Corrigir emails mal-intencionados entregues no Office 365

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Correção significa tomar uma ação prescrita contra uma ameaça. O email mal-intencionado enviado à sua organização pode ser limpo pelo sistema, por meio do ZAP (limpeza automática de zero horas) ou pelas equipes de segurança por meio de ações de correção, como mover para a caixa de entrada, mover para lixo eletrônico, passar para itens excluídos, exclusão automática ou exclusão dura. Microsoft Defender para Office 365 Plano 2/E5 permite que as equipes de segurança corrijam ameaças na funcionalidade de email e colaboração por meio de investigação manual e automatizada.

O que você precisa saber antes de começar

Correção manual e automatizada

A caça manual ocorre quando as equipes de segurança identificam ameaças manualmente usando os recursos de pesquisa e filtragem no Explorer. A correção manual de email pode ser disparada por meio de qualquer exibição de email (Malware, Phish ou Todos os emails) depois de identificar um conjunto de emails que precisam ser corrigidos.

Captura de tela da caça manual no Office 365 Explorer por data.

As equipes de segurança podem usar Explorer para selecionar emails de várias maneiras:

  • Escolha emails manualmente: use filtros em várias exibições. Selecione até 100 emails para corrigir.

  • Seleção de consulta: selecione uma consulta inteira usando o botão selecionar todos os botões. A mesma consulta também é mostrada nos detalhes do envio de email do centro de ação. Os clientes podem enviar no máximo 200.000 emails do explorador de ameaças.

  • Seleção de consulta com exclusão: às vezes, as equipes de operações de segurança podem querer corrigir emails selecionando uma consulta inteira e excluindo determinados emails da consulta manualmente. Para fazer isso, um administrador pode usar a caixa Selecionar todas as marcar e rolar para baixo para excluir emails manualmente. A consulta pode conter no máximo 200.000 emails.

Depois que os emails são selecionados por meio de Explorer, você pode iniciar a correção tomando medidas diretas ou enfileirando emails para uma ação:

  • Aprovação direta: quando ações como mover para a caixa de entrada, mover para lixo eletrônico, mover para itens excluídos, exclusão automática ou exclusão automática são selecionadas pelo pessoal de segurança que tem permissões apropriadas e as próximas etapas de correção são seguidas, o processo de correção começa a executar a ação selecionada.

    Observação

    À medida que a correção é iniciada, ela gera um alerta e uma investigação em paralelo. O alerta aparece na fila de alertas com o nome "Ação administrativa enviada por um Administrador" sugerindo que a equipe de segurança tomou a ação de corrigir uma entidade. Ele apresenta detalhes como o nome da pessoa que realizou a ação, o link de investigação de suporte, a hora etc. Funciona muito bem saber sempre que uma ação dura como a correção é executada em entidades. Todas essas ações podem ser rastreadas na guia Action & Submissions>Action center ->History (versão prévia pública).

  • Aprovação em duas etapas: uma ação "adicionar à correção" pode ser tomada por administradores que não têm permissões apropriadas ou que precisam esperar para executar a ação. Nesse caso, os emails direcionados são adicionados a um contêiner de correção. A aprovação é necessária antes que a correção seja executada.

As ações automatizadas de investigação e resposta são disparadas por alertas ou por equipes de operações de segurança do Explorer. Isso pode incluir ações de correção recomendadas que devem ser aprovadas por uma equipe de operações de segurança. Essas ações estão incluídas na guia Ação na investigação automatizada.

Email com malware na página Zapped mostrando a hora da execução do ZAP.

Todas as correções (aprovações diretas) criadas em Explorer, caça avançada ou por meio de investigação automatizada são exibidas no Centro de ações na guiaHistórico do Centro deAções>& Envios> (https://security.microsoft.com/action-center/history).

Ações manuais pendentes de aprovação usando o processo de aprovação em duas etapas (1. Adicione à correção por um membro da equipe de operação de segurança, 2. Revisados e aprovados por outro membro da equipe de operação de segurança) estão visíveis na guia Ações &Centro de Ação> de Envios>Pendente (https://security.microsoft.com/action-center/pending). Após a aprovação, eles ficam visíveis na guiaHistórico do Centro deAções>& Envios> (https://security.microsoft.com/action-center/history).

