Korrigieren bösartiger E-Mails, die in Office 365 zugestellt wurden

• Gilt für::

  ✅ Microsoft Defender for Office 365 Plan 2

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Abhilfe bedeutet, eine vorgeschriebene Maßnahme gegen eine Bedrohung zu ergreifen. Schädliche E-Mails, die an Ihre organization gesendet werden, können entweder durch das System, durch automatische Null-Stunden-Bereinigung (Zap) oder durch Sicherheitsteams durch Korrekturaktionen wie In den Posteingang verschieben, in Junk-E-Mail verschieben, zu gelöschten Elementen verschieben, vorläufiges Löschen oder endgültiges Löschen bereinigt werden. Microsoft Defender for Office 365 Plan 2/E5 ermöglicht es Sicherheitsteams, Bedrohungen in E-Mail- und Zusammenarbeitsfunktionen durch manuelle und automatisierte Untersuchungen zu beheben.

Was Sie wissen müssen, bevor Sie beginnen

• Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Administratoren können die erforderliche Aktion für E-Mail-Nachrichten ausführen, aber die Rolle Search und Bereinigen ist erforderlich, um diese Aktionen genehmigen zu lassen. Sie haben die folgenden Optionen, um die Rolle Search und Bereinigen zuzuweisen:

  • Microsoft Defender XDR vereinheitlichte rollenbasierte Zugriffssteuerung (RBAC) (betrifft nur das Defender-Portal, nicht PowerShell): Sicherheitsvorgänge/Sicherheitsdaten/Email & erweiterte Aktionen für die Zusammenarbeit (Verwalten).
  • Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Datenermittler. Alternativ können Sie eine neue Rollengruppe mit den zugewiesenen Rollen "Search" und "Bereinigen" erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.

• Vergewissern Sie sich , dass die automatisierte Untersuchung unter https://security.microsoft.com/securitysettings/endpoints/integrationaktiviert ist.

Manuelle und automatisierte Korrektur

Die manuelle Suche erfolgt, wenn Sicherheitsteams Bedrohungen mithilfe der Such- und Filterfunktionen in Explorer manuell identifizieren. Die manuelle E-Mail-Korrektur kann über jede E-Mail-Ansicht (Malware, Phish oder Alle E-Mails) ausgelöst werden, nachdem Sie eine Reihe von E-Mails identifiziert haben, die korrigiert werden müssen.

Sicherheitsteams können Explorer verwenden, um E-Mails auf verschiedene Arten auszuwählen:

• E-Mails manuell auswählen: Verwenden Sie Filter in verschiedenen Ansichten. Wählen Sie bis zu 100 zu korrigierende E-Mails aus.

• Abfrageauswahl: Wählen Sie eine gesamte Abfrage aus, indem Sie die obere Schaltfläche alle auswählen verwenden. Dieselbe Abfrage wird auch in Details zur E-Mail-Übermittlung im Info-Center angezeigt. Kunden können maximal 200.000 E-Mails vom Bedrohungs-Explorer übermitteln.

• Abfrageauswahl mit Ausschluss: Manchmal möchten Sicherheitsteams E-Mails korrigieren, indem sie eine gesamte Abfrage auswählen und bestimmte E-Mails manuell aus der Abfrage ausschließen. Dazu kann ein Administrator das Kontrollkästchen Alle auswählen verwenden und nach unten scrollen, um E-Mails manuell auszuschließen. Die Abfrage kann maximal 200.000 E-Mails enthalten.

Nachdem E-Mails über Explorer ausgewählt wurden, können Sie mit der Korrektur beginnen, indem Sie direkte Maßnahmen ergreifen oder E-Mails für eine Aktion in die Warteschlange stellen:

• Direkte Genehmigung: Wenn Aktionen wie In den Posteingang verschieben, in Junk-E-Mail verschieben, zu gelöschten Elementen verschieben, vorläufiges Löschen oder endgültiges Löschen von Sicherheitsmitarbeitern ausgewählt werden, die über entsprechende Berechtigungen verfügen, und die nächsten Schritte in der Korrektur ausgeführt werden, beginnt der Korrekturprozess mit der Ausführung der ausgewählten Aktion.

  Hinweis

  Wenn die Korrektur gestartet wird, wird parallel eine Warnung und eine Untersuchung generiert. Die Warnung wird in der Warnungswarteschlange mit dem Namen "Administrative Aktion von einem Administrator übermittelt" angezeigt, was darauf hindeutet, dass Sicherheitspersonal die Aktion zur Behebung einer Entität durchgeführt hat. Sie enthält Details wie den Namen der Person, die die Aktion ausgeführt hat, den Unterstützenden Untersuchungslink, die Zeit usw. Es funktioniert wirklich gut, jedes Mal zu wissen, wenn eine harte Aktion wie Die Korrektur für Entitäten ausgeführt wird. Alle diese Aktionen können auf der Registerkarte Aktionen & ÜbermittlungenInfo-Center ->Verlauf (öffentliche Vorschau) nachverfolgt > werden.

