הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
עצה
הידעת שתוכל לנסות את התכונות ב- Microsoft Defender עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון ב-נסה Microsoft Defender עבור Office 365.
תיקון פירושו לבצע פעולה שנקבעה נגד איום. המערכת יכולה לנקות דואר אלקטרוני זדוני שנשלח לארגון שלך באמצעות מחיקה אוטומטית (ZAP) של אפס שעות או באמצעות פעולות תיקון, כגון העברה לתיבת הדואר הנכנס, מעבר לזבל, מעבר לפריטים שנמחקו, מחיקה זמנית או מחיקה קשיחה. Microsoft Defender עבור Office 365 תוכנית 2/E5 מאפשרת לצוותי אבטחה לעדכן איומים בפונקציונליות דואר אלקטרוני ושיתוף פעולה באמצעות חקירה ידנית או אוטומטית.
המידע שעליך לדעת לפני שתתחיל
קיימות מגבלות ויסות עבור תיקונים בקנה מידה גדול שמסייעים להבטיח יציבות וביצועים של השירות:
- מגבלות ארגון: המספר המרבי של תיקון דואר אלקטרוני פעיל בו-זמני הוא 50. לאחר שהגעת למגבלה, לא יופעלו תיקוןים חדשים עד להשלמת פעולות מסוימות.
- מגבלות על הודעות דואר אלקטרוני: אם תיקון פעיל כרוך ביותר ממיליון הודעות דואר אלקטרוני, לא מותר לבצע תיקון דואר אלקטרוני חדש.
-
דרישות הנמען בתיקון:
- האחוז הכולל של הנמענים שנבחרו חייב להיות לפחות 40% מספירת הודעות הדואר האלקטרוני הכוללת בתיקון. אם התיקון מחייב מחיקה של 5,000 הודעות דואר אלקטרוני, התיקון חייב למקד 2,000 נמענים לפחות. Explorer (Threat Explorer) סופר כל נמען כהודעת דואר אלקטרוני ייחודית. לדוגמה, Threat Exporer סופר הודעה שנשלחה ל- 5 כתובות כ- 5 הודעות.
- אם ספירת הנמענים נמוכה מ- 40% מספירת הודעות הדואר האלקטרוני הכוללת, לא ניתן להשתמש בתיקון כדי למחוק יותר מ- 1,000 הודעות שנשלחו לנמען יחיד.
עליך לקבל הרשאות מוקצות לפני שתוכל לבצע את ההליכים במאמר זה. מנהלי מערכת יכולים לבצע את הפעולה הנדרשת בהודעות דואר אלקטרוני, אך התפקיד 'חיפוש' ו'מחיקה' נדרש כדי לקבל אישור של פעולות אלה. כדי להקצות את התפקיד חיפוש ותפקיד מחיקה לצמיתות, יש לך את האפשרויות הבאות:
-
Microsoft Defender XDR בקרת גישה מבוססת תפקיד מאוחד (RBAC) (אם ההרשאות 'שיתוף פעולה &> דואר אלקטרוני Defender עבור Office 365 פעילות
'. משפיע על פורטל Defender בלבד, ולא על PowerShell): פעולות אבטחה/נתוני אבטחה/דואר & פעולה מתקדמות (ניהול).
- דואר & הרשאות שיתוף פעולה בפורטל Microsoft Defender: חברות בקבוצות התפקידים 'ניהול ארגון' או 'חוקר נתונים'. לחלופין, באפשרותך ליצור קבוצת תפקידים חדשה שהוקצתה לה תפקיד 'חיפוש ונסה למחוק', ולהוסיף את המשתמשים לקבוצת התפקידים המותאמת אישית.
-
Microsoft Defender XDR בקרת גישה מבוססת תפקיד מאוחד (RBAC) (אם ההרשאות 'שיתוף פעולה &> דואר אלקטרוני Defender עבור Office 365 פעילות
ודא שהחקירה האוטומטית מופעלת ב- https://security.microsoft.com/securitysettings/endpoints/integration.
תיקון ידני אוטומטי
ציד ידני מתרחש כאשר צוותי אבטחה מזהים איומים באופן ידני באמצעות יכולות החיפוש והמסנן בסייר (Threat Explorer). ניתן להפעיל תיקון דואר אלקטרוני ידני באמצעות כל תצוגת דואר אלקטרוני (תוכנות זדוניות , דיוג או כל הדואר האלקטרוני) לאחר זיהוי קבוצה של הודעות דואר אלקטרוני שיש תיקון.
