Az Office 365-ben kézbesített kártékony e-mailek szervizelése

• A következőre érvényes::

  ✅ Microsoft Defender for Office 365 Plan 2

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

A szervizelés azt jelenti, hogy meghatározott intézkedéseket kell tenni egy fenyegetés ellen. A szervezetnek küldött kártékony e-maileket a rendszer, a nullaórás automatikus törlés (ZAP) vagy a biztonsági csapatok is törölhetik olyan szervizelési műveletekkel, mint az áthelyezés a Beérkezett üzenetek mappába, a levélszemét, a törölt elemekre való áthelyezés, a helyreállítható törlés vagy a végleges törlés. Az Office 365-höz készült Microsoft Defender 2/E5 csomag lehetővé teszi a biztonsági csapatok számára, hogy manuális és automatizált vizsgálatokkal elhárítsa a fenyegetéseket az e-mailek és az együttműködési funkciók terén.

Előzetes tudnivalók

• Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. A rendszergazdák elvégezhetik a szükséges műveletet az e-maileken, de a műveletek jóváhagyásához a Keresés és végleges törlés szerepkör szükséges. A Keresés és végleges törlés szerepkör hozzárendeléséhez a következő lehetőségek közül választhat:

  • Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha az e-mail & együttműködéshez>Az Office 365-höz készült Defender engedélyei aktívak. Csak a Defender portált érinti, a PowerShellt nem: Biztonsági műveletek/Biztonsági adatok/E-mail & együttműködés speciális műveletei (kezelése).
  • E-mail & együttműködési engedélyeket a Microsoft Defender portálon: Tagság a Szervezetkezelés vagy az Adatnyomozó szerepkörcsoportban. Vagy létrehozhat egy új szerepkörcsoportot a Hozzárendelt Keresés és végleges törlés szerepkörrel, és hozzáadhatja a felhasználókat az egyéni szerepkörcsoporthoz.

• Ellenőrizze, hogy az Automatikus vizsgálat be van-e kapcsolva a címen https://security.microsoft.com/securitysettings/endpoints/integration.

Manuális és automatikus szervizelés

Manuális veszélyforrás-keresés akkor fordul elő, ha a biztonsági csapatok manuálisan azonosítják a fenyegetéseket az Explorer keresési és szűrési képességeinek használatával. A manuális e-mail-szervizelés bármely e-mail-nézetben (kártevő, adathalászat vagy minden e-mail) aktiválható, miután azonosította a szervizelendő e-maileket.

A biztonsági csapatok az Explorerrel többféleképpen választhatják ki az e-maileket:

• E-mailek kiválasztása kézzel: Szűrők használata különböző nézetekben. Jelöljön ki legfeljebb 100 szervizelendő e-mailt.

• Lekérdezés kiválasztása: Jelöljön ki egy teljes lekérdezést az összes kijelölése felső gomb használatával. Ugyanez a lekérdezés a műveletközpont levélküldési részleteiben is megjelenik. Az ügyfelek legfeljebb 200 000 e-mailt küldhetnek a Fenyegetéskezelőből.

• Lekérdezés kiválasztása kizárással: Előfordulhat, hogy a biztonsági műveleti csapatok egy teljes lekérdezés kiválasztásával és bizonyos e-mailek manuális kizárásával szeretnének kijavítani e-maileket. Ehhez a rendszergazdák az Összes kijelölése jelölőnégyzetet használhatják, és lefelé görgetve kizárhatják az e-maileket manuálisan. A lekérdezés legfeljebb 200 000 e-mailt tartalmazhat.

Miután kiválasztotta az e-maileket az Explorerben, megkezdheti a szervizelést közvetlen művelet végrehajtásával vagy egy művelet e-mailjeinek várólistára állításával:

• Közvetlen jóváhagyás: Amikor a megfelelő engedélyekkel rendelkező biztonsági személyzet kiválasztja az olyan műveleteket, mint az áthelyezés a Beérkezett üzenetek mappába, a levélszemétbe, a törölt elemekre való áthelyezés, a helyreállítható törlés vagy a kemény törlés , és a szervizelés következő lépéseit követi, a szervizelési folyamat elkezdi végrehajtani a kiválasztott műveletet.

