Schadelijke e-mail herstellen die is bezorgd in Office 365

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Herstel betekent dat u een voorgeschreven actie moet ondernemen tegen een bedreiging. Schadelijke e-mail die naar uw organisatie wordt verzonden, kan worden opgeschoond door het systeem, via zero-hour auto purge (ZAP) of door beveiligingsteams via herstelacties zoals verplaatsen naar Postvak IN, verplaatsen naar ongewenste e-mail, verplaatsen naar verwijderde items, voorlopig verwijderen of hard verwijderen. Microsoft Defender voor Office 365 Plan 2/E5 stelt beveiligingsteams in staat bedreigingen in e-mail en samenwerkingsfunctionaliteit op te lossen door handmatig en geautomatiseerd onderzoek te doen.

Wat u moet weten voordat u begint

Handmatig en geautomatiseerd herstel

Handmatige opsporing vindt plaats wanneer beveiligingsteams bedreigingen handmatig identificeren met behulp van de zoek- en filtermogelijkheden in Explorer. Handmatig e-mailherstel kan worden geactiveerd via elke e-mailweergave (Malware, Phish of Alle e-mail) nadat u een set e-mailberichten hebt geïdentificeerd die moeten worden hersteld.

Schermopname van handmatige opsporing in Office 365 Explorer op datum.

Beveiligingsteams kunnen Explorer op verschillende manieren gebruiken om e-mailberichten te selecteren:

  • E-mailberichten handmatig kiezen: Gebruik filters in verschillende weergaven. Selecteer maximaal 100 e-mailberichten om te herstellen.

  • Queryselectie: selecteer een volledige query met behulp van de bovenste knop Alles selecteren . Dezelfde query wordt ook weergegeven in de details van het verzenden van e-mail in het actiecentrum. Klanten kunnen maximaal 200.000 e-mailberichten verzenden vanuit bedreigingsverkenner.

  • Queryselectie met uitsluiting: soms willen beveiligingsteams e-mailberichten herstellen door een hele query te selecteren en bepaalde e-mailberichten handmatig uit te sluiten van de query. Hiervoor kan een beheerder het selectievakje Alles selecteren gebruiken en omlaag schuiven om e-mailberichten handmatig uit te sluiten. De query kan maximaal 200.000 e-mailberichten bevatten.

Zodra e-mailberichten zijn geselecteerd via Explorer, kunt u beginnen met herstel door directe actie uit te voeren of door e-mailberichten in de wachtrij te plaatsen voor een actie:

  • Directe goedkeuring: wanneer acties zoals verplaatsen naar Postvak IN, verplaatsen naar ongewenste e-mail, verplaatsen naar verwijderde items, voorlopig verwijderen of definitief verwijderen worden geselecteerd door beveiligingspersoneel met de juiste machtigingen en de volgende stappen in herstel worden gevolgd, begint het herstelproces met het uitvoeren van de geselecteerde actie.

    Opmerking

    Wanneer het herstel wordt gestart, genereert het parallel een waarschuwing en een onderzoek. Waarschuwing wordt weergegeven in de waarschuwingswachtrij met de naam 'Beheeractie verzonden door een beheerder' die suggereert dat beveiligingspersoneel actie heeft ondernomen om een entiteit te herstellen. Het bevat details zoals de naam van de persoon die de actie heeft uitgevoerd, ondersteunende onderzoekskoppeling, tijd, enzovoort. Het werkt heel goed om te weten telkens wanneer een harde actie, zoals herstel, wordt uitgevoerd op entiteiten. Al deze acties kunnen worden bijgehouden op het tabblad Acties & Actiecentrum voor inzendingen> ->Geschiedenis (openbare preview).

  • Goedkeuring in twee stappen: een actie 'toevoegen aan herstel' kan worden uitgevoerd door beheerders die niet over de juiste machtigingen beschikken of die moeten wachten om de actie uit te voeren. In dit geval worden de doel-e-mailberichten toegevoegd aan een herstelcontainer. Goedkeuring is vereist voordat het herstel wordt uitgevoerd.

