Korrigieren bösartiger E-Mails, die in Office 365 zugestellt wurden

• Gilt für::

  ✅ Microsoft Defender for Office 365 Plan 2

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Defender für Office 365 im Microsoft Defender-Portal–Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Abhilfe bedeutet, eine vorgeschriebene Maßnahme gegen eine Bedrohung zu ergreifen. Böswillige E-Mails, die an Ihre Organisation gesendet werden, können entweder vom System, durch automatische Null-Stunden-Bereinigung (Zap) oder von Sicherheitsteams durch Korrekturaktionen wie in den Posteingang, Verschieben in Junk-E-Mails, Verschieben auf gelöschte Elemente, vorläufiges Löschen oder endgültiges Löschen bereinigt werden. Microsoft Defender für Office 365 Plan 2/E5 ermöglicht Es Sicherheitsteams, Bedrohungen in E-Mails und Zusammenarbeitsfunktionen durch manuelle und automatisierte Untersuchung zu beseitigen.

Was Sie wissen müssen, bevor Sie beginnen

• Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Administratoren können die erforderliche Aktion für E-Mail-Nachrichten ausführen, aber die Rolle Suchen und Bereinigen ist erforderlich, um diese Aktionen genehmigen zu lassen. Um die Rolle Suchen und Löschen zuzuweisen, haben Sie die folgenden Optionen:

  • Microsoft Defender XDR Unified Role Based Access Control (RBAC) (Wenn E-Mail & Zusammenarbeit>Defender für Office 365-Berechtigungenaktiv ist. Betrifft nur das Defender-Portal, nicht PowerShell): Sicherheitsvorgänge/Sicherheitsdaten/E-Mail & erweiterte Aktionen für die Zusammenarbeit (Verwalten).
  • E-Mail & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Datenermittler . Alternativ können Sie eine neue Rollengruppe mit zugewiesener Rolle Suchen und Löschen erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.

• Vergewissern Sie sich , dass die automatisierte Untersuchung unter https://security.microsoft.com/securitysettings/endpoints/integrationaktiviert ist.

Manuelle und automatisierte Korrektur

Die manuelle Suche erfolgt, wenn Sicherheitsteams Bedrohungen mithilfe der Such- und Filterfunktionen in Explorer manuell identifizieren. Die manuelle E-Mail-Korrektur kann über jede E-Mail-Ansicht (Malware, Phish oder Alle E-Mails) ausgelöst werden, nachdem Sie eine Reihe von E-Mails identifiziert haben, die korrigiert werden müssen.

Sicherheitsteams können den Explorer verwenden, um E-Mails auf verschiedene Arten auszuwählen:

• E-Mails manuell auswählen: Verwenden Sie Filter in verschiedenen Ansichten. Wählen Sie bis zu 100 zu korrigierende E-Mails aus.

• Abfrageauswahl: Wählen Sie eine gesamte Abfrage aus, indem Sie die obere Schaltfläche alle auswählen verwenden. Dieselbe Abfrage wird auch in Details zur E-Mail-Übermittlung im Info-Center angezeigt. Kunden können maximal 200.000 E-Mails vom Bedrohungs-Explorer übermitteln.

• Abfrageauswahl mit Ausschluss: Manchmal möchten Sicherheitsteams E-Mails korrigieren, indem sie eine gesamte Abfrage auswählen und bestimmte E-Mails manuell aus der Abfrage ausschließen. Dazu kann ein Administrator das Kontrollkästchen Alle auswählen verwenden und nach unten scrollen, um E-Mails manuell auszuschließen. Die Abfrage kann maximal 200.000 E-Mails enthalten.