צוותי אבטחה יכולים להשתמש בסייר כדי לבחור הודעות דואר אלקטרוני בכמה דרכים:
בחר הודעות דואר אלקטרוני ביד: השתמש במסננים בתצוגות שונות. בחר עד 100 הודעות דואר אלקטרוני לתיקון.
בחירת שאילתה: בחר שאילתה שלמה באמצעות הלחצן בחר הכל בחלק העליון. אותה שאילתה מוצגת גם בפרטי שליחת הדואר במרכז הפעולות. לקוחות יכולים לשלוח 200,000 הודעות דואר אלקטרוני לכל היותר מהסייר.
בחירת שאילתה עם אי הכללה: לפעמים צוותי פעולות אבטחה עשויים למיין הודעות דואר אלקטרוני על-ידי בחירת שאילתה שלמה ולא כולל הודעות דואר אלקטרוני מסוימות מהשאילתה באופן ידני. לשם כך, מנהל מערכת יכול להשתמש בתיבת הסימון בחר הכל וגלול מטה כדי לא לכלול הודעות דואר אלקטרוני באופן ידני. השאילתה יכולה להכיל עד 200,000 הודעות דואר אלקטרוני.
לאחר בחירת הודעות דואר אלקטרוני באמצעות Explorer, תוכל להתחיל בתיקון על-ידי ביצוע פעולה ישירה או על-ידי הצבת הודעות דואר אלקטרוני בתור עבור פעולה:
אישור ישיר: כאשר פעולות כגון העברה לתיבת דואר נכנס, מעבר לזבל, העברה לפריטים שנמחקו, מחיקה זמנית או מחיקה קשיחה נבחרות על-ידי צוות האבטחה שיש להם הרשאות מתאימות, והפעולות הבאות בתיקון מקיימות, תהליך התיקון מתחיל לבצע את הפעולה שנבחרה.
הערה
כאשר התיקון נכבה, הוא יוצר התראה וחקירה במקביל. התראה מופיעה בתור ההתראות עם השם "פעולה ניהולית שנשלחה על-ידי מנהל מערכת" המצביעה על כך שהעובדים של האבטחה בוצעו בתיקון ישות. היא מציגה פרטים כגון שם האדם שביצע את הפעולה, קישור לתמיכה בחקירה, זמן וכו'. זה עובד טוב מאוד לדעת בכל פעם שפעולה קשה כמו תיקון מתבצעת בישויות. ניתן לעקוב אחר כל הפעולות הללו תחת הכרטיסיה פעולות & היסטוריה> שלמרכז הפעולות>.
אישור דו-שלבי: מנהלי מערכת שאין להם הרשאות מתאימות יכולים לבצע פעולת "הוספה לתיקון", או מי צריך להמתין כדי לבצע את הפעולה. במקרה זה, הודעות הדואר האלקטרוני הייעדיות מתווספות לגורמים מכילים של תיקון. דרוש אישור לפני ביצוע התיקון.
פעולות חקירה ותגובה אוטומטיות מופעלות על-ידי התראות או על-ידי צוותי פעולות אבטחה מהסייר. תוצאות אלה עשויות לכלול פעולות תיקון מומלצות שיש לאשר על-ידי צוות של פעולות אבטחה. פעולות אלה נכללות בכרטיסיה פעולה בחקירה האוטומטית.
כל התיקון (אישורים ישירים) שנוצר בסייר, ציד מתקדם או באמצעות חקירה אוטומטית מוצגים במרכז הפעולות בכרטיסיה פעולות &>> מרכז הפעולות היסטוריה (https://security.microsoft.com/action-center/history).
פעולות ידניות הממתינות לאישור באמצעות תהליך האישור בן שני השלבים (שנוסף לתיקון על-ידי חבר אחד בצוות פעולת האבטחה, ובדיקה ואישור על-ידי חבר צוות אחר של פעולת אבטחה) גלויות בכרטיסיה &>> ממתין (https://security.microsoft.com/action-center/pending). לאחר האישור, הם גלויים בכרטיסיה 'פעולות' & '>היסטוריה'של מרכז הפעולות> שלהשליחות (https://security.microsoft.com/action-center/history).
