תיקון דואר אלקטרוני זדוני שנמסר Office 365
עצה
הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 תוכנית 2 ללא תשלום? השתמש בגירסת הניסיון של Defender for Office 365 ל- 90 יום במרכז הניסיון של פורטל Microsoft Defender. למד מי יכול להירשם ולתנאי ניסיון ב-נסה את Microsoft Defender עבור Office 365.
תיקון פירושו לבצע פעולה שנקבעה נגד איום. המערכת יכולה לנקות הודעות דואר אלקטרוני זדוניות הנשלחות לארגון שלך, באמצעות מחיקה אוטומטית (ZAP) של אפס שעות או באמצעות פעולות תיקון, כגון העברה לתיבת דואר נכנס, העברה לזבל, העברה לפריטים שנמחקו, מחיקה זמנית או מחיקה קשיחה. Microsoft Defender עבור Office 365 תוכנית 2/E5 מאפשר לצוותי אבטחה לתאם איומים בפונקציונליות דואר אלקטרוני ושיתוף פעולה באמצעות חקירה ידנית או אוטומטית.
המידע שעליך לדעת לפני שתתחיל
עליך לקבל הרשאות מוקצות לפני שתוכל לבצע את ההליכים במאמר זה. מנהלי מערכת יכולים לבצע את הפעולה הנדרשת בהודעות דואר אלקטרוני, אך התפקיד 'חיפוש' ו'מחיקה' נדרש כדי לקבל אישור של פעולות אלה. כדי להקצות את התפקיד חיפוש ותפקיד מחיקה לצמיתות, יש לך את האפשרויות הבאות:
- בקרת גישה המבוססת על תפקיד XDR של Microsoft Defender (RBAC) (אם הרשאות Defender עבורOffice 365&> דואר אלקטרוני ושיתוף פעולה פעילות. משפיע על פורטל Defender בלבד, ולא על PowerShell): פעולות אבטחה/נתוני אבטחה/דואר & פעולה מתקדמות (ניהול).
- שלח & אלקטרוני להרשאות שיתוף פעולה בפורטל Microsoft Defender: חברות בקבוצות התפקידים ' ניהול ארגון' או ' חוקר נתונים'. לחלופין, באפשרותך ליצור קבוצת תפקידים חדשה שהוקצתה לה תפקיד 'חיפוש ונסה למחוק', ולהוסיף את המשתמשים לקבוצת התפקידים המותאמת אישית.
ודא שהחקירה האוטומטית מופעלת ב- https://security.microsoft.com/securitysettings/endpoints/integration.
תיקון ידני אוטומטי
ציד ידני מתרחש כאשר צוותי אבטחה מזהים איומים באופן ידני באמצעות יכולות החיפוש והמסנן בסייר. ניתן להפעיל תיקון דואר אלקטרוני ידני באמצעות כל תצוגת דואר אלקטרוני (תוכנות זדוניות , דיוג או כל הדואר האלקטרוני) לאחר זיהוי קבוצה של הודעות דואר אלקטרוני שיש תיקון.
צוותי אבטחה יכולים להשתמש בסייר כדי לבחור הודעות דואר אלקטרוני בכמה דרכים:
בחר הודעות דואר אלקטרוני ביד: השתמש במסננים בתצוגות שונות. בחר עד 100 הודעות דואר אלקטרוני לתיקון.
בחירת שאילתה: בחר שאילתה שלמה באמצעות הלחצן בחר הכל בחלק העליון. אותה שאילתה מוצגת גם בפרטי שליחת הדואר במרכז הפעולות. לקוחות יכולים לשלוח 200,000 הודעות דואר אלקטרוני לכל היותר מסייר האיומים.
בחירת שאילתה עם אי הכללה: לפעמים צוותי פעולות אבטחה עשויים למיין הודעות דואר אלקטרוני על-ידי בחירת שאילתה שלמה ולא כולל הודעות דואר אלקטרוני מסוימות מהשאילתה באופן ידני. לשם כך, מנהל מערכת יכול להשתמש בתיבת הסימון בחר הכל וגלול מטה כדי לא לכלול הודעות דואר אלקטרוני באופן ידני. השאילתה יכולה להכיל עד 200,000 הודעות דואר אלקטרוני.
