Remediar e-mails maliciosos que foram entregues no Office 365

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Remediação significa tomar uma ação prescrita contra uma ameaça. Os e-mails maliciosos enviados para a sua organização podem ser limpos pelo sistema, através da remoção automática de zero horas (ZAP) ou pelas equipas de segurança através de ações de remediação, como mover para a caixa de entrada, mover para lixo, mover para itens eliminados, eliminação recuperável ou eliminação dura. Microsoft Defender para Office 365 Plano 2/E5 permite às equipas de segurança remediar ameaças na funcionalidade de e-mail e colaboração através de investigação manual e automatizada.

O que precisa de saber antes de começar

Remediação manual e automatizada

A investigação manual ocorre quando as equipas de segurança identificam as ameaças manualmente através das capacidades de pesquisa e filtragem no Explorador. A remediação manual de e-mail pode ser acionada através de qualquer vista de e-mail (Software Maligno, Phish ou Todos os e-mails) depois de identificar um conjunto de e-mails que precisam de ser remediados.

Captura de ecrã da investigação manual no Explorador de Office 365 por data.

As equipas de segurança podem utilizar o Explorador para selecionar e-mails de várias formas:

  • Escolher e-mails manualmente: utilize filtros em várias vistas. Selecione até 100 e-mails para remediar.

  • Seleção de consultas: selecione uma consulta inteira com o botão selecionar tudo na parte superior. A mesma consulta também é apresentada nos detalhes de submissão de correio do centro de ação. Os clientes podem submeter um máximo de 200 000 e-mails a partir do explorador de ameaças.

  • Seleção de consultas com exclusão: por vezes, as equipas de operações de segurança podem querer remediar e-mails ao selecionar uma consulta completa e excluir alguns e-mails da consulta manualmente. Para tal, um administrador pode utilizar a caixa de verificação Selecionar tudo e deslocar-se para baixo para excluir e-mails manualmente. A consulta pode conter um máximo de 200 000 e-mails.

Assim que os e-mails forem selecionados através do Explorador, pode iniciar a remediação ao efetuar uma ação direta ou ao colocar e-mails em fila para uma ação:

  • Aprovação direta: quando ações como mover para a caixa de entrada, mover para lixo, mover para itens eliminados, eliminação recuperável ou eliminação fixa são selecionadas por pessoal de segurança que tem as permissões adequadas e os passos seguintes na remediação são seguidos, o processo de remediação começa a executar a ação selecionada.

    Nota

    À medida que a remediação é iniciada, gera um alerta e uma investigação em paralelo. O alerta é apresentado na fila de alertas com o nome "Ação administrativa submetida por um Administrador" que sugere que o pessoal de segurança tomou a ação de remediar uma entidade. Apresenta detalhes como o nome da pessoa que efetuou a ação, ligação de apoio à investigação, hora, etc. Funciona muito bem saber sempre que uma ação dura como a remediação é executada em entidades. Todas estas ações podem ser controladas noseparador Centro de Ações& Submissões> ->Histórico (pré-visualização pública).

  • Aprovação de dois passos: uma ação "adicionar à remediação" pode ser tomada por administradores que não têm as permissões adequadas ou que precisam de esperar para executar a ação. Neste caso, os e-mails visados são adicionados a um contentor de remediação. A aprovação é necessária antes de a remediação ser executada.

As ações automatizadas de investigação e resposta são acionadas por alertas ou por equipas de operações de segurança do Explorador. Estas podem incluir ações de remediação recomendadas que têm de ser aprovadas por uma equipa de operações de segurança. Estas ações estão incluídas no separador Ação na investigação automatizada.

Email com software maligno na página Zapped a mostrar a hora da execução do ZAP.

Todas as remediações (aprovações diretas) criadas no Explorador, investigação avançada ou através da Investigação automatizada são apresentadas no Centro de ação no separadorHistórico do Centro > deAções& Submissões> (https://security.microsoft.com/action-center/history).

Ações manuais com aprovação pendente com o processo de aprovação de dois passos (1. Adicione à remediação por um membro da equipa de operação de segurança, 2. Revistos e aprovados por outro membro da equipa de operação de segurança) estão visíveis no separador Centro > deAções& Submissões>Pendentes (https://security.microsoft.com/action-center/pending). Após a aprovação, ficam visíveis no separador Ações & Histórico>do Centro> de Ações ().https://security.microsoft.com/action-center/history

O Centro de Ação unificado mostra-lhe 30 dias de ações de remediação.