מרכז הפעולות המאוחד מציג פעולות תיקון ב- 30 הימים האחרונים. הפעולות שבוצעו באמצעות הסייר מפורטות לפי השם שסיפק צוות פעולות האבטחה בעת יצירת התיקון וכן מזהה האישור, 'מזהה חקירה'. לפעולות שבוצעו באמצעות חקירות אוטומטיות יש כותרות המתחילות בהתראה הקשורה שהפעילה את החקירה, כגון אשכול דואר אלקטרוני Zap.
פתח פריט תיקון כלשהו כדי להציג פרטים אודותיה, כולל שם התיקון שלו, מזהה אישור, מזהה חקירה, תאריך יצירה, תיאור, מצב, מקור פעולה, סוג פעולה, החלטת לפי, מצב. בנוסף, היא פותחת חלונית צדדית עם פרטי פעולה, פרטי אשכול דואר אלקטרוני, התראה ופרטי אירוע.
פתח דף חקירה: פותח חקירה של מנהל מערכת המכילה פחות פרטים וכרטיסיות. היא מציגה פרטים כגון: התראה קשורה, ישות שנבחרה לתיקון, פעולה שבוצעה, מצב תיקון, ספירת ישויות, יומני רישום ומאשר פעולה. עוקב אחר חקירה שמנהל המערכת ביצע באופן ידני, והוא מכיל פרטים על הבחירות שבוצעו על-ידי מנהל המערכת. אין צורך לפעול לפי החקירה וההתראה (היא נמצאת כבר במצב 'מאושר').
ספירת דואר אלקטרוני: הצגת מספר הודעות הדואר האלקטרוני שנשלחו באמצעות הסייר. הודעות אלה אינן ניתנות לפעולה או אינן ניתנות לפעולה.
יומני רישום של פעולות: מציג את פרטי מצב התיקון, כגון מוצלח, נכשל, שכבר נמצא ביעד.
ניתן לפעולה: ניתן להפעיל ולהועבר דואר אלקטרוני במיקומים הבאים של תיבות דואר בענן:
- תיבת דואר נכנס
- זבל*
- התיקיה 'פריטים שנמחקו'*
- התיקיה 'פריטים הניתנים לשחזור'/'מחיקות' (פריטים שנמחקו זמנית)*
- הסגר
* לא זמין עבור פריטים בהסגר.
לא ניתן לפעול: לא ניתן להפעיל או להעביר דואר אלקטרוני במיקומים הבאים בפעולות תיקון:
- תיקיה שנמחקה באופן קשיח
- מקומי/חיצוני
- נכשל/הושמטו
- לא ידוע
סוגי פעולות העברה ומחיקה נתמכות:
מעבר לתיקיית דואר הזבל: העברת הודעות לתיקיה 'דואר זבל' של המשתמש.
מעבר לתיבת הדואר הנכנס: העברת הודעות לתיקיה 'תיבת דואר נכנס' של המשתמשים.
העבר לפריטים שנמחקו: העברת הודעות לתיקיה 'פריטים שנמחקו' של המשתמש.
מחיקה זמנית: מחיקת ההודעה מהתיקיה 'פריטים שנמחקו' (מעבר לתיקיה 'פריטים הניתנים לשחזור'/'מחיקות'). המשתמש ומנהלי המערכת יכולים לשחזר את ההודעה.
מחק את העותק של השולח: נסה גם למחוק זמנית את ההודעה מהתיקיה 'פריטים שנשלחו' של השולח אם השולח הוא הארגון.
מחיקה לצמיתות: מחק את ההודעה שנמחקה. מנהלי מערכת יכולים לשחזר פריטים שנמחקו באופן קשיח באמצעות שחזור של פריט יחיד. לקבלת מידע נוסף אודות פריטים שנמחקו באופן קשיח ופריטים שנמחקו זמנית, ראה פריטים שנמחקו זמנית ופריטים שנמחקו באופן קשיח.
הערה
בארגונים ממשלתיים בארה"ב (מנהלי מערכת של Microsoft 365 GCC, GCC High ו- DoD) יכולים לבצע את הפעולות מחיקה זמנית, העברה לתיקיית דואר זבל, העברה לפריטים שנמחקו, מחיקה קשיחה ומעבר לתיבת הדואר הנכנס. הפעולות מחק את העותק של השולחוהעבר לתיבת הדואר הנכנס מהתיקיה להסגר אינן זמינות. כמו כן, יומני הפעולות זמינים רק ב- https://security.microsoft.com/threatincidents, ולא במרכז הפעולות ב - https://security.microsoft.com/action-center.