לאחר בחירת הודעות דואר אלקטרוני באמצעות Explorer, תוכל להתחיל בתיקון על-ידי ביצוע פעולה ישירה או על-ידי הצבת הודעות דואר אלקטרוני בתור עבור פעולה:
אישור ישיר: כאשר פעולות כגון העברה לתיבת דואר נכנס, מעבר לזבל, העברה לפריטים שנמחקו, מחיקה זמנית או מחיקה קשיחה נבחרות על-ידי צוות האבטחה שיש להם הרשאות מתאימות, והפעולות הבאות בתיקון מקיימות, תהליך התיקון מתחיל לבצע את הפעולה שנבחרה.
הערה
כאשר התיקון נכבה, הוא יוצר התראה וחקירה במקביל. התראה מופיעה בתור ההתראות עם השם "פעולה ניהולית שנשלחה על-ידי מנהל מערכת" המצביעה על כך שהעובדים של האבטחה בוצעו בתיקון ישות. היא מציגה פרטים כגון שם האדם שביצע את הפעולה, קישור לתמיכה בחקירה, שעה וכו'. זה עובד טוב מאוד לדעת בכל פעם שפעולה קשה כמו תיקון מתבצעת בישויות. ניתן לעקוב אחר כל הפעולות הללו תחת הכרטיסיה פעולות & ->History (>public Preview).
אישור דו-שלבי: מנהלי מערכת שאין להם הרשאות מתאימות יכולים לבצע פעולת "הוספה לתיקון", או מי צריך להמתין כדי לבצע את הפעולה. במקרה זה, הודעות הדואר האלקטרוני הייעדיות מתווספות לגורמים מכילים של תיקון. דרוש אישור לפני ביצוע התיקון.
פעולות חקירה ותגובה אוטומטיות מופעלות על-ידי התראות או על-ידי צוותי פעולות אבטחה מהסייר. פעולות אלה עשויות לכלול פעולות תיקון מומלצות שיש לאשר על-ידי צוות של פעולות אבטחה. פעולות אלה נכללות בכרטיסיה פעולה בחקירה האוטומטית.
כל התיקון (אישורים ישירים) שנוצר בסייר, ציד מתקדם או באמצעות חקירה אוטומטית מוצגים במרכז הפעולות בכרטיסיה פעולות &>> מרכז הפעולות היסטוריה (https://security.microsoft.com/action-center/history).
פעולות ידניות הממתינות לאישור באמצעות תהליך האישור הדו-שלבי (1. הוסף לתיקון על-ידי חבר צוות אחד של פעולת אבטחה, 2. נבדקה ואושרה על-ידי חבר צוות אחר של פעולת אבטחה) גלויות בכרטיסיה פעולות &>> 'ממתין' שלמרכז הפעולות של השליחות (https://security.microsoft.com/action-center/pending). לאחר האישור, הם גלויים בכרטיסיה 'פעולות' & '>היסטוריה'של מרכז הפעולות> שלהשליחות (https://security.microsoft.com/action-center/history).
מרכז הפעולות המאוחד מציג פעולות תיקון ב- 30 הימים האחרונים. הפעולות שבוצעו באמצעות הסייר מפורטות לפי השם שסיפק צוות פעולות האבטחה כאשר התיקון נוצר וכן מזהה אישור, מזהה חקירה. פעולות שבוצעו באמצעות חקירות אוטומטיות כוללות כותרות המתחילות בהתראה הקשורה שהפעילה את החקירה, כגון אשכול דואר אלקטרוני Zap.