Geautomatiseerde onderzoeks- en reactieacties worden geactiveerd door waarschuwingen of door beveiligingsteams vanuit Explorer. Dit kunnen aanbevolen herstelacties zijn die moeten worden goedgekeurd door een beveiligingsteam. Deze acties zijn opgenomen op het tabblad Actie in het geautomatiseerde onderzoek.

Email met malware op de pagina Zapped met de tijd van de ZAP-uitvoering.

Alle herstelbewerkingen (directe goedkeuringen) die zijn gemaakt in Explorer, Geavanceerde opsporing of via geautomatiseerd onderzoek, worden weergegeven in het actiecentrum op het tabblad Acties &>Geschiedenis vanhet actiecentrum> (https://security.microsoft.com/action-center/history).

Handmatige acties in afwachting van goedkeuring met behulp van het goedkeuringsproces in twee stappen (1. Voeg toe aan herstel door één lid van het beveiligingsbewerkingsteam, 2. Gecontroleerd en goedgekeurd door een ander lid van het beveiligingsbewerkingsteam) zijn zichtbaar op het tabblad Acties & Actiecentrum>voorinzendingen >in behandeling (https://security.microsoft.com/action-center/pending). Na goedkeuring zijn ze zichtbaar op het tabblad Acties &>actiecentrumgeschiedenis> ().https://security.microsoft.com/action-center/history

In het geïntegreerde Actiecentrum ziet u 30 dagen aan herstelacties.

Unified Action Center toont herstelacties voor de afgelopen 30 dagen. Acties die via Explorer worden uitgevoerd, worden weergegeven met de naam die het beveiligingsteam heeft opgegeven toen het herstel werd gemaakt, evenals goedkeurings-id, onderzoeks-id. Acties die worden uitgevoerd via geautomatiseerde onderzoeken, hebben titels die beginnen met de gerelateerde waarschuwing die het onderzoek heeft geactiveerd, zoals het Zap-e-mailcluster.

Open een herstelitem om details ervan weer te geven, waaronder de herstelnaam, goedkeurings-id, onderzoeks-id, aanmaakdatum, beschrijving, status, actiebron, actietype, besloten door, status. Er wordt ook een zijvenster geopend met actiedetails, e-mailclusterdetails, waarschuwings- en incidentdetails.

  • Als u de pagina Onderzoek opent , wordt een beheerdersonderzoek geopend dat minder details en tabbladen bevat. Het toont details zoals: gerelateerde waarschuwing, entiteit die is geselecteerd voor herstel, ondernomen actie, herstelstatus, entiteitsaantal, logboeken, fiatteur van actie. Dit onderzoek houdt een overzicht bij van het onderzoek dat door de beheerder handmatig is uitgevoerd en bevat details van selecties die door de beheerder zijn gemaakt. Daarom wordt het onderzoek van de beheeractie genoemd. Het is niet nodig om actie te ondernemen op het onderzoek en het al in goedgekeurde staat te waarschuwen.

  • Email aantal Geeft het aantal e-mailberichten weer dat via Threat Explorer is verzonden. Deze e-mailberichten kunnen wel of niet worden uitgevoerd.

  • Actielogboeken De details van herstelstatussen weergeven, zoals geslaagd, mislukt en al op de bestemming.

    Het Actiecentrum met de optie Verplaatsen naar Postvak IN geopend.

    • Actie mogelijk: e-mailberichten in de volgende cloudpostvaklocaties kunnen worden bewerkt en verplaatst:

      • Inbox

      • Ongewenste e-mail

      • Map verwijderd

      • Voorlopig verwijderde map

        Opmerking

        Op dit moment kan alleen een gebruiker met toegang tot het postvak items herstellen uit een voorlopig verwijderde map.