הודעות חשודות מחולקות לקטגוריות כמתווך או לא ניתן לתיקון. ברוב המקרים, הסכום הכולל של הודעות מתווך ולא מתווך שווה למספר הכולל של ההודעות שנשלחו. אך ייתכן שהסיכוםים לא יתאימו עקב עיכובים במערכת, זמן קצוב או הודעות שתוקפן פג. תוקף ההודעות פג בהתבסס על תקופת השמירה של הסייר עבור הארגון שלך.
אם אינך מתיקון הודעות קיימות לאחר תקופת השמירה של סייר הארגון שלך, מומלץ לנסות שוב תיקון פריטים אם אתה רואה חוסר עקביות במספרים. עבור עיכובים במערכת, עדכוני תיקון מתרעננים בדרך כלל בתוך כמה שעות.
אם תקופת השמירה של הארגון שלך עבור דואר אלקטרוני ב- Explorer היא 30 יום ואתה מתיקון הודעות דואר אלקטרוני חוזרות אחורה 29-30 יום, ייתכן שהספירה של שליחת דואר לא תמיד תחבר. ייתכן שהודעות הדואר האלקטרוני כבר התחילו לצאת מתחילת תקופת השמירה.
אם התיקון תקוע במצב 'מתבצע' במשך זמן מה, הדבר כנראה נובע מעיכובים במערכת. ייתכן שידרשו עד כמה שעות כדי לבצע תיקון. ייתכן שתראה וריאציות בספירות שליחת דואר, משום שייתכן שחלק מהודעות הדואר האלקטרוני לא כללו את השאילתה בתחילת התיקון עקב עיכובים במערכת. מומלץ לנסות לבצע תיקון במקרים כאלה.
עצה
לקבלת התוצאות הטובות ביותר, יש לבצע תיקון באצוות של 50,000 ואילך.
רק הודעות דואר אלקטרוני מתקנות פועלות במהלך תיקון. Microsoft 365 לא יכול לתקנו הודעות דואר אלקטרוני שאינן מתווך, מכיוון שהן אינן מאוחסנות בתיבות דואר בענן.
מנהלי מערכת יכולים לבצע פעולות בהודעות דואר אלקטרוני בהסגר במידת הצורך, אך תוקפן של הודעות דואר אלקטרוני אלה פג מהסגר אם הן לא נמחקות באופן ידני. כברירת מחדל, הודעות דואר אלקטרוני שהועברו להסגר עקב תוכן זדוני אינן נגישות על-ידי משתמשים, כך שהעובדים של האבטחה לא צריכים לבצע שום פעולה כדי להיפטר מאיומים בהסגר. אם הודעות הדואר האלקטרוני הן מקומיות או חיצוניות, ניתן ליצור קשר עם המשתמש כדי לטפל בדואר האלקטרוני החשוד. לחלופין, מנהלי המערכת יכולים להשתמש בכלי שרת/אבטחה נפרדים להסרה. ניתן לזהות הודעות דואר אלקטרוני אלה על-ידי החלת מיקום המסירה = מסנן חיצוני מקומי בסייר. עבור דואר אלקטרוני שנכשל או ששוחרר, או אם הדואר האלקטרוני אינו נגיש על-ידי משתמשים, אין דואר אלקטרוני לצמצום, מאחר שהודעות דואר אלה אינן מגיעות לתיבת הדואר.
יומני רישום של פעולות: מציג את ההודעות שהותקנו, הצליחו, נכשלו, כבר ביעד.
המצב יכול להיות:
-
הופעל: התיקון מופעל.
- התיקון בתור: התיקון מוצב בתור לצורך צמצום סיכונים של הודעות דואר אלקטרוני.
- מתבצע: צמצום הסיכונים מתבצע.
- הושלם: צמצום הסיכונים בכל הודעות הדואר האלקטרוני המתקנות הושלם בהצלחה או עם כמה כשלים.
- נכשל: לא בוצעו תיקוןים בהצלחה.
