provozní tým zabezpečení. Tyto akce jsou zahrnuté na kartě Akce v rámci automatizovaného šetření.

Mail with malware in "Zapped" page showing time of Zap execution.

Všechna náprava (přímá schválení) vytvořená v Průzkumníkovi, rozšířené vyhledávání nebo automatizované šetření se zobrazí v Centru akcí. K nim můžete přistupovat přes levý navigační panel na kartě Akce & Odeslání > – Centrum -> akcíHistory.

Všechna náprava (přímá schválení), která byla vytvořena v Průzkumníkovi, rozšířeném vyhledávání nebo prostřednictvím automatizovaného šetření, se zobrazí v Centru akcí. K nim můžete přistupovat přes levý navigační panel na kartě Akce & Odeslání > – Centrum -> akcíHistory.

Ruční akce čekající na schválení pomocí dvoustupňového schvalovacího procesu (1. add to remediation by one security operation team member, 2. kontrolou a schválením jiným členem týmu operací zabezpečení) jsou viditelné pouze ve starší verzi centra akcí Defender pro Office 365 Centrum akcí**,** > nikoli v incidentech nebo vyšetřováních a v Sjednoceném centru akcí.

Poznámka

Dvoustupňové schválení: Akce dostupné jenom v centru akcí Office Kontrola > Centra akcí

Sjednocené Centrum akcí zobrazuje 30 dnů nápravných akcí.

Sjednocené Centrum akcí zobrazuje nápravné akce za posledních 30 dnů. Akce prováděné prostřednictvím Průzkumníka jsou uvedené pod názvem, který poskytl tým operací zabezpečení při vytvoření nápravy, a ID schválení, ID šetření. Akce prováděné prostřednictvím automatizovaného vyšetřování mají názvy, které začínají související výstrahou, která aktivovala šetření, například e-mailový cluster Zap.

Otevřete libovolnou položku nápravy a zobrazte o ní podrobnosti, včetně jejího názvu nápravy, ID schválení, ID šetření, data vytvoření, popisu, stavu, zdroje akce, typu akce, podle stavu. Otevře také boční podokno s podrobnostmi o akci, podrobnostmi e-mailového clusteru, výstrahou a podrobnostmi o incidentu.

  • Otevře se stránka Šetření , která otevře šetření správce, které obsahuje méně podrobností a karet. Zobrazuje podrobnosti, jako jsou související upozornění, entita vybraná k nápravě, provedená akce, stav nápravy, počet entit, protokoly, schvalovatel akce. Toto šetření sleduje šetření provedené správcem ručně a obsahuje podrobnosti o výběrech, které provedl správce, a proto se označuje jako vyšetřování akcí správce. Nemusíte na vyšetřování reagovat a upozorňovat na to, že už je ve schváleném stavu.
  • Počet e-mailů Zobrazí počet e-mailů odeslaných prostřednictvím Průzkumníka hrozeb. Tyto e-maily můžou být použitelné nebo neakusovatelné.
  • Protokoly akcí Zobrazí podrobnosti o stavu nápravy, jako jsou úspěšné, neúspěšné a už v cíli.

Centrum akcí s otevřenou možností Přesunout do doručené pošty

  • Akce: E-maily v následujících umístěních cloudové poštovní schránky je možné provádět a přesouvat:

    • Složce doručená pošta

    • Nevyžádané pošty

    • Odstraněná složka

    • Obnovitelné odstranění složky

      Poznámka

      V současné době může položky obnovit jenom uživatel s přístupem k poštovní schránce z obnovitelné odstraněné složky.

  • Nelze provádět akce: E-maily v následujících umístěních se nedají v nápravných akcích provádět ani přesouvat:

    • Karanténa
    • Pevně odstraněná složka
    • Místní/externí
    • Selhání nebo vyřazení

Podezřelé zprávy jsou kategorizovány jako nápravné nebo nenapravitelné. Ve většině případů se nápravné a nenapravitelné zprávy zkombinují s celkovým počtem odeslaných zpráv. Ale ve výjimečných případech to nemusí být pravda. K tomu může dojít kvůli zpoždění systému, vypršení časových limitů nebo vypršení platnosti zpráv. Platnost zpráv vyprší na základě doby uchovávání zpráv v Průzkumníkovi pro vaši organizaci.

Pokud staré zprávy po uplynutí doby uchovávání v Průzkumníkovi vaší organizace nenapravíte, doporučujeme opakovat nápravu položek, pokud se zobrazí nekonzistence čísel. V případě zpoždění systému se aktualizace nápravy obvykle aktualizují během několika hodin.

Pokud je doba uchovávání e-mailu v Průzkumníkovi ve vaší organizaci 30 dní a napravujete e-maily, které se vrací o 29 až 30 dnů, nemusí se počty odeslání pošty vždy sčítat. E-maily se už možná začaly přesouvat z doby uchovávání.

Pokud se nápravy na nějakou dobu zablokují ve stavu Probíhající, je to pravděpodobně kvůli zpožděním systému. Náprava může trvat až několik hodin. V počtech odesílání e-mailů se můžou zobrazit různé varianty, protože některé e-maily nemusely být součástí dotazu na začátku nápravy kvůli systémovým zpožděním. V takových případech je vhodné zkusit nápravu zopakovat.