פתח פריט תיקון כלשהו כדי להציג פרטים אודותיה, כולל שם התיקון שלו, מזהה אישור, מזהה חקירה, תאריך יצירה, תיאור, מצב, מקור פעולה, סוג פעולה, החלטת לפי, מצב. בנוסף, היא פותחת חלונית צדדית עם פרטי פעולה, פרטי אשכול דואר אלקטרוני, התראה ופרטי אירוע.
פתח את דף החקירה פעולה זו פותחת חקירת מנהל מערכת המכילה פחות פרטים וכרטיסיות. היא מציגה פרטים כגון: התראה קשורה, ישות שנבחרה לתיקון, פעולה שבוצעה, מצב תיקון, ספירת ישויות, יומני רישום, מאשר פעולה. חקירה זו שומרת על מעקב אחר חקירה שבוצעה על-ידי מנהל המערכת באופן ידני, והיא מכילה פרטים על הבחירות שבוצעו על-ידי מנהל המערכת, ולכן היא נקראת חקירת פעולות מנהל מערכת. אין צורך לפעול בחקירה ולהוותר על כך במצב מאושר.
ספירת דואר אלקטרוני מציג את מספר הודעות הדואר האלקטרוני שנשלחו באמצעות Threat Explorer. הודעות דואר אלקטרוני אלה אינן ניתנות לפעולה או לא ניתנות לפעולה.
יומני רישום של פעולות הצג את הפרטים של מצבי התיקון, כגון הצליח, נכשל, שכבר נמצא ביעד.
ניתן לפעולה: ניתן להפעיל ולהועבר דואר אלקטרוני במיקומים הבאים של תיבות דואר בענן:
- תיבת דואר נכנס
- זבל*
- התיקיה 'פריטים שנמחקו'*
- התיקיה 'פריטים הניתנים לשחזור'/'מחיקות' (פריטים שנמחקו זמנית)*
- הסגר
* לא זמין עבור פריטים בהסגר.
לא ניתן לפעול: לא ניתן להפעיל או להעביר דואר אלקטרוני במיקומים הבאים בפעולות תיקון:
- תיקיה שנמחקה באופן קשיח
- מקומי/חיצוני
- נכשל/הושמטו
- לא ידוע
סוגי פעולות העברה ומחיקה נתמכות:
מעבר לתיקיית דואר הזבל: העברת הודעות לתיקיה 'דואר זבל' של המשתמש.
מעבר לתיבת הדואר הנכנס: העברת הודעות לתיקיה 'תיבת דואר נכנס' של המשתמשים.
העבר לפריטים שנמחקו: העברת הודעות לתיקיה 'פריטים שנמחקו' של המשתמש.
מחיקה זמנית: מחיקת ההודעה מהתיקיה 'פריטים שנמחקו' (מעבר לתיקיה 'פריטים הניתנים לשחזור'/'מחיקות'). המשתמש ומנהלי המערכת יכולים לשחזר את ההודעה.
מחק את העותק של השולח: נסה גם למחוק זמנית את ההודעה מהתיקיה 'פריטים שנשלחו' של השולח אם השולח הוא הארגון.
מחיקה לצמיתות: מחק את ההודעה שנמחקה. מנהלי מערכת יכולים לשחזר פריטים שנמחקו באופן קשיח באמצעות שחזור של פריט יחיד. לקבלת מידע נוסף אודות פריטים שנמחקו באופן קשיח ופריטים שנמחקו זמנית, ראה פריטים שנמחקו זמנית ופריטים שנמחקו באופן קשיח.
הודעות חשודות מחולקות לקטגוריות כמתווך או לא ניתן לתיקון. ברוב המקרים, הודעות מתווך ולא מתווך משלבות הודעות שוות להודעות הכוללות שנשלחו. אבל במקרים נדירים זה לא יכול להיות נכון. מצב זה עשוי להתרחש עקב עיכובים במערכת, זמן קצוב או הודעות שפג תוקפן. תוקף ההודעות פג בהתבסס על תקופת השמירה של הסייר עבור הארגון שלך.