A Central de Ações unificada mostra 30 dias de ações de correção.

A Central de Ações Unificadas mostra ações de correção nos últimos 30 dias. As ações realizadas por meio de Explorer são listadas pelo nome que a equipe de operações de segurança forneceu quando a correção foi criada, bem como a ID de aprovação, ID de investigação. As ações realizadas por meio de investigações automatizadas têm títulos que começam com o alerta relacionado que desencadeou a investigação, como o cluster de email zap.

Abra qualquer item de correção para exibir detalhes sobre ele, incluindo seu nome de correção, ID de aprovação, ID de investigação, data de criação, descrição, status, fonte de ação, tipo de ação, decidido por, status. Ele também abre um painel lateral com detalhes de ação, detalhes do cluster de email, alerta e detalhes do incidente.

  • Abra a página Investigação que abre uma investigação de administrador que contém menos detalhes e guias. Ele mostra detalhes como: alerta relacionado, entidade selecionada para correção, ação tomada, correção status, contagem de entidades, logs, aprovador da ação. Essa investigação mantém um controle da investigação feita pelo administrador manualmente e contém detalhes para seleções feitas pelo administrador, portanto, é chamada de investigação de ação de administrador. Não é necessário agir sobre a investigação e alertá-lo já em estado aprovado.

  • Email contagem Exibe o número de emails enviados por meio de Explorer de ameaças. Esses emails podem ser acionáveis ou não acionáveis.

  • Logs de ação Mostre os detalhes de status de correção, como bem-sucedido, com falha e já no destino.

    A opção Central de Ações com a opção Mover para a Caixa de Entrada é aberta.

    • Acionável: os emails nos seguintes locais da caixa de correio de nuvem podem ser agidos e movidos:

      • Caixa de Entrada

      • Lixo

      • Pasta excluída

      • Pasta excluída suavemente

        Observação

        Atualmente, apenas um usuário com acesso à caixa de correio pode recuperar itens de uma pasta excluída.

    • Não acionável: os emails nos seguintes locais não podem ser agidos ou movidos em ações de correção:

      • Quarentena
      • Pasta excluída duramente
      • Local/externo
      • Falha/queda
      • Desconhecido

    • Tipos de ações move e exclusão com suporte:

      • Mover para a pasta lixo eletrônico: move mensagens para a pasta junk Email do usuário.
      • Mover para a caixa de entrada: move mensagens para a pasta Caixa de Entrada dos usuários.
      • Mover para itens excluídos: move mensagens para a pasta Itens Excluídos do usuário.
      • Exclusão suave: move mensagens para uma pasta excluída na nuvem.
      • Exclusão dura: exclui permanentemente as mensagens.

    As mensagens suspeitas são categorizadas como correcionáveis ou não relegáveis. Na maioria dos casos, mensagens corretivas e não remendáveis combinam iguais ao total de mensagens enviadas. Mas em casos raros isso pode não ser verdade. Isso pode acontecer devido a atrasos no sistema, tempo limite ou mensagens expiradas. As mensagens expiram com base no período de retenção Explorer para sua organização.

    A menos que você esteja corrigindo mensagens antigas após o período de retenção Explorer da sua organização, é recomendável tentar novamente corrigir itens se você vir inconsistências numéricas. Para atrasos no sistema, as atualizações de correção normalmente são atualizadas em poucas horas.

    Se o período de retenção da sua organização para email em Explorer for de 30 dias e você estiver corrigindo emails de 29 a 30 dias, as contagens de envio de email podem nem sempre somar. Os emails podem já ter começado a sair do período de retenção.

    Se as correções estiverem presas no estado "Em andamento" por um tempo, provavelmente será devido a atrasos no sistema. Pode levar até algumas horas para corrigir. Você pode ver variações nas contagens de envio de email, pois alguns dos emails podem não ter sido incluídos na consulta no início da correção devido a atrasos no sistema. É uma boa idéia tentar novamente corrigir nesses casos.

    Observação

    Para obter melhores resultados, a correção deve ser feita em lotes de 50.000 ou menos.

    Somente emails corretivos são agidos durante a correção. Emails não remetíveis não podem ser corrigidos pelo sistema de email Office 365, pois não são armazenados em caixas de correio de nuvem.