• Genehmigung in zwei Schritten: Eine Aktion "Zur Korrektur hinzufügen" kann von Administratoren ausgeführt werden, die nicht über die entsprechenden Berechtigungen verfügen oder warten müssen, um die Aktion auszuführen. In diesem Fall werden die Ziel-E-Mails einem Wartungscontainer hinzugefügt. Die Genehmigung ist erforderlich, bevor die Korrektur ausgeführt wird.

Automatisierte Untersuchungs- und Reaktionsaktionen werden durch Warnungen oder sicherheitsrelevante Betriebsteams aus Explorer ausgelöst. Dazu können empfohlene Korrekturaktionen gehören, die von einem Sicherheitsteam genehmigt werden müssen. Diese Aktionen sind auf der Registerkarte Aktion in der automatisierten Untersuchung enthalten.

Alle Korrekturmaßnahmen (direkte Genehmigungen), die in Explorer, erweiterter Suche oder über automatisierte Untersuchung erstellt wurden, werden im Info-Center auf der Registerkarte Aktionen & Übermittlungen>Info-Center-Verlauf> (https://security.microsoft.com/action-center/history) angezeigt.

Manuelle Aktionen mit ausstehender Genehmigung mithilfe des zweistufigen Genehmigungsprozesses (1. Fügen Sie zur Korrektur durch ein Mitglied des Sicherheitsvorgangsteams hinzu, 2. Überprüft und genehmigt von einem anderen Mitglied des Sicherheitsvorgangsteams) sind auf der Registerkarte Aktionen & Übermittlungen>Info-Center>ausstehend (https://security.microsoft.com/action-center/pending) sichtbar. Nach der Genehmigung werden sie auf der Registerkarte Aktionen & Übermittlungen>Info-Center-Verlauf> (https://security.microsoft.com/action-center/history) angezeigt.

Unified Action Center zeigt Wartungsaktionen für die letzten 30 Tage an. Aktionen, die über Explorer ausgeführt werden, werden nach dem Namen aufgeführt, den das Sicherheitsbetriebsteam beim Erstellen der Korrektur angegeben hat, sowie nach Genehmigungs-ID, Untersuchungs-ID. Aktionen, die über automatisierte Untersuchungen durchgeführt werden, haben Titel, die mit der zugehörigen Warnung beginnen, die die Untersuchung ausgelöst hat, z. B. Zap-E-Mail-Cluster.

Öffnen Sie ein beliebiges Wartungselement, um Details dazu anzuzeigen, einschließlich wartungsname, genehmigungs-ID, Untersuchungs-ID, Erstellungsdatum, Beschreibung, status, Aktionsquelle, Aktionstyp, festgelegt von, status. Außerdem wird ein Seitenbereich mit Aktionsdetails, E-Mail-Clusterdetails, Warnungs- und Incidentdetails geöffnet.

• Öffnen Sie die Seite Untersuchung . Dadurch wird eine Administratoruntersuchung geöffnet, die weniger Details und Registerkarten enthält. Es zeigt Details wie: zugehörige Warnung, entitätsauswahl für die Wartung, durchgeführte Aktion, Status, Entitätsanzahl, Protokolle, genehmigende Person der Aktion. Diese Untersuchung verfolgt die vom Administrator manuell durchgeführte Untersuchung nach und enthält Details zu den vom Administrator getroffenen Auswahlen. Daher wird die Untersuchung von Administratoraktionen bezeichnet. Es ist nicht erforderlich, auf die Untersuchung zu reagieren und ihre bereits im genehmigten Zustand zu warnen.

• anzahl Email Zeigt die Anzahl der E-Mails an, die über threat Explorer gesendet wurden. Diese E-Mails können umsetzbar oder nicht umsetzbar sein.

• Aktionsprotokolle Zeigen Sie die Details der Wartungsstatus wie erfolgreich, fehlgeschlagen und bereits im Ziel an.

  

  • Umsetzbar: E-Mails in den folgenden Cloudpostfachspeicherorten können bearbeitet und verschoben werden:

    • Posteingang

    • Junk-E-Mail

    • Ordner gelöscht

    • Vorläufig gelöschter Ordner

      Hinweis

      Derzeit kann nur ein Benutzer mit Zugriff auf das Postfach Elemente aus einem vorläufig gelöschten Ordner wiederherstellen.