  Megjegyzés:

  A szervizelés elindításával párhuzamosan riasztást és vizsgálatot hoz létre. A riasztás a riasztások várólistáján "Rendszergazda által benyújtott rendszergazdai művelet" néven jelenik meg, ami arra utal, hogy a biztonsági személyzet egy entitás szervizelését végezte el. Olyan adatokat mutat be, mint a műveletet végrehajtó személy neve, a vizsgálati hivatkozás támogatása, az idő stb. Ez nagyon jól működik, hogy tudja, minden alkalommal, amikor egy durva műveletet, mint a szervizelés történik az entitások. Ezeket a műveleteket a Műveletek & Beküldési>műveletközpont Előzmények>lapján (nyilvános előzetes verzió) követheti nyomon.

• Kétlépéses jóváhagyás: A "hozzáadás a szervizeléshez" műveletet olyan rendszergazdák hajthatják végre, akik nem rendelkeznek megfelelő engedélyekkel, vagy várniuk kell a művelet végrehajtására. Ebben az esetben a rendszer hozzáadja a célzott e-maileket egy szervizelési tárolóhoz. A szervizelés végrehajtása előtt jóváhagyásra van szükség.

Az automatikus vizsgálati és válaszműveleteket riasztások vagy az Explorer biztonsági műveleti csapatai aktiválják. Ezek lehetnek olyan javasolt javítási műveletek, amelyeket egy biztonsági üzemeltetési csapatnak jóvá kell hagynia. Ezek a műveletek az automatizált vizsgálat Művelet lapján találhatók.

Az Explorerben, a Speciális veszélyforrás-keresésben vagy az Automatizált vizsgálaton keresztül létrehozott összes szervizelés (közvetlen jóváhagyás) megjelenik a Műveletközpontban a Műveletek & BeküldésekMűveletközpont>előzményei> lapon (https://security.microsoft.com/action-center/history).

Jóváhagyásra váró manuális műveletek a kétlépéses jóváhagyási folyamattal (1. Adja hozzá a elemet a szervizeléshez egy biztonsági művelet csapatának egyik tagja, 2. A biztonsági művelet egy másik csapattagja véleményezve és jóváhagyva) a Műveletek & Beküldési>műveletközpont>Függőben lapon (https://security.microsoft.com/action-center/pending) látható. A jóváhagyás után a Műveletek & BeküldésekMűveletközpont>Előzményei> lapon (https://security.microsoft.com/action-center/history) láthatók.

Az Egyesített műveletközpont az elmúlt 30 nap szervizelési műveleteit jeleníti meg. Az Exploreren keresztül végrehajtott műveletek a szervizelés létrehozásakor a biztonsági üzemeltetési csapat által megadott név, valamint a jóváhagyási azonosító és a vizsgálati azonosító alapján vannak felsorolva. Az automatizált vizsgálatokon keresztül végrehajtott műveletek címei a vizsgálatot kiváltó kapcsolódó riasztással kezdődnek, például a Zap e-mail-fürttel.

Nyissa meg a szervizelési elemet a részletek megtekintéséhez, beleértve a szervizelési nevét, a jóváhagyási azonosítót, a vizsgálati azonosítót, a létrehozás dátumát, a leírást, az állapotot, a művelet forrását, a művelet típusát, amelyet az adott állapot határoz meg. Emellett megnyit egy oldalsó panelt is, amelyen a művelet részletei, az e-mail-fürt részletei, a riasztás és az incidens részletei láthatók.

• A Vizsgálat lap megnyitása : ezzel megnyit egy rendszergazdai vizsgálatot, amely kevesebb részletet és lapot tartalmaz. Olyan részleteket jelenít meg, mint a kapcsolódó riasztás, a szervizeléshez kiválasztott entitás, a végrehajtott művelet, a szervizelési állapot, az entitások száma, a naplók, a művelet jóváhagyója. Ez a vizsgálat nyomon követi a rendszergazda által végzett vizsgálatokat manuálisan, és a rendszergazda által végzett kiválasztások részleteit tartalmazza, ezért ezt rendszergazdai műveletvizsgálatnak nevezzük. Nem kell eljárnia a vizsgálat során, és értesítenie kell a már jóváhagyott állapotáról.

• E-mailek száma Megjeleníti a Veszélyforrás-kezelőn keresztül elküldött e-mailek számát. Ezek az e-mailek végrehajthatók vagy nem végrehajthatók.

• Műveleti naplók Megjeleníti a szervizelési állapotok részleteit, például a sikeres, a sikertelen és a már célhelyen lévő állapotokat.

  

  • Végrehajtható: Az alábbi felhőpostaláda-helyeken lévő e-mailek műveleteket hajthatnak végre, és áthelyezhetők:

    • Beérkezett üzenetek mappa
    • Dzsunka^*
    • Törölt elemek mappa^*
    • Helyreállítható elemek\Törlés mappa (helyreállítható módon törölt elemek)^*
    • Karantén

    ^* Karanténba helyezett elemekhez nem érhető el.

