Correggere i messaggi di posta elettronica dannosi recapitati in Office 365

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 2

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Correzione significa intraprendere un'azione prescritta contro una minaccia. I messaggi di posta elettronica dannosi inviati all'organizzazione possono essere eliminati dal sistema, tramite l'eliminazione automatica a zero ore (ZAP) o dai team di sicurezza tramite azioni di correzione come lo spostamento nella posta in arrivo, lo spostamento in posta indesiderata, lo spostamento agli elementi eliminati, l'eliminazione temporanea o l'eliminazione definitiva. Microsoft Defender per Office 365 Piano 2/E5 consente ai team di sicurezza di correggere le minacce nella funzionalità di posta elettronica e collaborazione tramite indagini manuali e automatizzate.

Cosa devi sapere prima di iniziare

• Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Gli amministratori possono eseguire l'azione necessaria sui messaggi di posta elettronica, ma il ruolo Search ed eliminazione è necessario per ottenere l'approvazione di tali azioni. Per assegnare il ruolo Search e Ripulisci, sono disponibili le opzioni seguenti:

  • Microsoft Defender XDR controllo degli accessi in base al ruolo unificato (influisce solo sul portale di Defender e non su PowerShell): operazioni di sicurezza/dati di sicurezza/azioni avanzate di collaborazione Email & (gestione).
  • Email & autorizzazioni di collaborazione nel portale di Microsoft Defender: appartenenza ai gruppi di ruoli Gestione organizzazione o Ricerca dati. In alternativa, è possibile creare un nuovo gruppo di ruoli con il ruolo Search e Ripulisci assegnato e aggiungere gli utenti al gruppo di ruoli personalizzato.

• Verificare che l'analisi automatizzata sia attivata in https://security.microsoft.com/securitysettings/endpoints/integration.

Correzione manuale e automatizzata

La ricerca manuale si verifica quando i team di sicurezza identificano manualmente le minacce usando le funzionalità di ricerca e filtro in Explorer. La correzione manuale della posta elettronica può essere attivata tramite qualsiasi visualizzazione di posta elettronica (Malware, Phish o Tutti i messaggi di posta elettronica) dopo aver identificato un set di messaggi di posta elettronica che devono essere corretti.

I team di sicurezza possono usare Explorer per selezionare i messaggi di posta elettronica in diversi modi:

• Scegliere i messaggi di posta elettronica a mano: usare i filtri in varie visualizzazioni. Selezionare fino a 100 messaggi di posta elettronica da correggere.

• Selezione query: selezionare un'intera query usando il pulsante seleziona tutto in alto. La stessa query viene visualizzata anche nei dettagli di invio della posta elettronica del Centro notifiche. I clienti possono inviare al massimo 200.000 messaggi di posta elettronica da Esplora minacce.

• Selezione query con esclusione: a volte i team delle operazioni di sicurezza possono voler correggere i messaggi di posta elettronica selezionando un'intera query ed escludendo manualmente determinati messaggi di posta elettronica dalla query. A tale scopo, un amministratore può usare la casella di controllo Seleziona tutto e scorrere verso il basso per escludere manualmente i messaggi di posta elettronica. La query può contenere un massimo di 200.000 messaggi di posta elettronica.

Dopo aver selezionato i messaggi di posta elettronica tramite Esplora risorse, è possibile avviare la correzione eseguendo un'azione diretta o accodando i messaggi di posta elettronica per un'azione:

• Approvazione diretta: quando azioni come passare alla posta in arrivo, passare alla posta indesiderata, passare a elementi eliminati, eliminazione temporanea o eliminazione temporanea vengono selezionate dal personale di sicurezza che dispone delle autorizzazioni appropriate e vengono seguiti i passaggi successivi per la correzione, il processo di correzione inizia a eseguire l'azione selezionata.