Sobald E-Mails über Explorer ausgewählt wurden, können Sie die Korrektur starten, indem Sie direkte Maßnahmen ergreifen oder E-Mails für eine Aktion in die Warteschlange stellen:

• Direkte Genehmigung: Wenn Aktionen wie In den Posteingang verschieben, in Junk-E-Mail verschieben, zu gelöschten Elementen verschieben, vorläufiges Löschen oder endgültiges Löschen von Sicherheitsmitarbeitern ausgewählt werden, die über entsprechende Berechtigungen verfügen, und die nächsten Schritte in der Korrektur ausgeführt werden, beginnt der Korrekturprozess mit der Ausführung der ausgewählten Aktion.

  Hinweis

  Wenn die Korrektur gestartet wird, wird parallel eine Warnung und eine Untersuchung generiert. Die Warnung wird in der Warnungswarteschlange mit dem Namen "Administrative Aktion von einem Administrator übermittelt" angezeigt, was darauf hindeutet, dass Sicherheitspersonal die Aktion zur Behebung einer Entität durchgeführt hat. Sie enthält Details wie den Namen der Person, die die Aktion ausgeführt hat, den Unterstützenden Untersuchungslink, die Zeit usw. Es funktioniert wirklich gut, jedes Mal zu wissen, wenn eine harte Aktion wie Die Korrektur für Entitäten ausgeführt wird. Alle diese Aktionen können auf der Registerkarte Aktionen & ÜbermittlungenInfo-Center ->Verlauf (öffentliche Vorschau) nachverfolgt > werden.

• Genehmigung in zwei Schritten: Eine Aktion "Zur Korrektur hinzufügen" kann von Administratoren ausgeführt werden, die nicht über die entsprechenden Berechtigungen verfügen oder warten müssen, um die Aktion auszuführen. In diesem Fall werden die Ziel-E-Mails einem Wartungscontainer hinzugefügt. Die Genehmigung ist erforderlich, bevor die Korrektur ausgeführt wird.

Automatisierte Untersuchungs- und Reaktionsaktionen werden durch Warnungen oder sicherheitsrelevante Betriebsteams aus Explorer ausgelöst. Dazu können empfohlene Korrekturaktionen gehören, die von einem Sicherheitsteam genehmigt werden müssen. Diese Aktionen sind auf der Registerkarte Aktion in der automatisierten Untersuchung enthalten.

Alle Wartungen (direkte Genehmigungen), die im Explorer, bei der erweiterten Suche oder über automatisierte Untersuchung erstellt wurden, werden im Info-Center auf der Registerkartehttps://security.microsoft.com/action-center/historyAktionen & Übermittlungen>Im Info-Center>() angezeigt.

Manuelle Aktionen mit ausstehender Genehmigung mithilfe des zweistufigen Genehmigungsprozesses (1. Fügen Sie zur Korrektur durch ein Mitglied des Sicherheitsvorgangsteams hinzu, 2. Überprüft und genehmigt von einem anderen Mitglied des Sicherheitsvorgangsteams) sind auf der Registerkarte Aktionen & Übermittlungen>Info-Center>ausstehend (https://security.microsoft.com/action-center/pending) sichtbar. Nach der Genehmigung werden sie auf der Registerkarte Aktionen & Übermittlungen>Info-Center-Verlauf> (https://security.microsoft.com/action-center/history) angezeigt.

Unified Action Center zeigt Wartungsaktionen für die letzten 30 Tage an. Aktionen, die über den Explorer ausgeführt werden, werden nach dem Namen aufgeführt, den das Sicherheitsbetriebsteam bei der Erstellung der Korrektur angegeben hat, sowie nach Genehmigungs-ID, Untersuchungs-ID. Aktionen, die über automatisierte Untersuchungen durchgeführt werden, haben Titel, die mit der zugehörigen Warnung beginnen, die die Untersuchung ausgelöst hat, z. B. Zap-E-Mail-Cluster.

Öffnen Sie ein beliebiges Wartungselement, um Details dazu anzuzeigen, einschließlich wartungsname, genehmigungs-ID, Untersuchungs-ID, Erstellungsdatum, Beschreibung, Status, Aktionsquelle, Aktionstyp, festgelegt durch, Status. Außerdem wird ein Seitenbereich mit Aktionsdetails, E-Mail-Clusterdetails, Warnungs- und Incidentdetails geöffnet.