  • Nem hajtható végre: A következő helyeken lévő e-maileket nem lehet szervizelési műveletek során végrehajtani vagy áthelyezni:

    • Véglegesen törölt mappa
    • Helyszíni/külső
    • Sikertelen/elvetett
    • Ismeretlen

  • Támogatott áthelyezési és törlési műveletek típusai:

    • Áthelyezés a levélszemét mappába: Áthelyezi az üzeneteket a felhasználó Levélszemét mappájába.

    • Áthelyezés a Beérkezett üzenetek mappába: Áthelyezi az üzeneteket a felhasználók Beérkezett üzenetek mappájába.

    • Áthelyezés törölt elemekre: Áthelyezi az üzeneteket a felhasználó Törölt elemek mappájába.

    • Helyreállítható törlés: Törölje az üzenetet a Törölt elemek mappából (lépjen a Helyreállítható elemek\Törlések mappába). Az üzenetet a felhasználó és a rendszergazdák helyreállítják.

      Feladó másolatának törlése: Próbálja meg helyreállítható módon törölni az üzenetet a feladó Elküldött elemek mappájából, ha a feladó a szervezet.

    • Végleges törlés: Törölje a törölt üzenetet. A rendszergazdák egyelemes helyreállítással helyreállíthatják a nem törölt elemeket. A helyreállíthatóan törölt és a helyreállítható módon törölt elemekről további információt a Helyreállíthatóan törölt és a helyreállítható módon törölt elemek című témakörben talál.

  A gyanús üzenetek szervizelhetőként vagy nem szervizelhetőként vannak kategorizálva. A legtöbb esetben a szervizelhető és a nem szervizelhető üzenetek egyenlő összes elküldött üzenetet kombinálnak. Ritka esetekben azonban ez nem feltétlenül igaz. Ez rendszerkésések, időtúllépések vagy lejárt üzenetek miatt fordulhat elő. Az üzenetek a szervezet Explorer-megőrzési időszaka alapján járnak le.

  Ha a szervezet Explorer-megőrzési időszaka után nem szervizeli a régi üzeneteket, érdemes újrapróbálkoznia az elemek szervizelésével, ha számbeli inkonzisztenciákat lát. Rendszerkésések esetén a szervizelési frissítések általában néhány órán belül frissülnek.

  Ha szervezete 30 napos megőrzési időtartamot biztosít az e-mailekhez az Explorerben, és 29–30 napra visszamenőleg orvosolja az e-maileket, előfordulhat, hogy az e-mailek beküldéseinek száma nem mindig jelenik meg. Előfordulhat, hogy az e-mailek már megkezdték a megőrzési időszakból való áttérést.

  Ha a szervizelések egy ideig "Folyamatban" állapotban maradnak, valószínűleg rendszerkésések okozták. A hiba elhárítása akár néhány órát is igénybe vehet. Előfordulhat, hogy az e-mailek küldésének száma változik, mivel előfordulhat, hogy egyes e-mailek nem lettek belefoglalva a lekérdezésbe a szervizelés kezdetekor a rendszer késései miatt. Ilyen esetekben érdemes újrapróbálkozás a javítással.

  Megjegyzés:

  A legjobb eredmény érdekében a szervizelést 50 000 vagy kevesebb kötegben kell elvégezni.

  A szervizelés során csak a szervizelhető e-maileket hajtja végre a rendszer. A nem szervizelhető e-maileket az Office 365 levelezőrendszere nem tudja kijavítani, mivel azok nem felhőalapú postaládákban vannak tárolva.

  A rendszergazdák szükség esetén műveleteket végezhetnek a karanténban lévő e-maileken, de ezek az e-mailek lejárnak a karanténból, ha nincsenek manuálisan törölve. Alapértelmezés szerint a rosszindulatú tartalmak miatt karanténba helyezett e-maileket a felhasználók nem érik el, így a biztonsági személyzetnek nem kell semmilyen lépést megtennie a karanténban lévő fenyegetések elhárításához. Ha az e-mailek helyszíniek vagy külsőek, a felhasználóval kapcsolatba léphet a gyanús e-mail címének kezelése érdekében. Vagy a rendszergazdák külön levelezési kiszolgálót/biztonsági eszközöket használhatnak az eltávolításhoz. Ezek az e-mailek a kézbesítési hely = helyszíni külső szűrő Explorerben való alkalmazásával azonosíthatók. A sikertelen vagy elvetett e-mailek, illetve a felhasználók által nem elérhető e-mailek esetében nem lesznek enyhíthető e-mailek, mivel ezek az e-mailek nem érik el a postaládát.