  • Nicht umsetzbar: E-Mails an den folgenden Speicherorten können nicht bearbeitet oder in Wartungsaktionen verschoben werden:

    • Quarantäne
    • Endgültig gelöschter Ordner
    • Lokal/extern
    • Fehler/Gelöscht
    • Unbekannt

  • Unterstützte Arten von Verschiebungs- und Löschaktionen:

    • In Junk-Ordner verschieben: Verschiebt Nachrichten in den Junk-Email Ordner des Benutzers.
    • In den Posteingang verschieben: Verschiebt Nachrichten in den Posteingangsordner des Benutzers.
    • In gelöschte Elemente verschieben: Verschiebt Nachrichten in den Ordner "Gelöschte Elemente" des Benutzers.
    • Vorläufiges Löschen: Verschiebt Nachrichten in einen gelöschten Ordner in der Cloud.
    • Endgültiges Löschen: Löscht die Nachrichten endgültig.

  Verdächtige Nachrichten werden entweder als bereinigungsfähig oder nicht übertragbar kategorisiert. In den meisten Fällen werden bereinigungsfähige und nicht übertragbare Nachrichten kombiniert, was der Gesamtanzahl der gesendeten Nachrichten entspricht. In seltenen Fällen ist dies jedoch möglicherweise nicht der Fall. Dies kann aufgrund von Systemverzögerungen, Timeouts oder abgelaufenen Nachrichten auftreten. Nachrichten laufen basierend auf dem Explorer Aufbewahrungszeitraum für Ihre organization ab.

  Es sei denn, Sie korrigieren alte Nachrichten nach dem Explorer Aufbewahrungszeitraum Ihrer organization, ist es ratsam, die Korrektur von Elementen erneut zu versuchen, wenn Nummerninkonsistenzen angezeigt werden. Bei Systemverzögerungen werden Wartungsupdates in der Regel innerhalb weniger Stunden aktualisiert.

  Wenn der Aufbewahrungszeitraum Ihrer organization für E-Mails in Explorer 30 Tage beträgt und Sie E-Mails 29 bis 30 Tage zurück korrigieren, wird die Anzahl der E-Mail-Übermittlungen möglicherweise nicht immer addiert. Die E-Mails haben möglicherweise bereits damit begonnen, den Aufbewahrungszeitraum zu überschritten.

  Wenn Korrekturen eine Weile im Zustand "In Bearbeitung" hängen bleiben, ist dies wahrscheinlich auf Systemverzögerungen zurückzuführen. Die Korrektur kann bis zu einigen Stunden dauern. Möglicherweise werden Abweichungen bei der Anzahl der E-Mail-Übermittlungen angezeigt, da einige der E-Mails aufgrund von Systemverzögerungen zu Beginn der Wartung möglicherweise nicht in die Abfrage eingeschlossen wurden. In solchen Fällen empfiehlt es sich, die Wiederherstellung erneut zu versuchen.

  Hinweis

  Um optimale Ergebnisse zu erzielen, sollten die Korrekturen in Batches von maximal 50.000 erfolgen.

  Während der Wartung werden nur bereinigungsfähige E-Mails bearbeitet. Nicht übertragbare E-Mails können vom Office 365 E-Mail-System nicht behoben werden, da sie nicht in Cloudpostfächern gespeichert werden.

  Administratoren können bei Bedarf Aktionen für E-Mails in Quarantäne ausführen, aber diese E-Mails laufen aus der Quarantäne, wenn sie nicht manuell gelöscht werden. Standardmäßig sind E-Mails, die aufgrund schädlicher Inhalte unter Quarantäne stehen, für Benutzer nicht zugänglich, sodass Sicherheitspersonal keine Maßnahmen ergreifen muss, um Bedrohungen in Quarantäne zu beseitigen. Wenn die E-Mails lokal oder extern sind, kann der Benutzer kontaktiert werden, um die verdächtige E-Mail zu adressieren. Alternativ können die Administratoren separate E-Mail-Server-/Sicherheitstools zum Entfernen verwenden. Diese E-Mails können identifiziert werden, indem sie den externen Filter "Übermittlungsort = lokal" in Explorer anwenden. Bei fehlerhaften oder verworfenen E-Mails oder E-Mails, auf die Benutzer nicht zugreifen können, gibt es keine E-Mails, die abgeschwächt werden müssen, da diese E-Mails das Postfach nicht erreichen.

• Aktionsprotokolle: Hier werden die Nachrichten angezeigt, die wiederhergestellt wurden, erfolgreich, fehlgeschlagen, bereits im Ziel.