Poznámka

Pro dosažení nejlepších výsledků by náprava měla být provedena v dávkách o velikosti 50 000 nebo méně.

Během nápravy se provádějí pouze nápravné e-maily. E-maily bez nápravy nemůže Office 365 e-mailový systém napravit, protože nejsou uložené v cloudových poštovních schránkách.

Správci můžou v případě potřeby provádět akce s e-maily v karanténě, ale pokud se nevyprázdní ručně, platnost těchto e-mailů vyprší z karantény. Ve výchozím nastavení nejsou e-maily v karanténě z důvodu škodlivého obsahu přístupné uživatelům, takže pracovníci zabezpečení nemusí provádět žádnou akci, aby se zbavili hrozeb v karanténě. Pokud jsou e-maily místní nebo externí, můžete ho kontaktovat a vyřešit tak podezřelý e-mail. Nebo můžou správci k odebrání použít samostatný e-mailový server nebo nástroje zabezpečení. Tyto e-maily je možné identifikovat použitím umístění doručení = místního externího filtru v Průzkumníkovi. V případě neúspěšného nebo vyřazeného e-mailu nebo e-mailu, který uživatelé nemají k dispozici, se nezmírní žádný e-mail, protože tyto e-maily se k poštovní schránce nedostanou.

  • Protokoly akcí: Zobrazují se zprávy, které jsou v cíli napravené, úspěšné, neúspěšné.

    Stav může být:

    • Spuštěno: Aktivuje se náprava.
      • Zařazeno do fronty: Náprava se zařadí do fronty, aby se zmírnil výskyt e-mailů.
      • Probíhá: Probíhá zmírnění rizik.
      • Dokončeno: Zmírnění rizik u všech nápravných e-mailů se úspěšně dokončilo nebo došlo k selhání.
      • Nezdařilo se: Žádné nápravy nebyly úspěšné.

    Protože je možné provádět pouze nápravné e-maily, čištění jednotlivých e-mailů se zobrazí jako úspěšné nebo neúspěšné. Z celkového počtu nápravných e-mailů jsou hlášena úspěšná a neúspěšná omezení rizik.

    • Úspěch: Byla dosažena požadovaná akce u nápravných e-mailů. Například: Správce chce odebrat e-maily z poštovních schránek, takže správce provede akci obnovitelného odstranění e-mailů. Pokud se po provedení akce v původní složce nenajde nápravný e-mail, stav se zobrazí jako úspěšný.

    • Selhání: Požadovaná akce u nápravných e-mailů selhala. Například: Správce chce odebrat e-maily z poštovních schránek, takže správce provede akci obnovitelného odstranění e-mailů. Pokud se po provedení akce v poštovní schránce stále nachází nápravný e-mail, stav se zobrazí jako neúspěšný.

    • Už je v cíli: Požadovaná akce už byla provedena v e-mailu NEBO e-mail už v cílovém umístění existoval. Příklad: Správce e-mail v první den odstranil prostřednictvím Průzkumníka. Pak se podobné e-maily zobrazí 2. den, které správce znovu může obnovit. Při výběru těchto e-mailů správce vybere některé e-maily od prvního dne, které už jsou obnovitelné. Nyní se tyto e-maily nebudou znovu provádět, zobrazí se pouze jako "již v cíli", protože v cílovém umístění nebyla provedena žádná akce.

    • Novinka: Do protokolu akcí byl přidán již v cílovém sloupci. Tato funkce používá nejnovější umístění pro doručování v Průzkumníku hrozeb, aby signalizovala, jestli už byla pošta napravená. Už v cíli pomůže bezpečnostním týmům pochopit celkový počet zpráv, které je potřeba řešit.

Akce se dají provádět jenom se zprávami ve složkách Doručená pošta, Nevyžádaná pošta, Odstraněná pošta a Obnovitelné odstranění v Průzkumníku hrozeb. Tady je příklad fungování nového sloupce. U zprávy ve složce Doručená pošta se provede akce obnovitelného odstranění a zpráva se pak bude zpracovávat podle zásad. Při příštím provedení obnovitelného odstranění se tato zpráva zobrazí pod sloupcem Již v cíli, který signalizoval, že ji není nutné řešit znovu.

Výběrem libovolné položky v protokolu akcí zobrazíte podrobnosti o nápravě. Pokud jsou v podrobnostech uvedeno "úspěšné" nebo "nenalezeno v poštovní schránce", byla už z poštovní schránky odebrána. Někdy během nápravy dojde k systémové chybě. V těchto případech je vhodné akci nápravy zopakovat.

V případě nápravy velkých dávek e-mailu exportujte zprávy odeslané k nápravě prostřednictvím odeslání pošty a zprávy, které byly napraveny prostřednictvím protokolů akcí. Limit exportu se zvýší na 100 000 záznamů.

Správci můžou provádět nápravné akce, jako je přesunutí e-mailových zpráv do složky Nevyžádaná pošta, Doručená pošta nebo Odstraněná pošta, a odstraňovat akce, jako je obnovitelné odstranění nebo pevné odstranění ze stránek rozšířeného vyhledávání.

Panel Pokročilé proaktivní vyhledávání a akce s výběrem akcí.

Náprava zmírňuje hrozby, řeší podezřelé e-maily a pomáhá udržovat organizaci v bezpečí.