O Centro de Ação Unificado mostra as ações de remediação dos últimos 30 dias. As ações executadas através do Explorador são listadas pelo nome que a equipa de operações de segurança forneceu quando a remediação foi criada, bem como o ID de aprovação, ID da Investigação. As ações realizadas através de investigações automatizadas têm títulos que começam com o alerta relacionado que acionou a investigação, como o cluster de e-mail zap.

Abra qualquer item de remediação para ver detalhes sobre o mesmo, incluindo o respetivo nome de remediação, ID de aprovação, ID da Investigação, data de criação, descrição, estado, origem da ação, tipo de ação, decidido por, estado. Também abre um painel lateral com detalhes de ação, detalhes do cluster de e-mail, alertas e Detalhes do incidente.

  • Abra a página Investigação , esta ação abre uma Investigação de Administração que contém menos detalhes e separadores. Mostra detalhes como: alerta relacionado, entidade selecionada para remediação, ação tomada, estado de remediação, contagem de entidades, registos, aprovador de ação. Esta investigação mantém um registo da investigação feita manualmente pelo administrador e contém detalhes sobre as seleções efetuadas pelo administrador, pelo que é denominada investigação de ação de administrador. Não é necessário agir sobre a investigação e alertar o seu estado já aprovado.

  • Email contagem Apresenta o número de e-mails submetidos através do Explorador de Ameaças. Estes e-mails podem ser acionáveis ou não podem ser acionáveis.

  • Registos de ações Mostrar os detalhes dos estados de remediação, como com êxito, com falhas e já no destino.

    O Centro de Ação com a opção Mover para a Caixa de Entrada aberta.

    • Acionável: os e-mails nas seguintes localizações da caixa de correio na nuvem podem ser atuados e movidos:

      • Caixa de Entrada

      • Lixo

      • Pasta eliminada

      • Pasta eliminada de forma recuperável

        Nota

        Atualmente, apenas um utilizador com acesso à caixa de correio pode recuperar itens de uma pasta eliminada de forma recuperável.

    • Não acionável: os e-mails nas seguintes localizações não podem ser atuados ou movidos em ações de remediação:

      • Quarentena
      • Pasta eliminada duramente
      • No local/externo
      • Falha/removida
      • Unknown
    • Tipos de ações de Movimentação e Eliminação suportadas:

      • Mover para a pasta de lixo: move as mensagens para a pasta Email de Lixo do utilizador.
      • Mover para a caixa de entrada: move mensagens para a pasta Caixa de Entrada dos utilizadores.
      • Mover para itens eliminados: move mensagens para a pasta Itens Eliminados do utilizador.
      • Eliminação recuperável: move mensagens para uma pasta eliminada na nuvem.
      • Eliminação rígida: elimina permanentemente as mensagens.

    As mensagens suspeitas são categorizadas como remediadas ou não remediáveis. Na maioria dos casos, as mensagens remediadas e não remediáveis combinam mensagens totais submetidas. Mas em casos raros isto pode não ser verdade. Isto pode acontecer devido a atrasos no sistema, tempos limite ou mensagens expiradas. As mensagens expiram com base no período de retenção do Explorador para a sua organização.

    A menos que esteja a remediar mensagens antigas após o período de retenção do Explorador da sua organização, é aconselhável repetir a remediação de itens se vir inconsistências de números. Para atrasos no sistema, as atualizações de remediação são normalmente atualizadas dentro de algumas horas.

    Se o período de retenção do e-mail da sua organização no Explorer for de 30 dias e estiver a remediar e-mails que remontam há 29 a 30 dias, as contagens de submissão de correio podem nem sempre ser adicionadas. Os e-mails podem já ter começado a sair do período de retenção.

    Se as remediações estiverem bloqueadas no estado "Em curso" durante algum tempo, é provável que se deva a atrasos no sistema. Pode demorar algumas horas a remediar. Poderá ver variações nas contagens de submissão de correio, uma vez que alguns dos e-mails podem não ter sido incluídos na consulta no início da remediação devido a atrasos no sistema. Recomendamos que repita a remediação nestes casos.

    Nota

    Para obter os melhores resultados, a remediação deve ser feita em lotes de 50 000 ou menos.

    Apenas os e-mails remediados são executados durante a remediação. Os e-mails não remediáveis não podem ser remediados pelo sistema de e-mail Office 365, uma vez que não são armazenados em caixas de correio na nuvem.