  Nota

  Quando la correzione viene avviata, genera un avviso e un'indagine in parallelo. L'avviso viene visualizzato nella coda degli avvisi con il nome "Azione amministrativa inviata da un amministratore" che suggerisce che il personale di sicurezza ha intrapreso l'azione di correzione di un'entità. Presenta dettagli come il nome della persona che ha eseguito l'azione, il collegamento di indagine di supporto, l'ora e così via. Funziona molto bene sapere ogni volta che viene eseguita un'azione dura come la correzione sulle entità. Tutte queste azioni possono essere rilevate nella scheda Actions & Submissions>Action center ->History (anteprima pubblica).

• Approvazione in due passaggi: un'azione di "aggiunta alla correzione" può essere eseguita dagli amministratori che non dispongono delle autorizzazioni appropriate o che devono attendere l'esecuzione dell'azione. In questo caso, i messaggi di posta elettronica di destinazione vengono aggiunti a un contenitore di correzione. L'approvazione è necessaria prima dell'esecuzione della correzione.

Le azioni di indagine e risposta automatizzate vengono attivate dagli avvisi o dai team delle operazioni di sicurezza di Explorer. Queste possono includere azioni correttive consigliate che devono essere approvate da un team delle operazioni di sicurezza. Queste azioni sono incluse nella scheda Azione nell'indagine automatizzata.

Tutte le correzioni (approvazioni dirette) create in Esplora risorse, Ricerca avanzata o tramite indagine automatizzata vengono visualizzate nel Centro notifiche nella schedaCronologia centronotifiche>Azioni & Invii> (https://security.microsoft.com/action-center/history).

Azioni manuali in attesa di approvazione tramite il processo di approvazione in due passaggi (1. Aggiungere alla correzione da parte di un membro del team dell'operazione di sicurezza, 2. Esaminati e approvati da un altro membro del team dell'operazione di sicurezza) sono visibili nella scheda Azioni & Invio>del Centro> notifichein sospeso (https://security.microsoft.com/action-center/pending). Dopo l'approvazione, sono visibili nella scheda Actions & Submissions>Action center>History (https://security.microsoft.com/action-center/historyCronologia centro notifiche).

Il Centro operativo unificato mostra le azioni di correzione degli ultimi 30 giorni. Le azioni eseguite tramite Esplora risorse sono elencate in base al nome fornito dal team delle operazioni di sicurezza quando è stata creata la correzione, nonché all'ID di approvazione e all'ID indagine. Le azioni eseguite tramite indagini automatizzate includono titoli che iniziano con l'avviso correlato che ha attivato l'indagine, ad esempio il cluster di posta elettronica Zap.

Aprire qualsiasi elemento di correzione per visualizzarne i dettagli, tra cui il nome della correzione, l'ID approvazione, l'ID indagine, la data di creazione, la descrizione, lo stato, l'origine dell'azione, il tipo di azione, deciso da, lo stato. Viene inoltre aperto un riquadro laterale con i dettagli dell'azione, i dettagli del cluster di posta elettronica, gli avvisi e i dettagli degli eventi imprevisti.

• Aprire la pagina Indagine per aprire un'indagine amministratore che contiene meno dettagli e schede. Vengono visualizzati dettagli come: avviso correlato, entità selezionata per la correzione, azione eseguita, stato di correzione, conteggio delle entità, log, responsabile approvazione dell'azione. Questa indagine tiene traccia dell'indagine eseguita manualmente dall'amministratore e contiene i dettagli delle selezioni effettuate dall'amministratore, quindi viene chiamata indagine dell'azione amministratore. Non è necessario agire sull'indagine e avvisarne lo stato già approvato.

• Email conteggio Visualizza il numero di messaggi di posta elettronica inviati tramite Esplora minacce. Questi messaggi di posta elettronica possono essere interattivi o non interattivi.

• Log azioni Visualizzare i dettagli degli stati di correzione, ad esempio esito positivo, non riuscito e già nella destinazione.

  

  • Interattivo: i messaggi di posta elettronica nelle posizioni delle cassette postali cloud seguenti possono essere attivati e spostati:

    • Posta in arrivo

    • Posta indesiderata

    • Cartella eliminata

    • Cartella eliminata temporaneamente

      Nota

      Attualmente, solo un utente con accesso alla cassetta postale può recuperare gli elementi da una cartella eliminata temporaneamente.