מאחר שניתן להפעיל רק הודעות דואר אלקטרוני ניתן לתיקון, ניקוי של כל הודעת דואר אלקטרוני מוצג כמוצלחת או נכשל. מתוך הודעות הדואר האלקטרוני המתווך הכוללות, דווחו על צמצום סיכונים מוצלח ושכשל.
הצלחה: הפעולה הרצויה בהודעות דואר אלקטרוני ניתן לתיקון הושלמה. לדוגמה: מנהל מערכת מעוניין להסיר הודעות דואר אלקטרוני מתיבות דואר, כך שמנהל המערכת נוהל בפעולה של מחיקה זמנית של הודעות דואר אלקטרוני. אם לא נמצאה בתיקיה המקורית הודעת דואר אלקטרוני מתווך לאחר ביצוע הפעולה, המצב יוצג בהצלחה.
כשל: הפעולה הרצויה בהודעות דואר אלקטרוני ניתן לתיקון נכשלה. לדוגמה: מנהל מערכת מעוניין להסיר הודעות דואר אלקטרוני מתיבות דואר, כך שמנהל המערכת נוהל בפעולה של מחיקה זמנית של הודעות דואר אלקטרוני. אם עדיין נמצא דואר אלקטרוני ניתן לתיקון בתיבת הדואר לאחר ביצוע הפעולה, המצב יוצג כ'נכשל'.
כבר ביעד: הפעולה הרצויה כבר בוצעה בהודעת הדואר האלקטרוני או שהודעת הדואר האלקטרוני כבר היתה קיימת במיקום היעד. לדוגמה: מנהל המערכת מחק הודעת דואר אלקטרוני רכה באמצעות הסייר ביום הראשון. לאחר מכן הודעות דואר אלקטרוני דומות יופיעו ביום 2, אשר נמחקו שוב זמנית על-ידי מנהל המערכת. בעת בחירת הודעות דואר אלקטרוני אלה, מנהל המערכת אוסף הודעות דואר אלקטרוני מסוימות מהיום הראשון שכבר נמחקו זמנית. כעת הודעות אלה אינן פועלות לפיהן. במקום זאת, הם מוצגים כיעד כבר, מאחר שלא בוצעה כל פעולה לגביהם כפי שהם היו קיימים במיקום היעד.
חדש: נוספה עמודת יעד שכבר נמצאת ביומן הפעולות. תכונה זו משתמשת במיקום המסירה האחרון בסייר כדי לברר אם הדואר כבר תוקנה. האפשרות כבר ביעד מסייעת לצוותי אבטחה להבין את המספר הכולל של הודעות שעדיין צריך לטפל ןן.
-
הופעל: התיקון מופעל.
ניתן לבצע פעולות רק בהודעות בתיקיות 'תיבת דואר נכנס', 'זבל', 'נמחק' ו'נמחק זמנית' של הסייר. להלן דוגמה לאופן הפעולה של העמודה החדשה. פעולת מחיקה זמנית מתבצעת בהודעה הנוכחית בתיבת הדואר הנכנס ולאחר מכן ההודעה מטופלת בהתאם למדיניות. בפעם הבאה שתבצע מחיקה זמנית, הודעה זו תוצג תחת העמודה 'כבר ביעד' עם איתות שאין צורך לטפל בה שוב.
בחר פריט כלשהו ביומן הפעולות כדי להציג פרטי תיקון. אם הפרטים מציגים את האפשרותהצליחה או לא נמצאה בתיבת הדואר, פריט זה כבר הוסר מתיבת הדואר. לעתים קיימת שגיאת מערכת במהלך תיקון. במקרים אלה, מומלץ לנסות שוב את פעולת התיקון.
אם עליך לתיקון אצוות דואר אלקטרוני גדולות, יצא את ההודעות שנשלחו לתיקון באמצעות שליחת דואר ויצא הודעות שעברו תיקון באמצעות יומני פעולות. מגבלת הייצוא גדלה ל- 100,000 רשומות.
מנהלי מערכת יכולים לבצע פעולות תיקון כגון העברת הודעות דואר אלקטרוני לתיקיה 'דואר זבל', 'תיבת דואר נכנס' או 'פריטים שנמחקו' ולמחוק פעולות כגון מחיקה זמנית או מחיקה קשיחה מדפי 'ציד מתקדם'.
תיקון מצמצם איומים, מטפל בהודעות דואר אלקטרוני חשודות ומסייע בשמירה על אבטחת הארגון.