Korygowanie złośliwych wiadomości e-mail dostarczanych w usłudze Office 365

• Dotyczy:

  ✅ Microsoft Defender for Office 365 Plan 2

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Korygowanie oznacza podjęcie określonego działania przeciwko zagrożeniu. Złośliwe wiadomości e-mail wysyłane do organizacji mogą być czyszczone przez system, przez automatyczne przeczyszczanie bez godziny (ZAP) lub przez zespoły zabezpieczeń poprzez akcje korygowania, takie jak przejście do skrzynki odbiorczej, przejście na śmieci, przejście do usuniętych elementów, usuwanie nietrwałe lub usuwanie twarde. Ochrona usługi Office 365 w usłudze Microsoft Defender Plan 2/E5 umożliwia zespołom ds. zabezpieczeń korygowanie zagrożeń za pomocą poczty e-mail i funkcji współpracy za pomocą ręcznego i zautomatyzowanego badania.

Co należy wiedzieć przed rozpoczęciem

• Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Administratorzy mogą podjąć wymagane działania w wiadomościach e-mail, ale rola Search i przeczyszczania jest wymagana do zatwierdzenia tych akcji. Aby przypisać rolę Search i Przeczyszczanie, dostępne są następujące opcje:

  • Microsoft Defender XDR ujednoliconej kontroli dostępu opartej na rolach (RBAC) (dotyczy tylko portalu usługi Defender, a nie programu PowerShell): operacje zabezpieczeń/Dane zabezpieczeń/Email & zaawansowane akcje współpracy (zarządzanie).
  • Email & uprawnienia do współpracy w portalu Microsoft Defender: członkostwo w grupach ról Zarządzanie organizacją lub Badacz danych. Możesz też utworzyć nową grupę ról z przypisaną roląSearch i przeczyszczania oraz dodać użytkowników do niestandardowej grupy ról.

• Sprawdź , czy automatyczne badanie jest włączone pod adresem https://security.microsoft.com/securitysettings/endpoints/integration.

Ręczne i zautomatyzowane korygowanie

Ręczne wyszukiwanie zagrożeń występuje, gdy zespoły zabezpieczeń ręcznie identyfikują zagrożenia przy użyciu funkcji wyszukiwania i filtrowania w Eksploratorze. Ręczne korygowanie poczty e-mail może być wyzwalane za pośrednictwem dowolnego widoku poczty e-mail (złośliwego oprogramowania, języka Phish lub wszystkich wiadomości e-mail) po zidentyfikowaniu zestawu wiadomości e-mail, które muszą zostać skorygowane.

Zespoły zabezpieczeń mogą używać Eksploratora do wybierania wiadomości e-mail na kilka sposobów:

• Wybierz wiadomości e-mail ręcznie: użyj filtrów w różnych widokach. Wybierz maksymalnie 100 wiadomości e-mail do skorygowania.

• Wybór zapytania: wybierz całe zapytanie, używając górnego przycisku wybierz wszystko . To samo zapytanie jest również wyświetlane w szczegółach przesyłania poczty centrum akcji. Klienci mogą przesyłać maksymalnie 200 000 wiadomości e-mail z Eksploratora zagrożeń.

• Wybór zapytania z wykluczeniem: Czasami zespoły operacji zabezpieczeń mogą chcieć korygować wiadomości e-mail, wybierając całe zapytanie i wykluczając niektóre wiadomości e-mail z zapytania ręcznie. W tym celu administrator może użyć pola wyboru Zaznacz wszystko i przewiń w dół, aby ręcznie wykluczyć wiadomości e-mail. Zapytanie może zawierać maksymalnie 200 000 wiadomości e-mail.

Po wybraniu wiadomości e-mail za pośrednictwem Eksploratora możesz rozpocząć korygowanie, podejmując akcję bezpośrednią lub kolejkując wiadomości e-mail w celu wykonania akcji:

• Bezpośrednie zatwierdzanie: Gdy akcje, takie jak przejście do skrzynki odbiorczej, przenoszenie do wiadomości-śmieci, przenoszenie do usuniętych elementów, usuwanie nietrwałe lub usuwanie twarde , są wybierane przez pracowników ochrony, którzy mają odpowiednie uprawnienia, a następnie są wykonywane kolejne kroki korygowania, proces korygowania rozpoczyna wykonywanie wybranej akcji.

