Åtgärda skadlig e-post som levereras i Office 365

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

Åtgärd innebär att vidta en bestämt åtgärd mot ett hot. Skadlig e-post som skickas till din organisation kan tas bort antingen av systemet, via nolltimmars automatisk rensning (ZAP) eller av säkerhetsgrupper genom åtgärder som att flytta till Inkorgen , gå till skräppost, gå till borttagna objekt, mjuk borttagning eller ta bort permanent . Med Microsoft Defender för Office 365 abonnemang 2/E5 kan säkerhetsteam åtgärda hot i funktioner för e-post och samarbete genom manuell och automatiserad undersökning.

Anteckning

För att åtgärda skadlig e-post behöver säkerhetsteamen tilldelad rollen Sök och Rensning. Rolltilldelning utförs via behörigheter i Microsoft 365 Defender portalen.

Vad du behöver veta innan du börjar

Administratörer kan vidta nödvändiga åtgärder för e-postmeddelanden, men för att få åtgärderna godkända måste de ha tilldelats rollen Sök och rensa i behörigheterna E&-postsamarbete i Microsoft 365 Defender portalen. Utan rollen Sök och ta bort" som har lagts till i en av rollgrupperna kan de inte utföra åtgärden.

Manuell och automatiserad åtgärd

Manuell sökning sker när säkerhetsgrupper identifierar hot manuellt med hjälp av sök- och filtreringsfunktionerna i Utforskaren. Åtgärder för manuell e-post kan utlösas via valfri e-postvy (skadlig kod, phish eller all e-post) när du har identifierat en uppsättning e-postmeddelanden som behöver åtgärdas.

Manuell 60 Office 365 i Threat Explorer på datum.

Säkerhetsteam kan använda Utforskaren för att välja e-postmeddelanden på flera sätt:

  • Välja e-postmeddelanden för hand: Använd filter i olika vyer. Välj upp till 100 e-postmeddelanden att åtgärda.

  • Frågeval: Markera en hel fråga genom att klicka på knappen Markera allt högst upp. Samma fråga visas också i information om inskickade e-postmeddelanden i åtgärdscenter.

  • Frågeval med undantag: Ibland vill säkerhetsåtgärder grupper åtgärda e-postmeddelanden genom att välja en hel fråga och exkludera vissa e-postmeddelanden från frågan manuellt. För att göra det kan en administratör använda kryssrutan Markera alla och rulla nedåt för att utesluta e-postmeddelanden manuellt. Frågan kan innehålla högst 1 000 e-postmeddelanden. Det maximala antalet undantag är 100.

När du har valt e-postmeddelanden i Utforskaren kan du börja åtgärda genom att vidta direktåtgärder eller genom att köa e-postmeddelanden för en åtgärd:

  • Direktgodkännande: När åtgärder som att flytta till Inkorgen , gå till skräppost , flytta till borttagna objekt, mjuk borttagning eller permanent borttagning väljs av säkerhetspersonalen som har rätt behörighet och nästa steg i åtgärden följs, påbörjas åtgärden. En tillfällig utfällning visar den pågående åtgärd.

  • Tvåstegsgodkännande: Åtgärden "Lägg till i åtgärd" kan vidtas av administratörer som inte har rätt behörighet eller som behöver vänta på att åtgärden ska utföras. I det här fallet läggs riktade e-postmeddelanden till i en åtgärdsbehållare. Godkännande krävs innan reparationen utförs.

Automatisk undersökning och svarsåtgärder utlöses av varningar eller säkerhetsåtgärder från Utforskaren. Dessa kan omfatta rekommenderade åtgärdsåtgärder som måste godkännas av ett team för säkerhetsåtgärder. De här åtgärderna finns på fliken Åtgärd i den automatiska undersökningen.

E-post med skadlig programvara på sidan "Zapped" som visar tid för Zap-körning.

Alla åtgärder (antingen direktgodkännande eller tvåstegsgodkännande) som skapats i Utforskaren samt godkända åtgärder från automatiserade undersökningar visas i Åtgärdscenter. Du kommer åt dem via den vänstra navigeringspanelen under > Granska Åtgärdscenter.

Åtgärdscenter med en lista över hot efter datum och allvarlighetsgrad.