• Öffnen Sie die Seite Untersuchung . Dadurch wird eine Administratoruntersuchung geöffnet, die weniger Details und Registerkarten enthält. Es werden Details wie: zugehörige Warnung, entitätsauswahl für die Wartung, durchgeführte Aktion, Wartungsstatus, Entitätsanzahl, Protokolle, genehmigende Person der Aktion angezeigt. Diese Untersuchung verfolgt die vom Administrator manuell durchgeführte Untersuchung nach und enthält Details zu den vom Administrator getroffenen Auswahlen. Daher wird die Untersuchung von Administratoraktionen bezeichnet. Es ist nicht erforderlich, auf die Untersuchung zu reagieren und ihre bereits im genehmigten Zustand zu warnen.

• Anzahl von E-Mails Zeigt die Anzahl der E-Mails an, die über den Bedrohungs-Explorer gesendet werden. Diese E-Mails können umsetzbar oder nicht umsetzbar sein.

• Aktionsprotokolle Zeigen Sie die Details der Wartungsstatus wie erfolgreich, fehlgeschlagen und bereits im Ziel an.

  

  • Umsetzbar: E-Mails in den folgenden Cloudpostfachspeicherorten können bearbeitet und verschoben werden:

    • Posteingang
    • Junk-E-Mail^*
    • Ordner "Gelöschte Elemente"^*
    • Ordner "Wiederherstellbare Elemente\Deletes" (vorläufig gelöschte Elemente)^*
    • Quarantäne

    ^* Für unter Quarantäne gestellte Elemente nicht verfügbar.

  • Nicht umsetzbar: E-Mails an den folgenden Speicherorten können in Wartungsaktionen nicht bearbeitet oder verschoben werden:

    • Endgültig gelöschter Ordner
    • Lokal/extern
    • Fehler/Gelöscht
    • Unbekannt

  • Unterstützte Arten von Verschiebungs- und Löschaktionen:

    • In Junk-Ordner verschieben: Verschiebt Nachrichten in den Junk-E-Mail-Ordner des Benutzers.

    • In den Posteingang verschieben: Verschiebt Nachrichten in den Posteingangsordner des Benutzers.

    • In gelöschte Elemente verschieben: Verschiebt Nachrichten in den Ordner "Gelöschte Elemente" des Benutzers.

    • Vorläufiges Löschen: Löschen Sie die Nachricht aus dem Ordner Gelöschte Elemente (verschieben Sie in den Ordner Wiederherstellbare Elemente\Deletes). Die Nachricht kann vom Benutzer und den Administratoren wiederhergestellt werden.

      Kopie des Absenders löschen: Versuchen Sie auch, die Nachricht aus dem Ordner Gesendete Elemente des Absenders vorläufig zu löschen, wenn der Absender die Organisation ist.

    • Endgültiges Löschen: Löschen Sie die gelöschte Nachricht. Administratoren können hart gelöschte Elemente mithilfe der Wiederherstellung eines einzelnen Elements wiederherstellen. Weitere Informationen zu endgültig gelöschten und vorläufig gelöschten Elementen finden Sie unter Vorläufig gelöschte und endgültig gelöschte Elemente.

  Verdächtige Nachrichten werden entweder als bereinigungsfähig oder nicht übertragbar kategorisiert. In den meisten Fällen werden bereinigungsfähige und nicht übertragbare Nachrichten kombiniert, was der Gesamtanzahl der gesendeten Nachrichten entspricht. In seltenen Fällen ist dies jedoch möglicherweise nicht der Fall. Dies kann aufgrund von Systemverzögerungen, Timeouts oder abgelaufenen Nachrichten auftreten. Nachrichten laufen basierend auf dem Explorer-Aufbewahrungszeitraum für Ihre Organisation ab.