    Os administradores podem tomar medidas em e-mails em quarentena, se necessário, mas esses e-mails expiram fora de quarentena se não forem removidos manualmente. Por predefinição, os e-mails colocados em quarentena devido a conteúdo malicioso não são acessíveis pelos utilizadores, pelo que o pessoal de segurança não tem de tomar qualquer medida para eliminar ameaças em quarentena. Se os e-mails forem no local ou externos, o utilizador pode ser contactado para abordar o e-mail suspeito. Em alternativa, os administradores podem utilizar ferramentas de segurança/servidor de e-mail separadas para remoção. Estes e-mails podem ser identificados ao aplicar a localização de entrega = filtro externo no local no Explorador. Para e-mails falhados ou removidos, ou e-mails não acessíveis pelos utilizadores, não haverá qualquer e-mail para mitigar, uma vez que estes e-mails não chegam à caixa de correio.

  • Registos de ações: mostra as mensagens remediadas, bem-sucedidas, falhadas, já no destino.

    O estado pode ser:

    • Iniciado: a remediação é acionada.
      • Em fila: a remediação está em fila de espera para mitigação de e-mails.
      • Em curso: a mitigação está em curso.
      • Concluída: Mitigação de todos os e-mails remediados concluída com êxito ou com algumas falhas.
      • Falha: não foram efetuadas remediações com êxito.

    Uma vez que apenas os e-mails remediados podem ser executados, a limpeza de cada e-mail é apresentada como bem-sucedida ou falhada. A partir do total de e-mails remediados, são reportadas mitigações com êxito e falhadas.

    • Êxito: a ação pretendida em e-mails remediados foi realizada. Por exemplo: um administrador quer remover e-mails de caixas de correio, pelo que o administrador toma a ação de eliminar e-mails de forma recuperável. Se não for encontrado um e-mail remediado na pasta original após a ação ser executada, o estado será apresentado como bem-sucedido.

    • Falha: a ação pretendida em e-mails remediados falhou. Por exemplo: um administrador quer remover e-mails de caixas de correio, pelo que o administrador toma a ação de eliminar e-mails de forma recuperável. Se ainda for encontrado um e-mail remediado na caixa de correio após a ação ser efetuada, o estado será apresentado como com falha.

    • Já no destino: a ação pretendida já foi efetuada no e-mail OU o e-mail já existia na localização de destino. Por exemplo: um e-mail foi eliminado de forma recuperável pelo administrador através do Explorador no primeiro dia. Em seguida, os e-mails semelhantes são apresentados no dia 2, que são novamente eliminados de forma recuperável pelo administrador. Ao selecionar estes e-mails, o administrador acaba por recolher alguns e-mails do primeiro dia que já foram eliminados de forma recuperável. Agora, estes e-mails não serão executados novamente, apenas serão apresentados como "já no destino", uma vez que não foram tomadas medidas sobre os mesmos, uma vez que existiam na localização de destino.

    • Novo: foi adicionada uma coluna Já no destino no Registo de Ações. Esta funcionalidade utiliza a localização de entrega mais recente no Explorador de Ameaças para sinalizar se o e-mail já foi remediado. Já no destino ajuda as equipas de segurança a compreender o número total de mensagens que ainda precisam de ser abordadas.

As ações só podem ser efetuadas em mensagens nas pastas Caixa de Entrada, Lixo, Eliminado e Eliminado De Forma Recuperável do Explorador de Ameaças. Eis um exemplo de como funciona a nova coluna. Ocorre uma ação de eliminação recuperável na mensagem presente na Caixa de Entrada e, em seguida, a mensagem é processada de acordo com as políticas. Da próxima vez que for efetuada uma eliminação recuperável, esta mensagem será apresentada na coluna "Já no destino", sinalizando que não precisa de ser abordada novamente.

Selecione qualquer item no registo de ações para apresentar os detalhes da remediação. Se os detalhes indicarem "com êxito" ou "não encontrado na caixa de correio", esse item já foi removido da caixa de correio. Por vezes, ocorre um erro de sistema durante a remediação. Nesses casos, é boa ideia repetir a ação de remediação.

Em caso de remediação de grandes lotes de e-mail, exporte as mensagens enviadas para remediação através da Submissão de Correio e as mensagens que foram remediadas através dos Registos de Ações. O limite de exportação é aumentado para 100 000 registos.

Os administradores podem efetuar ações de remediação, como mover mensagens de e-mail para a pasta Lixo, Caixa de Entrada ou Itens eliminados e eliminar ações como eliminação recuperável ou eliminação forçada de páginas de Investigação Avançada.

O painel Investigação Avançada, Tomar Ações com a sua escolha de ações.

A remediação mitiga ameaças, resolve e-mails suspeitos e ajuda a manter uma organização segura.