Åtgärdscenter visar alla åtgärder för de senaste 30 dagarna. Åtgärder som utförs i Utforskaren anges av namnet som teamet för säkerhetsåtgärder angav när reparationen skapades. Åtgärder som vidtas genom automatiska undersökningar har rubriker som börjar med den relaterade aviseringen som utlöste undersökningen, till exempel "Zap email cluster... ".

Öppna ett åtgärdsobjekt för att visa information om det, inklusive dess namn, skapandedatum, beskrivning, allvarlighetsgrad och status för hot. Dessutom visas följande två flikar.

  • Fliken för inskick av e-post: Visar antalet e-postmeddelanden som skickats via Hotutforskaren eller automatiserade undersökningar som ska åtgärdas. Dessa e-postmeddelanden kan vara åtgärdsbara eller inte åtgärdsbara.

    Åtgärdscenter med åtgärdsbara och inte åtgärdbara hot.

    • Åtgärd kan åtgärdas: E-postmeddelanden på följande molnbaserade postlådeplatser kan åtgärdas och flyttas:

      • Inkorgen

      • Skräppost

      • Borttagen mapp

      • Mjuk borttaget mapp

        Anteckning

        För närvarande kan endast en användare med åtkomst till postlådan återställa objekt från en mjuk borttagna mapp.

    • Kan inte åtgärdas: E-postmeddelanden på följande platser kan inte åtgärdas eller flyttas i åtgärdsåtgärder:

      • Karantän
      • Mappen Borttaget
      • Lokalt/externt
      • Misslyckades/ignorerades

    Misstänkta meddelanden kategoriseras som antingen åtgärdsbara eller icke-åtgärdsbara. I de flesta fall kombineras de åtgärdsbara och icke-reparerbara meddelandena med det totala antalet skickade meddelanden. Men i sällsynta fall kanske det inte är sant. Det här kan inträffa på grund av systemfördröjningar, tidsgränser eller meddelanden som har löpt ut. Meddelandena förfaller baserat på kvarhållningsperioden i Utforskaren för din organisation.

    Om du inte åtgärdar gamla meddelanden efter att organisationen har kvarhållningstiden i Utforskaren är det lämpligt att försöka åtgärda objekt om antalet inkonsekvenser visas. För systemfördröjningar uppdateras vanligtvis åtgärdsuppdateringar inom några timmar.

    Om organisationens bevarandeperiod för e-post i Utforskaren är 30 dagar och du åtgärdar e-postmeddelanden 29–30 dagar, kanske antalet e-postinskickade meddelanden inte alltid adderar. E-postmeddelandena kan redan ha börjat flyttas från lagringstiden.

    Om åtgärder har fastnat i läget "Pågår" ett tag beror det sannolikt på systemfördröjningar. Det kan ta upp till några timmar att åtgärda. Du kan se variationer i antalet e-postinskickade meddelanden eftersom vissa av e-postmeddelandena kanske inte hade inkluderats i frågan i början av åtgärder på grund av systemfördröjningar. Det är en bra idé att försöka åtgärda det i sådana fall.

    Anteckning

    För bästa resultat bör åtgärder utföras i grupper om 50 000 eller färre.

    Endast åtgärdsbara e-postmeddelanden åtgärdas under åtgärder. Icke-remedierbara e-postmeddelanden kan inte åtgärdas av Office 365 e-postsystem, eftersom de inte lagras i molnbaserade postlådor.

    Administratörer kan vidta åtgärder för e-postmeddelanden i karantän om det behövs, men de e-postmeddelandena löper ut från karantänen om de inte rensas manuellt. Som standard kan inte användare komma åt e-postmeddelanden i karantän på grund av skadligt innehåll, så säkerhetspersonalen behöver inte vidta någon åtgärd för att ta bort hot i karantän. Om e-postmeddelandena finns lokalt eller externt kan användaren kontaktas för att åtgärda det misstänkta e-postmeddelandet. Eller också kan administratörerna använda separata e-postservrar/säkerhetsverktyg för borttagning. Dessa e-postmeddelanden kan identifieras genom att använda leveransplatsen = on-prem externt filter i Utforskaren. För misslyckade eller nedslyckade e-postmeddelanden, eller e-post som inte kan nås av användarna, finns det inte någon e-post att minimera, eftersom dessa e-postmeddelanden inte når postlådan.

    Följande bild visar hur en inskickning ser ut i Åtgärdscenter. En åtgärd kan innehålla flera inlämningar. Om flera åtgärder godkänns genom en automatiserad undersökning visas varje åtgärd för e-post- eller e-postkluster i samma åtgärd som en annan inskicking.