  Der Status kann wie folgt sein:

  • Gestartet: Die Wartung wird ausgelöst.
    • In die Warteschlange eingereiht: Die Korrektur wird zur Entschärfung von E-Mails in die Warteschlange eingereiht.
    • In Bearbeitung: Die Entschärfung wird ausgeführt.
    • Abgeschlossen: Entschärfung für alle bereinigungsfähigen E-Mails wurde entweder erfolgreich abgeschlossen oder mit einigen Fehlern.
    • Fehler: Es waren keine Korrekturen erfolgreich.

  Da nur bereinigungsfähige E-Mails bearbeitet werden können, wird die Bereinigung jeder E-Mail als erfolgreich oder fehlgeschlagen angezeigt. Aus den gesamten bereinigungsfähigen E-Mails werden erfolgreiche und fehlgeschlagene Entschärfungen gemeldet.

  • Erfolg: Die gewünschte Aktion für bereinigungsfähige E-Mails wurde erreicht. Beispiel: Ein Administrator möchte E-Mails aus Postfächern entfernen, sodass der Administrator E-Mails vorläufig löscht. Wenn nach dem Ausführen der Aktion keine bereinigungsfähige E-Mail im ursprünglichen Ordner gefunden wird, wird die status als erfolgreich angezeigt.

  • Fehler: Die gewünschte Aktion für bereinigungsfähige E-Mails ist fehlgeschlagen. Beispiel: Ein Administrator möchte E-Mails aus Postfächern entfernen, sodass der Administrator E-Mails vorläufig löscht. Wenn nach dem Ausführen der Aktion noch eine bereinigungsfähige E-Mail im Postfach gefunden wird, wird status als fehlerhaft angezeigt.

  • Bereits im Ziel: Die gewünschte Aktion wurde bereits für die E-Mail ausgeführt, ODER die E-Mail war bereits am Zielspeicherort vorhanden. Beispiel: Eine E-Mail wurde vom Administrator am ersten Tag über Explorer vorläufig gelöscht. Dann werden ähnliche E-Mails an Tag 2 angezeigt, die vom Administrator wieder vorläufig gelöscht werden. Beim Auswählen dieser E-Mails wählt der Administrator am Ende einige E-Mails vom ersten Tag aus, die bereits vorläufig gelöscht wurden. Jetzt werden diese E-Mails nicht mehr bearbeitet, sie werden nur als "bereits im Ziel" angezeigt, da keine Aktion für sie ausgeführt wurde, da sie am Zielort vorhanden waren.

  • Neu: Die Spalte Bereits im Ziel wurde im Aktionsprotokoll hinzugefügt. Dieses Feature verwendet den neuesten Zustellungsort in Threat Explorer, um zu signalisieren, ob die E-Mail bereits bereinigt wurde. Bereits am Ziel können Sicherheitsteams die Gesamtanzahl der Nachrichten verstehen, die noch adressiert werden müssen.

Aktionen können nur für Nachrichten in Den Ordnern "Posteingang", "Junk", "Gelöscht" und "Vorläufig gelöscht" von "Threat Explorer" ausgeführt werden. Hier sehen Sie ein Beispiel für die Funktionsweise der neuen Spalte. Eine Aktion zum vorläufigen Löschen erfolgt für die Nachricht, die im Posteingang vorhanden ist, und die Nachricht wird dann gemäß den Richtlinien behandelt. Wenn das nächste Mal ein vorläufiges Löschen ausgeführt wird, wird diese Meldung unter der Spalte "Bereits im Ziel" angezeigt, und es wird signalisiert, dass sie nicht erneut adressiert werden muss.

Wählen Sie ein beliebiges Element im Aktionsprotokoll aus, um Wartungsdetails anzuzeigen. Wenn die Details "erfolgreich" oder "Im Postfach nicht gefunden" sagen, wurde dieses Element bereits aus dem Postfach entfernt. Manchmal tritt während der Korrektur ein Systemfehler auf. In diesen Fällen empfiehlt es sich, die Korrekturaktion erneut zu versuchen.

Wenn große E-Mail-Batches wiederhergestellt werden, exportieren Sie die Nachrichten, die über die E-Mail-Übermittlung zur Korrektur gesendet werden, und Nachrichten, die über Aktionsprotokolle wiederhergestellt wurden. Der Exportgrenzwert wird auf 100.000 Datensätze erhöht.

Administratoren können Korrekturaktionen durchführen, z. B. das Verschieben von E-Mail-Nachrichten in den Ordner Junk, Posteingang oder Gelöschte Elemente sowie Löschaktionen wie vorläufiges Löschen oder endgültiges Löschen von Seiten der erweiterten Suche.

Die Problembehebung entschärft Bedrohungen, adressiert verdächtige E-Mails und trägt dazu bei, eine organization zu schützen.