  Uwaga

  Gdy korygowanie zostanie uruchomione, generuje alert i badanie równolegle. Alert jest wyświetlany w kolejce alertów o nazwie "Akcja administracyjna przesłana przez administratora" sugerująca, że pracownicy ochrony podjęli akcję korygowania jednostki. Przedstawia szczegóły, takie jak imię i nazwisko osoby, która wykonała akcję, link do badania pomocniczego, czas itp. To działa naprawdę dobrze wiedzieć za każdym razem, gdy trudne działania, takie jak korygowanie jest wykonywana na jednostkach. Wszystkie te akcje można śledzić na karcieActions & Submissions>Action center ->History (Publiczna wersja zapoznawcza).

• Zatwierdzanie dwuetapowe: akcję "dodaj do korygowania" mogą wykonać administratorzy, którzy nie mają odpowiednich uprawnień lub muszą poczekać na wykonanie akcji. W takim przypadku docelowe wiadomości e-mail są dodawane do kontenera korygowania. Zatwierdzenie jest wymagane przed wykonaniem korygowania.

Zautomatyzowane akcje badania i reagowania są wyzwalane przez alerty lub zespoły operacji zabezpieczeń z Eksploratora. Mogą one obejmować zalecane akcje korygowania, które muszą zostać zatwierdzone przez zespół ds. operacji zabezpieczeń. Te akcje są uwzględniane na karcie Akcja w zautomatyzowanym badaniu.

Wszystkie korygowanie (zatwierdzenia bezpośrednie) utworzone w Eksploratorze, zaawansowane wyszukiwanie zagrożeń lub za pośrednictwem zautomatyzowanego badania są wyświetlane w centrum akcji na karcieHistoriacentrum> akcji & Przesłania> (https://security.microsoft.com/action-center/history).

Akcje ręczne oczekujące na zatwierdzenie przy użyciu dwuetapowego procesu zatwierdzania (1. Dodaj do korygowania przez jednego członka zespołu operacji zabezpieczeń, 2. Przejrzane i zatwierdzone przez innego członka zespołu operacji zabezpieczeń) są widoczne na karcie Akcje & Centrum>akcjiprzesyłania >oczekujące (https://security.microsoft.com/action-center/pending). Po zatwierdzeniu są one widoczne na karcie Akcje> & Centrumakcji> PrzesłaniaHistoria (https://security.microsoft.com/action-center/history).

Ujednolicone centrum akcji pokazuje akcje korygowania z ostatnich 30 dni. Akcje wykonywane za pośrednictwem Eksploratora są wyświetlane według nazwy, którą zespół ds. operacji zabezpieczeń podał podczas tworzenia korygowania, a także identyfikator zatwierdzenia, Identyfikator badania. Akcje wykonywane w ramach zautomatyzowanych badań mają tytuły rozpoczynające się od powiązanego alertu, który wyzwolił badanie, takiego jak klaster poczty e-mail Zap.

Otwórz dowolny element korygowania, aby wyświetlić szczegółowe informacje na jego temat, w tym jego nazwę korygowania, identyfikator zatwierdzenia, identyfikator badania, datę utworzenia, opis, stan, źródło akcji, typ akcji, o którym decyduje stan. Zostanie również otwarte okienko boczne ze szczegółami akcji, szczegółami klastra poczty e-mail, alertem i szczegółami zdarzenia.

• Otwórz stronę Badanie , aby otworzyć badanie administratora, które zawiera mniej szczegółów i kart. Wyświetlane są szczegółowe informacje, takie jak: alert pokrewny, jednostka wybrana do korygowania, podjęta akcja, stan korygowania, liczba jednostek, dzienniki, osoba zatwierdzająca akcję. To badanie śledzi badanie wykonywane ręcznie przez administratora i zawiera szczegółowe informacje dotyczące wyborów dokonanych przez administratora, dlatego jest nazywane badaniem akcji administratora. Nie ma potrzeby podejmowania działań w sprawie dochodzenia i powiadamiania o tym, że jest ono już w stanie zatwierdzonym.

• Email liczba Wyświetla liczbę wiadomości e-mail przesyłanych za pośrednictwem Eksploratora zagrożeń. Te wiadomości e-mail mogą być możliwe do wykonania lub nie umożliwiają wykonania akcji.

• Dzienniki akcji Pokaż szczegóły stanu korygowania, takie jak pomyślne, zakończone niepowodzeniem i już w miejscu docelowym.

  

  • Możliwość wykonania akcji: Wiadomości e-mail w następujących lokalizacjach skrzynek pocztowych w chmurze można wykonywać i przenosić:

    • Skrzynki odbiorczej

    • Śmieci

    • Usunięty folder

    • Folder usunięty nietrwale

      Uwaga

      Obecnie tylko użytkownik z dostępem do skrzynki pocztowej może odzyskać elementy z folderu usuniętego nietrwale.

