Náprava škodlivých e-mailů doručených v Office 365

• Platí pro:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Náprava znamená provedení předepsané akce proti hrozbě. Škodlivý e-mail odeslaný vaší organizaci může vyčistit buď systém, prostřednictvím automatického vyprázdnění (ZAP) nula hodin, nebo týmy zabezpečení prostřednictvím nápravných akcí, jako je přesunutí do doručené pošty, přesun do nevyžádané pošty, přesun na odstraněné položky, obnovitelné odstranění nebo pevné odstranění. Microsoft Defender pro Office 365 Plan 2/E5 umožňuje bezpečnostním týmům opravovat hrozby v e-mailu a spolupráci prostřednictvím ručního a automatizovaného vyšetřování.

Co potřebujete vědět, než začnete

• Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Správci můžou u e-mailových zpráv provést požadovanou akci, ale ke schválení těchto akcí je potřeba role Search a Vyprázdnit. Pokud chcete přiřadit roli Search a vyprázdnit, máte následující možnosti:

  • Microsoft Defender XDR sjednocené řízení přístupu na základě role (RBAC) (týká se jenom portálu Defenderu, ne PowerShellu): Operace zabezpečení/ Data zabezpečení / Pokročilé akce Email & spolupráce (správa).
  • Email & oprávnění ke spolupráci na portálu Microsoft Defender: Členství ve skupinách rolí Správa organizace nebo Řešitel dat. Nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Search a Vyprázdnit a přidat uživatele do vlastní skupiny rolí.

• Ověřte, že je zapnuté automatizované prověřování na adrese https://security.microsoft.com/securitysettings/endpoints/integration.

Ruční a automatizovaná náprava

K ručnímu proaktivnímu vyhledávání dochází, když bezpečnostní týmy identifikují hrozby ručně pomocí funkcí vyhledávání a filtrování v Průzkumníku. Ruční nápravu e-mailu je možné aktivovat prostřednictvím libovolného zobrazení e-mailu (malware, phish nebo všechny e-maily) poté, co identifikujete sadu e-mailů, které je potřeba opravit.

Bezpečnostní týmy můžou pomocí Průzkumníka vybírat e-maily několika způsoby:

• Ruční výběr e-mailů: Používejte filtry v různých zobrazeních. Vyberte až 100 e-mailů, které chcete napravit.

• Výběr dotazu: Pomocí horního tlačítka Vybrat vše vyberte celý dotaz. Stejný dotaz se zobrazuje také v podrobnostech o odeslání pošty v Centru akcí. Zákazníci můžou z Průzkumníka hrozeb odeslat maximálně 200 000 e-mailů.

• Výběr dotazu s vyloučením: Někdy můžou týmy pro operace zabezpečení chtít napravit e-maily tak, že vyberou celý dotaz a některé e-maily z dotazu vyloučí ručně. K tomu může správce použít zaškrtávací políčko Vybrat vše a posunout se dolů a vyloučit e-maily ručně. Dotaz může obsahovat maximálně 200 000 e-mailů.

Jakmile jsou e-maily vybrány prostřednictvím Průzkumníka, můžete zahájit nápravu provedením přímé akce nebo seřazením e-mailů do fronty pro akci:

• Přímé schválení: Když pracovníci zabezpečení, kteří mají příslušná oprávnění, vyberou akce, jako je přesun do složky Doručená pošta, přesun na nevyžádanou poštu, přesun na odstraněné položky, obnovitelné odstranění nebo pevné odstranění, a po provedení dalších kroků v nápravě se vybraná akce spustí.

  Poznámka

  Jakmile se náprava spustí, vygeneruje současně výstrahu a šetření. Výstraha se zobrazí ve frontě upozornění s názvem Akce správy odeslaná správcem, což naznačuje, že pracovníci zabezpečení provedli akci nápravy entity. Obsahuje podrobnosti, jako je jméno osoby, která akci provedla, odkaz na podpůrné šetření, čas atd. Funguje to opravdu dobře, když se v entitách provede tvrdá akce, jako je náprava. Všechny tyto akce můžete sledovat na kartěCentrum akcíAkce & Odeslání> –> Historie (Public Preview).

• Dvoustupňové schválení: Akci přidat k nápravě můžou provést správci, kteří nemají příslušná oprávnění nebo potřebují počkat na provedení akce. V tomto případě se cílové e-maily přidají do kontejneru nápravy. Před provedením nápravy je potřeba schválení.

Akce automatizovaného vyšetřování a reakce aktivují výstrahy nebo týmy pro operace zabezpečení z Průzkumníka. Může se jednat o doporučené nápravné akce, které musí schválit tým pro operace zabezpečení. Tyto akce jsou součástí automatizovaného šetření na kartě Akce .

Všechna náprava (přímá schválení) vytvořená v Průzkumníkovi, rozšířeném proaktivním vyhledávání nebo prostřednictvím automatizovaného vyšetřování se zobrazí v Centru akcí na kartěHistoriecentra> akcí & Odeslání> (https://security.microsoft.com/action-center/history).