  Es sei denn, Sie korrigieren alte Nachrichten nach dem Explorer-Aufbewahrungszeitraum Ihrer Organisation, ist es ratsam, die Wiederherstellung von Elementen erneut zu versuchen, wenn Inkonsistenzen von Zahlen angezeigt werden. Bei Systemverzögerungen werden Wartungsupdates in der Regel innerhalb weniger Stunden aktualisiert.

  Wenn der Aufbewahrungszeitraum Ihrer Organisation für E-Mails im Explorer 30 Tage beträgt und Sie E-Mails 29 bis 30 Tage zurück korrigieren, wird die Anzahl der E-Mail-Übermittlungen möglicherweise nicht immer addiert. Die E-Mails haben möglicherweise bereits damit begonnen, den Aufbewahrungszeitraum zu überschritten.

  Wenn Korrekturen eine Weile im Zustand "In Bearbeitung" hängen bleiben, ist dies wahrscheinlich auf Systemverzögerungen zurückzuführen. Die Korrektur kann bis zu einigen Stunden dauern. Möglicherweise werden Abweichungen bei der Anzahl der E-Mail-Übermittlungen angezeigt, da einige der E-Mails aufgrund von Systemverzögerungen zu Beginn der Wartung möglicherweise nicht in die Abfrage eingeschlossen wurden. In solchen Fällen empfiehlt es sich, die Wiederherstellung erneut zu versuchen.

  Hinweis

  Um optimale Ergebnisse zu erzielen, sollten die Korrekturen in Batches von maximal 50.000 erfolgen.

  Während der Wartung werden nur bereinigungsfähige E-Mails bearbeitet. Nicht übertragbare E-Mails können vom Office 365-E-Mail-System nicht bereinigt werden, da sie nicht in Cloudpostfächern gespeichert werden.

  Administratoren können bei Bedarf Aktionen für E-Mails in Quarantäne ausführen, aber diese E-Mails laufen aus der Quarantäne, wenn sie nicht manuell gelöscht werden. Standardmäßig sind E-Mails, die aufgrund schädlicher Inhalte unter Quarantäne stehen, für Benutzer nicht zugänglich, sodass Sicherheitspersonal keine Maßnahmen ergreifen muss, um Bedrohungen in Quarantäne zu beseitigen. Wenn die E-Mails lokal oder extern sind, kann der Benutzer kontaktiert werden, um die verdächtige E-Mail zu adressieren. Alternativ können die Administratoren separate E-Mail-Server-/Sicherheitstools zum Entfernen verwenden. Diese E-Mails können identifiziert werden, indem sie den externen Filter "Übermittlungsort = lokal " im Explorer anwenden. Bei fehlerhaften oder verworfenen E-Mails oder E-Mails, auf die Benutzer nicht zugreifen können, gibt es keine E-Mails, die abgeschwächt werden müssen, da diese E-Mails das Postfach nicht erreichen.

• Aktionsprotokolle: Hier werden die Nachrichten angezeigt, die wiederhergestellt wurden, erfolgreich, fehlgeschlagen, bereits im Ziel.

  Der Status kann wie folgt sein:

  • Gestartet: Die Wartung wird ausgelöst.
    • In die Warteschlange eingereiht: Die Korrektur wird zur Entschärfung von E-Mails in die Warteschlange eingereiht.
    • In Bearbeitung: Die Entschärfung wird ausgeführt.
    • Abgeschlossen: Entschärfung für alle bereinigungsfähigen E-Mails wurde entweder erfolgreich abgeschlossen oder mit einigen Fehlern.
    • Fehler: Es waren keine Korrekturen erfolgreich.

  Da nur bereinigungsfähige E-Mails bearbeitet werden können, wird die Bereinigung jeder E-Mail als erfolgreich oder fehlgeschlagen angezeigt. Aus den gesamten bereinigungsfähigen E-Mails werden erfolgreiche und fehlgeschlagene Entschärfungen gemeldet.