  • Nie można wykonać akcji: Wiadomości e-mail w następujących lokalizacjach nie mogą być realizowane ani przenoszone w akcjach korygowania:

    • Kwarantanna
    • Folder o twardym usunięciu
    • Lokalnie/zewnętrznie
    • Niepowodzenie/upuszczenie
    • Unknown

  • Obsługiwane typy akcji Przenoszenie i usuwanie:

    • Przenieś do folderu śmieci: przenosi komunikaty do folderu Email wiadomości-śmieci użytkownika.
    • Przenieś do skrzynki odbiorczej: przenosi komunikaty do folderu Skrzynka odbiorcza użytkowników.
    • Przenieś do usuniętych elementów: przenosi komunikaty do folderu Elementy usunięte użytkownika.
    • Usuwanie nietrwałe: przenosi komunikaty do usuniętego folderu w chmurze.
    • Usunięcie twarde: trwale usuwa komunikaty.

  Podejrzane komunikaty są kategoryzowane jako korygowanie lub niezobowiązujące. W większości przypadków komunikaty korygowania i niezobowiązywalne łączą się z łączną liczbą przesłanych komunikatów. Ale w rzadkich przypadkach może to nie być prawdą. Może się to zdarzyć z powodu opóźnień systemu, przekroczenia limitu czasu lub wygasłych komunikatów. Komunikaty wygasają na podstawie okresu przechowywania Eksploratora dla Organizacji.

  Jeśli nie korygujesz starych komunikatów po okresie przechowywania Eksploratora organizacji, zaleca się ponowienie próby skorygowania elementów, jeśli wystąpią niespójności liczbowe. W przypadku opóźnień systemu aktualizacje korygowania są zwykle odświeżane w ciągu kilku godzin.

  Jeśli okres przechowywania wiadomości e-mail w Eksploratorze w organizacji wynosi 30 dni, a korygujesz wiadomości e-mail w ciągu 29–30 dni, liczba przesłanych wiadomości e-mail nie zawsze może się sumować. Wiadomości e-mail mogły już zacząć się przenosić z okresu przechowywania.

  Jeśli korygowania są zablokowane w stanie "W toku" na chwilę, jest to prawdopodobnie spowodowane opóźnieniami systemu. Korygowanie może potrwać do kilku godzin. Mogą wystąpić zmiany liczby przesłanych wiadomości e-mail, ponieważ niektóre wiadomości e-mail mogły nie zostać dołączone do zapytania na początku korygowania z powodu opóźnień w systemie. Dobrym pomysłem jest ponowienie próby skorygowania w takich przypadkach.

  Uwaga

  Aby uzyskać najlepsze wyniki, korygowanie powinno odbywać się w partiach o wartości 50 000 lub mniejszej.

  Podczas korygowania działają tylko skorygowane wiadomości e-mail. Niezbywalne wiadomości e-mail nie mogą być korygowane przez Office 365 system poczty e-mail, ponieważ nie są one przechowywane w skrzynkach pocztowych w chmurze.

  Administratorzy mogą w razie potrzeby podejmować działania dotyczące wiadomości e-mail w kwarantannie, ale te wiadomości e-mail wygasają z kwarantanny, jeśli nie zostaną ręcznie wyczyszczone. Domyślnie wiadomości e-mail poddane kwarantannie z powodu złośliwej zawartości nie są dostępne dla użytkowników, więc pracownicy ochrony nie muszą podejmować żadnych działań, aby pozbyć się zagrożeń w kwarantannie. Jeśli wiadomości e-mail są lokalne lub zewnętrzne, można skontaktować się z użytkownikiem w celu wysłania podejrzanej wiadomości e-mail. Administratorzy mogą też użyć oddzielnych narzędzi do usuwania serwera poczty e-mail/zabezpieczeń. Te wiadomości e-mail można zidentyfikować przez zastosowanie lokalizacji dostarczania = lokalnego filtru zewnętrznego w Eksploratorze. W przypadku wiadomości e-mail zakończonych niepowodzeniem lub porzuconych wiadomości e-mail lub wiadomości e-mail, które nie są dostępne dla użytkowników, nie będzie żadnych wiadomości e-mail w celu ich ograniczenia, ponieważ te wiadomości nie docierają do skrzynki pocztowej.

• Dzienniki akcji: pokazuje komunikaty skorygowane, zakończone pomyślnie, zakończone niepowodzeniem, już w miejscu docelowym.

