Manuaalisen sähköpostin korjauksen vaiheet Threat Explorerissa
Sähköpostin korjaus on jo olemassa oleva ominaisuus, jonka avulla järjestelmänvalvojat voivat käsitellä uhkia käyttäviä sähköpostiviestejä.
Mitä tarvitset
- Microsoft Defender for Office 365 palvelupaketti 2 (sisältyy E5-palvelupaketteihin)
- Riittävät käyttöoikeudet (muista myöntää tilin Haku ja tyhjennä rooli)
Create ja seuraa korjausta
- Valitse uhasta korjaava uhkaUhkienhallinnassa ja valitse Sitten Toimi, joka tarjoaa sinulle vaihtoehtoja, kuten Pehmeä poisto tai Kova poisto.
- Sivuruutu avautuu ja pyytää tietoja, kuten korjauksen nimen, vakavuuden ja kuvauksen. Kun tiedot on tarkistettu, valitse Lähetä.
- Heti kun järjestelmänvalvoja on hyväksynyt tämän toiminnon, hän näkee hyväksymistunnuksen ja linkin Microsoft Defender XDR toimintokeskukseen täällä. Tässä sivussa toimintoja voidaan seurata.
- Hallinta toimintoilmoitus: järjestelmäilmoitus näkyy ilmoitusjonossa nimellä Järjestelmänvalvojan lähettämä hallintatoiminto. Tämä ilmaisee, että järjestelmänvalvoja on korjannut entiteetin. Se antaa tietoja, kuten toiminnon tehneen järjestelmänvalvojan nimen sekä tutkimuslinkin ja -ajan. Tämä saa järjestelmänvalvojat tietoisiksi jokaisesta tärkeästä toiminnosta, kuten korjauksesta, joka on tehty entiteeteille.
- Hallinta toimien tutkinnasta – Koska järjestelmänvalvoja on jo tehnyt entiteettien analyysin ja se johti toimintoon, järjestelmä ei enää analysoi entiteettejä. Se näyttää tietoja, kuten liittyvän ilmoituksen, korjaukseen valitun entiteetin, toteutetun toiminnon, korjauksen tilan, entiteettimäärän ja toiminnon hyväksyjän. Näin järjestelmänvalvojat voivat seurata manuaalisesti suoritettuja tutkimuksia ja toimintoja– järjestelmänvalvojan toimien tutkintaa.
- Yhtenäisen toimintokeskuksen toimintolokit – Historia- ja toimintolokit sähköpostitoiminnoille, kuten pehmeä poisto ja siirtyminen poistettujen kohteiden kansioon, ovat kaikki käytettävissä keskitetyssä näkymässä yhtenäisessä Toimintokeskuksen>historia -välilehdessä.
- Yhdistetyn toimintokeskuksen suodattimet : käytettävissä on useita suodattimia, kuten korjauksen nimi, hyväksyntätunnus, tutkimustunnus, tila, toiminnon lähde ja toimintotyyppi. Nämä ovat hyödyllisiä sähköpostitoimintojen etsimiseen ja seurantaan yhdistetyssä toimintokeskuksessa.
Tärkeää
Suorituskyvyn parantamiseksi korjaus tulisi tehdä enintään 50 000 eränä. Rajoita hakutulosta käyttämällä uusinta toimitussijaintia ja käynnistä sähköpostin korjaus, jos sähköposti on korjattavassa kansiossa, kuten Saapuneet, Roskaposti tai Poistettu.
Skenaariot, jotka vaativat sähköpostin korjaamista
Seuraavassa on sähköpostin korjausskenaarioita:
- Osana tutkimusta SecOps tunnistaa uhan loppukäyttäjän postilaatikossa ja haluaa tyhjentää ongelmasähköpostit.
- Kun SecOps hyväksyy automaattisen tutkinnan ja vastauksen (AIR) ehdotetut sähköpostitoiminnot, korjaustoiminto käynnistyy automaattisesti annetulle sähköposti- tai sähköpostiklusterille.
Kaksi manuaalista sähköpostin korjausskenaariota:
- Pääskenaario:
- Sähköpostiviesteissä tehdyt manuaaliset toiminnot (esimerkiksi Uhkienhallinnan tai kehittyneen metsästyksen avulla) näkyvät vain vanhassa Defender for Office 365 Action Centerissä (Sähköpostin ja yhteistyön > tarkistuksen > toimintokeskus toimintokeskuksessa – Microsoft 365 -suojaus).
- Kaksivaiheinen hyväksyntäskenaario:
- Hyväksyntää odottavat manuaaliset toiminnot kaksivaiheisen hyväksyntäprosessin avulla (1. Yksi analyytikko, 2, lisäsi sähköpostin korjaukseen. Toinen analyytikko on tarkistanut ja hyväksynyt sähköpostin).
Yleisistä skenaarioista johtuen sähköpostin korjaus voidaan käynnistää kolmella eri tavalla.
- Kyselypohjainen korjaus: Valitsemalla kaikki hakutulokset kyselyn avulla (enintään 200 000 sähköpostiviestiä voidaan lähettää).
- Käsin valittu korjaus: Valitse sähköpostiviestit yksi kerrallaan napsauttamalla valintaruutua (100 sähköpostiviestiä voidaan lähettää kerrallaan).
- Kyselyyn perustuva korjaus, joka sisältää poissulkeutuksia: Valitse kaikki sähköpostiviestit ja poista sitten muutama viesti manuaalisesti (kyselyssä voi olla enintään 1 000 sähköpostiviestiä ja poissulkemisten enimmäismäärä on 100).
Seuraavat vaiheet
- Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
- Valitse siirtymisruudussa Toimintokeskus.
- Siirry Historia-välilehteen ja valitse mikä tahansa odottava hyväksyntäluettelo. Se avaa sivuruudun.
- Seuraa toiminnon tilaa yhtenäisessä toimintokeskuksessa.