    Utfällpanel för ZAP-e-postkluster.

    Markera ett objekt för e-postinskickning om du vill visa information om den åtgärdade överföringen, t.ex. frågan (när åtgärder utlöses genom automatiska undersökningar eller Utforskaren genom att välja en fråga) och start- och sluttid för åtgärder. Dessutom visas en lista över meddelanden som har skickats för åtgärd. När meddelanden flyttas från Utforskarens kvarhållningstid försvinner meddelandena från den här listan. Listan visar även enskilda meddelanden som kan åtgärdas.

  • Åtgärdsloggar: På den här fliken visas de meddelanden som har åtgärdats, inklusive godkänt datum, administratör som godkänt åtgärden, åtgärden, status och antal.

    Status kan vara:

    • Startad: Åtgärd utlöses.
      • I kö: Åtgärd är i kö för åtgärder av e-postmeddelanden.
      • Pågående : Minskningar pågår.
      • Slutförd: Minskning av alla reparerbara e-postmeddelanden har slutförts eller med vissa fel.
      • Misslyckades: Inga åtgärder lyckades.

    Eftersom endast åtgärdsbara e-postmeddelanden kan åtgärdas, visas rensningen för varje e-postmeddelande som lyckades eller misslyckades. Från de totala åtgärdsbara e-postmeddelandena rapporteras lyckade och misslyckade åtgärder.

    • Framgång: Önskad åtgärd för åtgärdsbara e-postmeddelanden har utförts. Till exempel: En administratör vill ta bort e-postmeddelanden från postlådor, så administratören använder mjuk borttagning av e-postmeddelanden. Om ett åtgärdat e-postmeddelande inte hittas i den ursprungliga mappen efter att åtgärden har vidtagits, visas statusen som lyckades.

    • Fel: Den åtgärd du ville vidta för att åtgärda e-postmeddelanden misslyckades. Till exempel: En administratör vill ta bort e-postmeddelanden från postlådor, så administratören använder mjuk borttagning av e-postmeddelanden. Om ett åtgärdat e-postmeddelande finns kvar i postlådan efter att åtgärden har vidtagits, visas status som misslyckad.

    • Redan i mål: Önskad åtgärd har redan vidtagits för e-postmeddelandet ELLER så fanns e-postmeddelandet redan på målplatsen. Till exempel: Ett e-postmeddelande togs bort mjukt av administratören via Utforskaren på dag ett. Sedan visas liknande e-postmeddelanden dag 2, som återigen tas bort mjukt av administratören. När de här e-postmeddelandena markeras väljer administratören vissa e-postmeddelanden från dag ett som redan är mjukt borttagna. Nu kommer dessa e-postmeddelanden inte att ageras igen, de visas bara som "redan på destinationen", eftersom ingen åtgärd har vidtagits för dem eftersom de fanns på målplatsen.

    • Ny: En kolumn som redan finns i mål har lagts till i åtgärdsloggen. Den här funktionen använder den senaste leveransplatsen i Threat Explorer för att signalera om e-postmeddelandet redan har åtgärdats. Redan på målet hjälper säkerhetsteamen att förstå det totala antalet meddelanden som fortfarande behöver åtgärdas.

Åtgärder kan endast vidtas på meddelanden i Inkorgen, Skräppost, Borttagna och Mjuka borttagna mappar i Hotutforskaren. Här är ett exempel på hur den nya kolumnen fungerar. En mjuk borttagningsåtgärd vidtas på meddelandet som finns i Inkorgen. Därefter hanteras meddelandet enligt policyer. Nästa gång en mjuk borttagning utförs visas det här meddelandet under kolumnen "Redan på destinationen" som visar att den inte behöver åtgärdas igen.

Markera ett objekt i åtgärdsloggen om du vill visa åtgärdsinformation. Om informationen säger "lyckades" eller "hittades inte i postlådan" har objektet redan tagits bort från postlådan. Ibland finns det ett systemfel under åtgärd. I sådana fall är det en bra idé att försöka åtgärda åtgärden igen.

För att åtgärda stora grupper med e-post kan du exportera meddelanden som skickats för åtgärd via e-postinskick och meddelanden som har åtgärdats via åtgärdsloggar. Exportgränsen ökas till 100 000 poster.

Åtgärd minskar hot, adresserar misstänkta e-postmeddelanden och hjälper till att hålla organisationen säker.