    Os administradores podem tomar ações em emails em quarentena, se necessário, mas esses e-mails expiram fora de quarentena se não forem limpos manualmente. Por padrão, os emails colocados em quarentena por causa de conteúdo mal-intencionado não são acessíveis pelos usuários, portanto, a equipe de segurança não precisa tomar nenhuma ação para se livrar de ameaças em quarentena. Se os emails forem locais ou externos, o usuário poderá ser contatado para atender ao email suspeito. Ou os administradores podem usar ferramentas separadas de servidor de email/segurança para remoção. Esses emails podem ser identificados aplicando o local de entrega = filtro externo prem no Explorer. Para email com falha ou de saída ou email não acessível pelos usuários, não haverá nenhum email para atenuar, já que esses emails não chegam à caixa de correio.

  • Logs de ação: isso mostra as mensagens corrigidas, bem-sucedidas, com falha, já no destino.

    O status pode ser:

    • Iniciado: a correção é disparada.
      • Enfileirado: a correção está enfileirada para mitigação de emails.
      • Em andamento: a mitigação está em andamento.
      • Concluído: mitigação em todos os emails corretivos concluídos com êxito ou com algumas falhas.
      • Falha: nenhuma correção foi bem-sucedida.

    Como somente emails corretivos podem ser executados, a limpeza de cada email é mostrada como bem-sucedida ou com falha. Do total de emails corretivos, mitigações bem-sucedidas e com falha são relatadas.

    • Sucesso: a ação desejada em emails corretivos foi realizada. Por exemplo: um administrador quer remover emails de caixas de correio, para que o administrador acione os emails de exclusão suave. Se um email corretivo não for encontrado na pasta original após a ação ser tomada, o status mostrará como bem-sucedido.

    • Falha: falha na ação desejada em emails corretivos. Por exemplo: um administrador quer remover emails de caixas de correio, para que o administrador acione os emails de exclusão suave. Se um email corretivo ainda for encontrado na caixa de correio após a ação ser tomada, status mostrará como falha.

    • Já no destino: a ação desejada já foi tomada no email ou no email já existente no local de destino. Por exemplo: um email foi excluído pelo administrador por meio de Explorer no primeiro dia. Em seguida, emails semelhantes aparecem no segundo dia, que são novamente excluídos pelo administrador. Ao selecionar esses emails, o administrador acaba pegando alguns emails do primeiro dia que já estão excluídos suavemente. Agora, esses emails não serão atendidos novamente, eles apenas mostrarão como "já no destino", já que nenhuma ação foi tomada sobre eles como eles existiam no local de destino.

    • Novo: uma coluna já no destino foi adicionada no Log de Ações. Esse recurso usa o local de entrega mais recente no Threat Explorer para sinalizar se o email já foi corrigido. Já no destino ajuda as equipes de segurança a entender o número total de mensagens que ainda precisam ser abordadas.

As ações só podem ser executadas em mensagens nas pastas Caixa de Entrada, Lixo Eletrônico, Excluído e Excluídos Suaves do Explorer de Ameaças. Aqui está um exemplo de como a nova coluna funciona. Uma ação de exclusão suave ocorre na mensagem presente na caixa de entrada e, em seguida, a mensagem é tratada de acordo com as políticas. Na próxima vez que uma exclusão suave for executada, essa mensagem será exibida na coluna "Já no destino" sinalizando que ela não precisa ser tratada novamente.

Selecione qualquer item no log de ações para exibir detalhes de correção. Se os detalhes disserem "bem-sucedido" ou "não encontrado na caixa de correio", esse item já foi removido da caixa de correio. Às vezes, há um erro do sistema durante a correção. Nesses casos, é uma boa ideia tentar novamente a ação de correção.

No caso de corrigir grandes lotes de email, exporte as mensagens enviadas para correção por meio do Envio de Email e as mensagens que foram corrigidas por meio de Logs de Ação. O limite de exportação é aumentado para 100.000 registros.

Os administradores podem executar ações de correção, como mover mensagens de email para a pasta Lixo Eletrônico, Caixa de Entrada ou Itens Excluídos e excluir ações como exclusão automática ou exclusão automática de páginas de Caça Avançada.

O painel Caça Avançada, Tome Ações com sua escolha de ações.

A correção atenua ameaças, aborda emails suspeitos e ajuda a manter uma organização segura.