אם אינך מתיקון הודעות קיימות לאחר תקופת השמירה של סייר הארגון שלך, מומלץ לנסות שוב תיקון פריטים אם אתה רואה חוסר עקביות במספרים. עבור עיכובים במערכת, עדכוני תיקון מתרעננים בדרך כלל בתוך כמה שעות.
אם תקופת השמירה של הארגון שלך עבור דואר אלקטרוני ב- Explorer היא 30 יום ואתה מתיקון הודעות דואר אלקטרוני הנכללות 29-30 יום אחורה, ייתכן שהספירה של שליחת דואר לא תמיד תחבר. ייתכן שהודעות הדואר האלקטרוני כבר התחילו לצאת מתחילת תקופת השמירה.
אם התיקון תקוע במצב 'מתבצע' במשך זמן מה, הדבר כנראה נובע מעיכובים במערכת. ייתכן שידרשו עד כמה שעות כדי לבצע תיקון. ייתכן שתראה וריאציות בספירות שליחת דואר, משום שייתכן שחלק מהודעות הדואר האלקטרוני לא כללו את השאילתה בתחילת התיקון עקב עיכובים במערכת. מומלץ לנסות לבצע תיקון במקרים כאלה.
הערה
לקבלת התוצאות הטובות ביותר, יש לבצע תיקון באצוות של 50,000 ואילך.
רק הודעות דואר אלקטרוני ניתן לתיקון פועלות במהלך תיקון. מערכת הדואר האלקטרוני של Office 365 אינה יכולה לתקנו הודעות דואר אלקטרוני שאינן מתקנת, כי הן אינן מאוחסנות בתיבות דואר בענן.
מנהלי מערכת יכולים לבצע פעולות בהודעות דואר אלקטרוני בהסגר במידת הצורך, אך תוקפן של הודעות דואר אלקטרוני אלה פג מהסגר אם הן לא נמחקות באופן ידני. כברירת מחדל, הודעות דואר אלקטרוני שהועברו להסגר עקב תוכן זדוני אינן נגישות על-ידי משתמשים, כך שהעובדים של האבטחה לא צריכים לבצע שום פעולה כדי להיפטר מאיומים בהסגר. אם הודעות הדואר האלקטרוני הן מקומיות או חיצוניות, ניתן ליצור קשר עם המשתמש כדי לטפל בדואר האלקטרוני החשוד. לחלופין, מנהלי המערכת יכולים להשתמש בכלי שרת/אבטחה נפרדים להסרה. ניתן לזהות הודעות דואר אלקטרוני אלה על-ידי החלת מיקום המסירה = מסנן חיצוני מקומי בסייר. עבור דואר אלקטרוני שנכשל או ששוחרר, או אם הדואר האלקטרוני אינו נגיש על-ידי משתמשים, לא תהיה אפשרות לצמצם דואר אלקטרוני, מאחר שהודעות דואר אלה לא יגיעו לתיבת הדואר.
יומני רישום של פעולות: פעולה זו מציגה את ההודעות המנוהאות, שהצלינו, נכשלו, כבר ביעד.
המצב יכול להיות:
-
הופעל: התיקון מופעל.
- התיקון בתור: התיקון מוצב בתור לצורך צמצום סיכונים של הודעות דואר אלקטרוני.
- מתבצע: צמצום הסיכונים מתבצע.
- הושלם: צמצום הסיכונים בכל הודעות הדואר האלקטרוני המתקנות הושלם בהצלחה או עם כמה כשלים.
- נכשל: לא בוצעו תיקוןים בהצלחה.
מאחר שניתן להפעיל רק הודעות דואר אלקטרוני ניתן לתיקון, ניקוי של כל הודעת דואר אלקטרוני מוצג כמוצלחת או נכשל. מתוך הודעות הדואר האלקטרוני המתווך הכוללות, דווחו על צמצום סיכונים מוצלח ושכשל.