Ruční akce čekající na schválení pomocí dvoustupňového procesu schválení (1. Přidejte k nápravě jedním členem týmu operace zabezpečení, 2. Kontrola a schválení jiným členem týmu operace zabezpečení) jsou viditelné na kartě Akce & Odeslání>Centrum> akcíČeká na vyřízení (https://security.microsoft.com/action-center/pending). Po schválení se zobrazí na kartě Akce & Odeslání> vCentru> akcí(https://security.microsoft.com/action-center/history).

Jednotné centrum akcí zobrazuje nápravné akce za posledních 30 dnů. Akce prováděné prostřednictvím Průzkumníka jsou uvedené podle názvu, který tým operací zabezpečení zadal při vytvoření nápravy, a ID schválení a ID šetření. Akce prováděné prostřednictvím automatizovaného šetření mají názvy, které začínají související výstrahou, která šetření aktivovala, například e-mailový cluster Zap.

Otevřete libovolnou položku nápravy a zobrazte o ní podrobnosti, včetně jejího názvu nápravy, ID schválení, ID šetření, data vytvoření, popisu, stavu, zdroje akcí, typu akce, podle rozhodnutí a stavu. Otevře se také boční podokno s podrobnostmi o akcích, podrobnostmi o e-mailovém clusteru, výstrahami a podrobnostmi incidentu.

• Otevření stránky Šetření otevře šetření správce, které obsahuje méně podrobností a karet. Zobrazuje podrobnosti, jako jsou související upozornění, entita vybraná pro nápravu, akce proběhla, stav nápravy, počet entit, protokoly, schvalovatel akce. Toto šetření sleduje šetření provedené ručně správcem a obsahuje podrobnosti o výběrech provedených správcem, proto se nazývá šetření akcí správce. Není nutné provádět šetření a upozorňovat na to, že je již ve schváleném stavu.

• počet Email Zobrazuje počet e-mailů odeslaných prostřednictvím Průzkumníka hrozeb. Tyto e-maily můžou být akční nebo ne.

• Protokoly akcí Zobrazí podrobnosti o stavech nápravy, jako jsou úspěšné, neúspěšné a již v cíli.

  

  • Akce: E-maily v následujících umístěních cloudových poštovních schránek je možné provádět a přesouvat:

    • Složce doručená pošta

    • Nevyžádané pošty

    • Odstraněná složka

    • Obnovitelně odstraněná složka

      Poznámka

      V současné době může obnovit položky z obnovitelné složky jenom uživatel s přístupem k poštovní schránce.

  • Nelze provést akci: E-maily v následujících umístěních se nedají provádět ani přesouvat v nápravných akcích:

    • Karanténa
    • Pevně odstraněná složka
    • Místní/externí
    • Selhání nebo vyřazení
    • Unknown (neznámý)

  • Podporované typy akcí přesunout a odstranit:

    • Přesunout do složky s nevyžádanou poštou: Přesune zprávy do složky Nevyžádané Email uživatele.
    • Přesunout do složky Doručená pošta: Přesune zprávy do složky Doručená pošta uživatelů.
    • Přesunout do odstraněných položek: Přesune zprávy do složky Odstraněná pošta uživatele.
    • Obnovitelné odstranění: Přesune zprávy do odstraněné složky v cloudu.
    • Pevné odstranění: Trvale odstraní zprávy.

  Podezřelé zprávy jsou kategorizovány jako nápravné nebo neodstranitelné. Ve většině případů se nápravné a neodstranitelné zprávy kombinují s celkovým počtem odeslaných zpráv. Ale ve výjimečných případech to nemusí být pravda. K tomu může dojít kvůli zpoždění systému, vypršení časových limitů nebo vypršení platnosti zpráv. Platnost zpráv vyprší na základě doby uchovávání v Průzkumníku pro vaši organizaci.

  Pokud nenapravíte staré zprávy po době uchovávání v Průzkumníku vaší organizace, doporučujeme zkusit opravit položky, pokud se zobrazí nekonzistence čísel. V případě zpoždění systému se aktualizace oprav obvykle aktualizují během několika hodin.

  Pokud je doba uchovávání e-mailů ve vaší organizaci v Průzkumníkovi 30 dnů a vy opravujete e-maily, které se vrátí zpět 29 až 30 dnů, nemusí se počty odeslání pošty vždy sčítat. E-maily se už možná začaly přesouvat z doby uchovávání.

  Pokud se nápravy na nějakou dobu zablokují ve stavu Probíhá, je to pravděpodobně kvůli systémovým zpožděním. Náprava může trvat až několik hodin. V počtech odeslání e-mailů se můžou objevit různé varianty, protože některé e-maily nemusely být zahrnuty do dotazu na začátku nápravy kvůli systémovým zpožděním. V takových případech je vhodné zkusit nápravu zopakovat.

  Poznámka

  Pro dosažení nejlepších výsledků by náprava měla být provedena v dávkách po 50 000 nebo méně.

  Během nápravy se budou reagovat jenom na nápravné e-maily. Neodstranitelné e-maily nemůže Office 365 e-mailový systém napravit, protože nejsou uložené v cloudových poštovních schránkách.