• Műveleti naplók: Itt láthatók a szervizelt, sikeres, sikertelen, már a célhelyen lévő üzenetek.

  Az állapot a következő lehet:

  • Elindítva: A szervizelés aktiválódik.
    • Várólistán: A szervizelés várólistára kerül az e-mailek kezelése érdekében.
    • Folyamatban: A kockázatcsökkentés folyamatban van.
    • Befejezve: Az összes kijavítható e-mail kockázatcsökkentése sikeresen befejeződött vagy néhány hiba miatt.
    • Sikertelen: Nem sikerült szervizelést végrehajtani.

  Mivel csak a szervizelhető e-maileket lehet végrehajtani, az egyes e-mailek törlése sikeresnek vagy sikertelennek jelenik meg. A szervizelhető e-mailek teljes összegéből a sikeres és sikertelen kockázatcsökkentéseket jelenti a rendszer.

  • Sikeres: A szervizelhető e-mailek kívánt művelete befejeződött. Például: Egy rendszergazda el szeretné távolítani az e-maileket a postaládákból, ezért a rendszergazda végrehajtja az e-mailek helyreállítható törlését. Ha a művelet végrehajtása után nem található szervizelhető e-mail az eredeti mappában, az állapot sikeresként fog megjelenni.

  • Hiba: A szervizelhető e-mailek kívánt művelete sikertelen volt. Például: Egy rendszergazda el szeretné távolítani az e-maileket a postaládákból, ezért a rendszergazda végrehajtja az e-mailek helyreállítható törlését. Ha a művelet végrehajtása után is talál egy kijavítható e-mailt a postaládában, az állapot sikertelenként fog megjelenni.

  • Már a célhelyen: A kívánt műveletet már végrehajtották az e-mailben, VAGY az e-mail már létezik a célhelyen. Például: A rendszergazda helyreállítható módon törölt egy e-mailt az Explorerben az első napon. Ezután a 2. napon megjelennek a hasonló e-mailek, amelyeket a rendszergazda ismét helyreállítható módon törölt. Az e-mailek kiválasztásakor a rendszergazda az első naptól kezdve olyan e-maileket választ, amelyek már helyreállítható módon törölve lettek. Most, hogy ezek az e-mailek nem lesznek ismét végrehajtva, csak "már a célhelyen" jelennek meg, mivel nem történt rajtuk semmilyen művelet, mivel a célhelyen léteztek.

  • Új: A műveletnaplóban egy Már a célhelyen oszlop van hozzáadva. Ez a funkció a Threat Explorer legújabb kézbesítési helyét használja annak jelzésére, hogy az e-mailt már javították-e. A már célhelyen lévő biztonsági csapatok segítenek megérteni a még kezelendő üzenetek teljes számát.

Csak a Veszélyforrás-kezelő Beérkezett üzenetek, Levélszemét, Törölt és Helyreállíthatóan törölt mappáiban végezhető műveletek. Íme egy példa az új oszlop működésére. A Beérkezett üzenetek mappában található üzeneten helyreállítható törlési művelet történik, majd az üzenet kezelése szabályzatok szerint történik. Amikor legközelebb helyreállítható törlést végez, ez az üzenet a "Már a célban" oszlop alatt jelenik meg, jelezve, hogy nem kell újból foglalkozni vele.

Válasszon ki egy elemet a műveletnaplóban a szervizelési részletek megjelenítéséhez. Ha a részletek szerint "sikeres" vagy "nem található a postaládában", akkor az elem már el lett távolítva a postaládából. Időnként rendszerhiba történik a szervizelés során. Ezekben az esetekben érdemes újrapróbálkozás a szervizelési művelettel.

Nagy mennyiségű e-mail szervizelése esetén exportálja a szervizelésre elküldött üzeneteket e-mailben, illetve a műveletnaplókban szervizelt üzeneteket. Az exportálási korlát 100 000 rekordra nő.

A rendszergazdák elvégezhetik a javítási műveleteket, például áthelyezhetik az e-maileket a Levélszemét, a Beérkezett üzenetek vagy a Törölt elemek mappába, és törölhetik az olyan műveleteket, mint a helyreállítható törlés vagy a kemény törlés a Speciális veszélyforrás-keresés lapról.

A szervizelés csökkenti a fenyegetéseket, kezeli a gyanús e-maileket, és segít a szervezet biztonságának megőrzésében.