הצלחה: הפעולה הרצויה בהודעות דואר אלקטרוני ניתן לתיקון הושלמה. לדוגמה: מנהל מערכת מעוניין להסיר הודעות דואר אלקטרוני מתיבות דואר, כך שמנהל המערכת נוהל בפעולה של מחיקה זמנית של הודעות דואר אלקטרוני. אם לא נמצאה בתיקיה המקורית הודעת דואר אלקטרוני מתווך לאחר ביצוע הפעולה, המצב יוצג בהצלחה.
כשל: הפעולה הרצויה בהודעות דואר אלקטרוני ניתן לתיקון נכשלה. לדוגמה: מנהל מערכת מעוניין להסיר הודעות דואר אלקטרוני מתיבות דואר, כך שמנהל המערכת נוהל בפעולה של מחיקה זמנית של הודעות דואר אלקטרוני. אם עדיין נמצא דואר אלקטרוני ניתן לתיקון בתיבת הדואר לאחר ביצוע הפעולה, המצב יוצג כ'נכשל'.
כבר ביעד: הפעולה הרצויה כבר בוצעה בהודעת הדואר האלקטרוני או שהודעת הדואר האלקטרוני כבר היתה קיימת במיקום היעד. לדוגמה: מנהל המערכת מחק הודעת דואר אלקטרוני רכה באמצעות הסייר ביום הראשון. לאחר מכן הודעות דואר אלקטרוני דומות יופיעו ביום 2, אשר נמחקו שוב זמנית על-ידי מנהל המערכת. בעת בחירת הודעות דואר אלקטרוני אלה, מנהל המערכת אוסף הודעות דואר אלקטרוני מסוימות מהיום הראשון שכבר נמחקו זמנית. כעת הודעות דואר אלקטרוני אלה לא יוצגו שוב, הן פשוט יופיעו כ"כבר ביעד", מאחר שלא ננקטה כל פעולה לגביהן משום שהן היו קיימות במיקום היעד.
חדש: נוספה עמודת יעד שכבר נמצאת ביומן הפעולות. תכונה זו משתמשת במיקום המסירה העדכני ביותר ב- Threat Explorer כדי לברר אם הדואר כבר תוקנה. האפשרות כבר ביעד מסייעת לצוותי אבטחה להבין את המספר הכולל של הודעות שעדיין צריך לטפל ןן.
-
הופעל: התיקון מופעל.
ניתן לבצע פעולות רק בהודעות בתיקיות 'תיבת דואר נכנס', 'זבל', 'נמחק' ו'נמחק זמנית' של 'סייר האיומים'. להלן דוגמה לאופן הפעולה של העמודה החדשה. פעולת מחיקה זמנית מתבצעת בהודעה הנוכחית בתיבת הדואר הנכנס ולאחר מכן ההודעה מטופלת בהתאם למדיניות. בפעם הבאה שתבצע מחיקה זמנית, הודעה זו תוצג תחת העמודה 'כבר ביעד' עם איתות שאין צורך לטפל בה שוב.
בחר פריט כלשהו ביומן הפעולות כדי להציג פרטי תיקון. אם הפרטים מציין "מוצלח" או "לא נמצא בתיבת הדואר", פריט זה כבר הוסר מתיבת הדואר. לעתים קיימת שגיאת מערכת במהלך תיקון. במקרים אלה, מומלץ לנסות שוב את פעולת התיקון.
במקרה של תיקון אצוות דואר אלקטרוני גדולות, יצא את ההודעות שנשלחו לתיקון באמצעות שליחת דואר והודעות שעברו תיקון באמצעות יומני פעולות. מגבלת הייצוא גדלה ל- 100,000 רשומות.
מנהלי מערכת יכולים לבצע פעולות תיקון כגון העברת הודעות דואר אלקטרוני לתיקיה 'דואר זבל', 'תיבת דואר נכנס' או 'פריטים שנמחקו' ולמחוק פעולות כגון מחיקה זמנית או מחיקה קשיחה מדפי 'ציד מתקדם'.
תיקון מצמצם איומים, מטפל בהודעות דואר אלקטרוני חשודות ומסייע בשמירה על אבטחת הארגון.