  Správci můžou v případě potřeby provádět akce s e-maily v karanténě, ale pokud nejsou ručně vymazané, platnost těchto e-mailů vyprší. Ve výchozím nastavení nejsou e-maily uložené v karanténě kvůli škodlivému obsahu přístupné uživatelům, takže pracovníci zabezpečení nemusí provádět žádnou akci, aby se zbavili hrozeb v karanténě. Pokud jsou e-maily místní nebo externí, můžete uživatele kontaktovat, aby se s podezřelým e-mailem vyřešil. Nebo můžou správci k odebrání použít samostatný e-mailový server nebo nástroje pro zabezpečení. Tyto e-maily je možné identifikovat použitím externího filtru umístění pro doručení = místní externí filtr v Průzkumníku. V případě neúspěšných nebo zahozených e-mailů nebo e-mailů, ke kterým uživatelé nemají přístup, nebudou k dispozici žádné e-maily, které by bylo potřeba zmírnit, protože tyto e-maily nedostanou do poštovní schránky.

• Protokoly akcí: Zobrazí zprávy napravené, úspěšné, neúspěšné, již v cíli.

  Stav může být:

  • Spuštěno: Aktivuje se náprava.
    • Ve frontě: Náprava je zařazená do fronty pro zmírnění rizik e-mailů.
    • Probíhá: Probíhá zmírnění rizik.
    • Dokončeno: Zmírnění rizik u všech nápravných e-mailů se úspěšně dokončilo nebo došlo k určitým selháním.
    • Selhání: Žádná náprava nebyla úspěšná.

  Protože je možné provádět pouze nápravné e-maily, zobrazí se vyčištění každého e-mailu jako úspěšné nebo neúspěšné. Z celkového počtu nápravných e-mailů se hlásí úspěšná a neúspěšná zmírnění rizik.

  • Úspěch: Byla provedena požadovaná akce u nápravných e-mailů. Příklad: Správce chce odebrat e-maily z poštovních schránek, takže provede akci obnovitelného odstranění e-mailů. Pokud se po provedení akce v původní složce nenajde opravitelný e-mail, stav se zobrazí jako úspěšný.

  • Selhání: Požadovaná akce u nápravitelných e-mailů se nezdařila. Příklad: Správce chce odebrat e-maily z poštovních schránek, takže provede akci obnovitelného odstranění e-mailů. Pokud se v poštovní schránce i po provedení akce najde nápravný e-mail, stav se zobrazí jako neúspěšný.

  • Už je v cíli: U e-mailu už byla provedena požadovaná akce NEBO e-mail už v cílovém umístění existoval. Příklad: E-mail byl odstraněn správcem prostřednictvím Průzkumníka v první den. Pak se podobné e-maily zobrazí 2. den, které správce znovu obnovitelné odstraní. Při výběru těchto e-mailů správce nakonec vyzvedne některé e-maily z prvního dne, které už jsou obnovitelné odstranění. Na tyto e-maily se teď nebudou znovu reagovat, zobrazí se jen jako "už v cíli", protože se s nimi neprovedla žádná akce, protože existovaly v cílovém umístění.

  • Nové: Do protokolu akcí byl přidán sloupec Už v cíli . Tato funkce používá nejnovější umístění doručení v Průzkumníku hrozeb k signalizaci, jestli už byla pošta opravena. Už je v cíli , pomáhá bezpečnostním týmům pochopit celkový počet zpráv, které je ještě potřeba vyřešit.

Akce se dají provádět jenom u zpráv ve složkách Doručená pošta, Nevyžádaná pošta, Odstraněná pošta a Obnovitelné odstranění v Průzkumníku hrozeb. Tady je příklad fungování nového sloupce. U zprávy ve složce Doručená pošta se provede akce obnovitelného odstranění , která se pak zpracuje podle zásad. Při příštím provedení obnovitelného odstranění se tato zpráva zobrazí ve sloupci Už v cíli a bude signalizovat, že se už nemusí řešit znovu.

Výběrem libovolné položky v protokolu akcí zobrazíte podrobnosti o nápravě. Pokud jsou v podrobnostech uvedeno "úspěch" nebo "v poštovní schránce se nenašlo", tato položka už byla z poštovní schránky odebrána. Během nápravy někdy dojde k systémové chybě. V takových případech je vhodné zkusit nápravnou akci zopakovat.

V případě nápravy velkých dávek e-mailů exportujte zprávy odeslané k nápravě prostřednictvím odesílání pošty a zprávy, které byly napraveny prostřednictvím protokolů akcí. Limit exportu se zvýší na 100 000 záznamů.

Správci můžou provádět nápravné akce, jako je přesunutí e-mailových zpráv do složky Nevyžádaná pošta, Doručená pošta nebo Odstraněná pošta, a odstranit akce, jako je obnovitelné odstranění nebo pevné odstranění ze stránek rozšířeného proaktivního vyhledávání.

Náprava zmírňuje hrozby, řeší podezřelé e-maily a pomáhá udržovat organizaci v bezpečí.