    • Geen actie mogelijk: e-mailberichten op de volgende locaties kunnen niet worden uitgevoerd of verplaatst in herstelacties:

      • Quarantaine
      • Definitief verwijderde map
      • On-premises/extern
      • Mislukt/verwijderd
      • Unknown

    • Ondersteunde typen verplaatsings- en verwijderacties:

      • Verplaatsen naar map met ongewenste e-mail: hiermee worden berichten verplaatst naar de map Ongewenste Email van de gebruiker.
      • Verplaatsen naar Postvak IN: hiermee worden berichten verplaatst naar de map Postvak IN van gebruikers.
      • Verplaatsen naar verwijderde items: hiermee worden berichten verplaatst naar de map Verwijderde items van de gebruiker.
      • Voorlopig verwijderen: hiermee worden berichten verplaatst naar een verwijderde map in de cloud.
      • Hard delete: hiermee worden de berichten definitief verwijderd.

    Verdachte berichten worden gecategoriseerd als herstelbaar of niet-herstelbaar. In de meeste gevallen zijn herstelbare en niet-herstelbare berichten gelijk aan het totale aantal verzonden berichten. Maar in zeldzame gevallen is dit misschien niet waar. Dit kan gebeuren vanwege systeemvertragingen, time-outs of verlopen berichten. Berichten verlopen op basis van de retentieperiode van Explorer voor uw organisatie.

    Tenzij u oude berichten na de retentieperiode van Explorer van uw organisatie herstelt, is het raadzaam om items opnieuw te herstellen als u een aantal inconsistenties ziet. Voor systeemvertragingen worden herstelupdates doorgaans binnen een paar uur vernieuwd.

    Als de bewaarperiode van uw organisatie voor e-mail in Explorer 30 dagen is en u e-mailberichten herstelt die 29-30 dagen teruggaan, is het mogelijk dat het aantal e-mailinzendingen niet altijd optelt. De e-mailberichten zijn mogelijk al begonnen met het verwijderen van de bewaarperiode.

    Als herstelbewerkingen een tijdje in de status 'In uitvoering' blijven staan, is dit waarschijnlijk het gevolg van systeemvertragingen. Het kan een paar uur duren voordat het is hersteld. Mogelijk ziet u variaties in het aantal e-mailinzendingen, omdat sommige e-mailberichten mogelijk niet zijn opgenomen in de query aan het begin van het herstel vanwege systeemvertragingen. Het is een goed idee om in dergelijke gevallen opnieuw te proberen te herstellen.

    Opmerking

    Voor de beste resultaten moet herstel worden uitgevoerd in batches van 50.000 of minder.

    Tijdens herstel worden alleen herstelbare e-mailberichten uitgevoerd. Niet-herstelbare e-mailberichten kunnen niet worden hersteld door het Office 365 e-mailsysteem, omdat ze niet worden opgeslagen in postvakken in de cloud.

    Beheerders kunnen zo nodig acties uitvoeren op e-mailberichten in quarantaine, maar deze e-mailberichten verlopen uit quarantaine als ze niet handmatig worden opgeschoond. E-mailberichten die in quarantaine zijn geplaatst vanwege schadelijke inhoud, zijn standaard niet toegankelijk voor gebruikers, zodat beveiligingspersoneel geen actie hoeft te ondernemen om bedreigingen in quarantaine te verwijderen. Als de e-mailberichten on-premises of extern zijn, kan contact worden opgenomen met de gebruiker om de verdachte e-mail te adressen. Of de beheerders kunnen afzonderlijke e-mailserver-/beveiligingshulpprogramma's gebruiken voor verwijdering. Deze e-mailberichten kunnen worden geïdentificeerd door het externe filter voor de leveringslocatie = on-premises extern filter toe te passen in Explorer. Voor mislukte of verwijderde e-mail of e-mail die niet toegankelijk is voor gebruikers, is er geen e-mail om te verhelpen, omdat deze e-mailberichten het postvak niet bereiken.

  • Actielogboeken: hier ziet u de berichten die zijn hersteld, geslaagd, mislukt, die zich al op het doel bevinden.

    De status kan zijn:

    • Gestart: Herstel wordt geactiveerd.
      • In de wachtrij: Herstel wordt in de wachtrij geplaatst voor het beperken van e-mailberichten.
      • Wordt uitgevoerd: beperking wordt uitgevoerd.
      • Voltooid: beperking voor alle herstelbare e-mailberichten die zijn voltooid of met een aantal fouten zijn voltooid.
      • Mislukt: er zijn geen herstelbewerkingen geslaagd.