  Stan może być:

  • Rozpoczęto: wyzwalane jest korygowanie.
    • W kolejce: Korygowanie jest umieszczane w kolejce w celu ograniczenia ryzyka wiadomości e-mail.
    • W toku: Środki zaradcze są w toku.
    • Ukończono: Ograniczenie ryzyka dla wszystkich skorygowanych wiadomości e-mail zostało ukończone pomyślnie lub z pewnymi błędami.
    • Niepowodzenie: żadne korygowanie nie powiodło się.

  Ponieważ można wykonywać tylko naprawcze wiadomości e-mail, oczyszczanie każdej wiadomości e-mail jest wyświetlane jako pomyślne lub zakończone niepowodzeniem. Z łącznej liczby skorygowanych wiadomości e-mail są zgłaszane pomyślne i nieudane środki zaradcze.

  • Powodzenie: Żądana akcja dotycząca skorygowanych wiadomości e-mail została wykonana. Na przykład: administrator chce usunąć wiadomości e-mail ze skrzynek pocztowych, więc administrator podejmuje akcję usuwania nietrwałych wiadomości e-mail. Jeśli po wykonaniu akcji w oryginalnym folderze nie odnaleziono adresu e-mail korygowania, stan zostanie wyświetlony jako pomyślny.

  • Niepowodzenie: Żądana akcja dotycząca skorygowanych wiadomości e-mail nie powiodła się. Na przykład: administrator chce usunąć wiadomości e-mail ze skrzynek pocztowych, więc administrator podejmuje akcję usuwania nietrwałych wiadomości e-mail. Jeśli po wykonaniu akcji w skrzynce pocztowej nadal znajduje się adres e-mail korygowania, stan będzie wyświetlany jako zakończony niepowodzeniem.

  • Już w miejscu docelowym: żądana akcja została już podjęta w wiadomości e-mail LUB wiadomość e-mail już istniała w lokalizacji docelowej. Na przykład: wiadomość e-mail została usunięta nietrwale przez administratora za pośrednictwem Eksploratora pierwszego dnia. Następnie podobne wiadomości e-mail są wyświetlane w dniu 2, które są ponownie nietrwale usuwane przez administratora. Podczas wybierania tych wiadomości e-mail administrator odbiera wiadomości e-mail od pierwszego dnia, które zostały już usunięte nietrwale. Teraz te wiadomości e-mail nie zostaną ponownie wykonane, po prostu będą wyświetlane jako "już w miejscu docelowym", ponieważ nie podjęto na nich żadnych działań, ponieważ istniały w lokalizacji docelowej.

  • Nowość: w dzienniku akcji dodano kolumnę Już w miejscu docelowym . Ta funkcja używa najnowszej lokalizacji dostarczania w Eksploratorze zagrożeń do sygnalizowania, czy poczta została już skorygowana. Już w miejscu docelowym pomaga zespołom ds. zabezpieczeń zrozumieć całkowitą liczbę komunikatów, które nadal wymagają rozwiązania.

Akcje można wykonywać tylko w przypadku komunikatów w folderach Skrzynka odbiorcza, Śmieci, Usunięte i Usunięte nietrwale w Eksploratorze zagrożeń. Oto przykład działania nowej kolumny. Akcja usuwania nietrwałego ma miejsce dla komunikatu obecnego w skrzynce odbiorczej, a następnie komunikat jest obsługiwany zgodnie z zasadami. Następnym razem, gdy zostanie wykonane usuwanie nietrwałe, ten komunikat będzie wyświetlany w kolumnie "Już w miejscu docelowym", sygnalizując, że nie trzeba go ponownie rozwiązywać.

Wybierz dowolny element w dzienniku akcji, aby wyświetlić szczegóły korygowania. Jeśli szczegóły mówią "pomyślne" lub "nie znaleziono w skrzynce pocztowej", ten element został już usunięty ze skrzynki pocztowej. Czasami występuje błąd systemu podczas korygowania. W takich przypadkach warto ponowić próbę wykonania akcji korygowania.

W przypadku korygowania dużych partii wiadomości e-mail wyeksportuj wiadomości wysyłane do korygowania za pośrednictwem przesyłania poczty oraz wiadomości skorygowane za pośrednictwem dzienników akcji. Limit eksportu zostanie zwiększony do 100 000 rekordów.

Administratorzy mogą podejmować akcje korygowania, takie jak przenoszenie wiadomości e-mail do folderu Wiadomości-śmieci, Skrzynka odbiorcza lub Usunięte elementy, oraz usuwać akcje, takie jak usuwanie nietrwałe lub twarde ze stron zaawansowanego wyszukiwania zagrożeń.

Korygowanie ogranicza zagrożenia, usuwa podejrzane wiadomości e-mail i pomaga zapewnić bezpieczeństwo organizacji.