  • Erfolg: Die gewünschte Aktion für bereinigungsfähige E-Mails wurde erreicht. Beispiel: Ein Administrator möchte E-Mails aus Postfächern entfernen, sodass der Administrator E-Mails vorläufig löscht. Wenn eine bereinigungsfähige E-Mail nicht im ursprünglichen Ordner gefunden wird, nachdem die Aktion ausgeführt wurde, wird der Status als erfolgreich angezeigt.

  • Fehler: Die gewünschte Aktion für bereinigungsfähige E-Mails ist fehlgeschlagen. Beispiel: Ein Administrator möchte E-Mails aus Postfächern entfernen, sodass der Administrator E-Mails vorläufig löscht. Wenn nach dem Ausführen der Aktion noch eine bereinigungsfähige E-Mail im Postfach gefunden wird, wird der Status als fehlgeschlagen angezeigt.

  • Bereits im Ziel: Die gewünschte Aktion wurde bereits für die E-Mail ausgeführt, ODER die E-Mail war bereits am Zielspeicherort vorhanden. Beispiel: Eine E-Mail wurde am ersten Tag vom Administrator über Explorer vorläufig gelöscht. Dann werden ähnliche E-Mails an Tag 2 angezeigt, die vom Administrator wieder vorläufig gelöscht werden. Beim Auswählen dieser E-Mails wählt der Administrator am Ende einige E-Mails vom ersten Tag aus, die bereits vorläufig gelöscht wurden. Jetzt werden diese E-Mails nicht mehr bearbeitet, sie werden nur als "bereits im Ziel" angezeigt, da keine Aktion für sie ausgeführt wurde, da sie am Zielort vorhanden waren.

  • Neu: Die Spalte Bereits im Ziel wurde im Aktionsprotokoll hinzugefügt. Dieses Feature verwendet den neuesten Zustellungsort im Bedrohungs-Explorer, um zu signalisieren, ob die E-Mail bereits bereinigt wurde. Bereits am Ziel können Sicherheitsteams die Gesamtanzahl der Nachrichten verstehen, die noch adressiert werden müssen.

Aktionen können nur für Nachrichten in Den Ordnern Posteingang, Junk, Gelöscht und vorläufig gelöscht im Bedrohungs-Explorer ausgeführt werden. Hier sehen Sie ein Beispiel für die Funktionsweise der neuen Spalte. Eine Aktion zum vorläufigen Löschen erfolgt für die Nachricht, die im Posteingang vorhanden ist, und die Nachricht wird dann gemäß den Richtlinien behandelt. Wenn das nächste Mal ein vorläufiges Löschen ausgeführt wird, wird diese Meldung unter der Spalte "Bereits im Ziel" angezeigt, und es wird signalisiert, dass sie nicht erneut adressiert werden muss.

Wählen Sie ein beliebiges Element im Aktionsprotokoll aus, um Wartungsdetails anzuzeigen. Wenn die Details "erfolgreich" oder "Im Postfach nicht gefunden" sagen, wurde dieses Element bereits aus dem Postfach entfernt. Manchmal tritt während der Korrektur ein Systemfehler auf. In diesen Fällen empfiehlt es sich, die Korrekturaktion erneut zu versuchen.

Wenn große E-Mail-Batches wiederhergestellt werden, exportieren Sie die Nachrichten, die über die E-Mail-Übermittlung zur Korrektur gesendet werden, und Nachrichten, die über Aktionsprotokolle wiederhergestellt wurden. Der Exportgrenzwert wird auf 100.000 Datensätze erhöht.

Administratoren können Korrekturaktionen durchführen, z. B. das Verschieben von E-Mail-Nachrichten in den Ordner Junk, Posteingang oder Gelöschte Elemente sowie Löschaktionen wie vorläufiges Löschen oder endgültiges Löschen von Seiten der erweiterten Suche.

Abhilfemaßnahmen mindern Bedrohungen, adressieren verdächtige E-Mails und sorgen für die Sicherheit einer Organisation.