    Omdat alleen herstelbare e-mailberichten kunnen worden uitgevoerd, wordt het opschonen van elke e-mail weergegeven als geslaagd of mislukt. In de totaal herstelbare e-mailberichten worden geslaagde en mislukte oplossingen gerapporteerd.

    • Geslaagd: de gewenste actie voor herstelbare e-mailberichten is voltooid. Bijvoorbeeld: een beheerder wil e-mailberichten verwijderen uit postvakken, zodat de beheerder e-mailberichten voorlopig verwijdert. Als een herstelbare e-mail niet wordt gevonden in de oorspronkelijke map nadat de actie is uitgevoerd, wordt de status weergegeven als geslaagd.

    • Fout: de gewenste actie voor herstelbare e-mailberichten is mislukt. Bijvoorbeeld: een beheerder wil e-mailberichten verwijderen uit postvakken, zodat de beheerder e-mailberichten voorlopig verwijdert. Als er nog steeds een herstelbare e-mail in het postvak wordt gevonden nadat de actie is uitgevoerd, wordt de status mislukt weergegeven.

    • Al in bestemming: de gewenste actie is al uitgevoerd op het e-mailbericht OF het e-mailbericht bestaat al op de doellocatie. Bijvoorbeeld: een e-mailbericht is voorlopig verwijderd door de beheerder via Explorer op dag één. Vervolgens worden op dag 2 vergelijkbare e-mailberichten weergegeven, die opnieuw voorlopig worden verwijderd door de beheerder. Tijdens het selecteren van deze e-mailberichten haalt de beheerder uiteindelijk enkele e-mailberichten op van dag één die al voorlopig zijn verwijderd. Nu deze e-mailberichten niet meer worden uitgevoerd, worden ze alleen weergegeven als 'al op bestemming', omdat er geen actie is ondernomen op de locatie van de bestemming.

    • Nieuw: Er is een kolom Al in doel toegevoegd in het actielogboek. Deze functie maakt gebruik van de meest recente bezorgingslocatie in Bedreigingsverkenner om aan te geven of de e-mail al is hersteld. Al in bestemming helpt beveiligingsteams inzicht te hebben in het totale aantal berichten dat nog moet worden aangepakt.

Acties kunnen alleen worden uitgevoerd op berichten in de mappen Postvak IN, Ongewenste e-mail, Verwijderd en Voorlopig verwijderd van Threat Explorer. Hier volgt een voorbeeld van hoe de nieuwe kolom werkt. Een actie voor voorlopig verwijderen vindt plaats op het bericht dat aanwezig is in het Postvak IN, waarna het bericht wordt verwerkt volgens het beleid. De volgende keer dat een voorlopig verwijderen wordt uitgevoerd, wordt dit bericht weergegeven onder de kolom 'Al in bestemming' met het signaal dat het niet opnieuw hoeft te worden opgelost.

Selecteer een item in het actielogboek om hersteldetails weer te geven. Als in de details 'geslaagd' of 'Niet gevonden in postvak' staat, is dat item al verwijderd uit het postvak. Soms is er een systeemfout tijdens het herstel. In dergelijke gevallen is het een goed idee om de herstelactie opnieuw uit te voeren.

In het geval van het herstellen van grote batches e-mail, exporteert u de berichten die zijn verzonden voor herstel via e-mailverzending en berichten die zijn hersteld via actielogboeken. De exportlimiet wordt verhoogd tot 100.000 records.

Beheerders kunnen herstelacties uitvoeren, zoals het verplaatsen van e-mailberichten naar de map Ongewenste e-mail, Postvak IN of Verwijderde items, en acties verwijderen zoals voorlopig verwijderd of definitief verwijderen van pagina's voor geavanceerde opsporing.

Het deelvenster Geavanceerde opsporing, acties ondernemen met uw keuze van acties.

Herstel vermindert bedreigingen, adresseert verdachte e-mailberichten en helpt een organisatie veilig te houden.