  • Non utilizzabile: i messaggi di posta elettronica nelle posizioni seguenti non possono essere attivati o spostati in azioni di correzione:

    • Quarantena
    • Cartella eliminata in modo rigido
    • Locale/esterno
    • Non riuscito/eliminato
    • Unknown

  • Tipi di azioni di spostamento ed eliminazione supportate:

    • Sposta nella cartella posta indesiderata: sposta i messaggi nella cartella Junk Email dell'utente.
    • Sposta nella posta in arrivo: sposta i messaggi nella cartella Posta in arrivo degli utenti.
    • Sposta in elementi eliminati: sposta i messaggi nella cartella Posta eliminata dell'utente.
    • Eliminazione temporanea: sposta i messaggi in una cartella eliminata nel cloud.
    • Eliminazione definitiva: elimina definitivamente i messaggi.

  I messaggi sospetti vengono categorizzati come correggibili o non correggibili. Nella maggior parte dei casi, i messaggi correggibili e non correggibili combinano uguale al totale dei messaggi inviati. Ma in rari casi questo potrebbe non essere vero. Ciò può verificarsi a causa di ritardi del sistema, timeout o messaggi scaduti. I messaggi scadono in base al periodo di conservazione di Explorer per l'organizzazione.

  A meno che non si stia correggendo i messaggi precedenti dopo il periodo di conservazione di Explorer dell'organizzazione, è consigliabile ripetere la correzione degli elementi se vengono visualizzate incoerenze di numero. Per i ritardi del sistema, gli aggiornamenti delle correzioni vengono in genere aggiornati entro poche ore.

  Se il periodo di conservazione della tua organizzazione per la posta elettronica in Explorer è di 30 giorni e stai correggendo i messaggi di posta elettronica che risalgono a 29-30 giorni fa, i conteggi degli invii di posta elettronica potrebbero non essere sempre aggiunti. È possibile che i messaggi di posta elettronica abbiano già iniziato a uscire dal periodo di conservazione.

  Se le correzioni sono bloccate nello stato "In corso" per un po ', è probabile che sia dovuto a ritardi del sistema. La correzione potrebbe richiedere fino a poche ore. È possibile che vengano visualizzate variazioni nei conteggi degli invii di posta elettronica, poiché alcuni dei messaggi di posta elettronica potrebbero non essere stati inclusi nella query all'inizio della correzione a causa di ritardi del sistema. È consigliabile ripetere la correzione in questi casi.

  Nota

  Per ottenere risultati ottimali, la correzione deve essere eseguita in batch di almeno 50.000.

  Solo i messaggi di posta elettronica correggibili vengono attivati durante la correzione. I messaggi di posta elettronica non correggibili non possono essere corretti dal sistema di posta elettronica Office 365, in quanto non vengono archiviati nelle cassette postali cloud.

  Gli amministratori possono eseguire azioni sui messaggi di posta elettronica in quarantena, se necessario, ma tali messaggi scadono dalla quarantena se non vengono eliminati manualmente. Per impostazione predefinita, i messaggi di posta elettronica messi in quarantena a causa di contenuti dannosi non sono accessibili dagli utenti, quindi il personale di sicurezza non deve intraprendere alcuna azione per eliminare le minacce in quarantena. Se i messaggi di posta elettronica sono locali o esterni, l'utente può essere contattato per risolvere il messaggio di posta elettronica sospetto. In alternativa, gli amministratori possono usare strumenti di sicurezza/server di posta elettronica separati per la rimozione. Questi messaggi di posta elettronica possono essere identificati applicando il percorso di recapito = filtro esterno locale in Explorer. Per i messaggi di posta elettronica non riusciti o eliminati o i messaggi non accessibili dagli utenti, non saranno presenti messaggi di posta elettronica da mitigare, poiché questi messaggi non raggiungono la cassetta postale.

• Log azioni: mostra i messaggi corretti, riusciti, non riusciti, già nella destinazione.

  Lo stato può essere:

  • Avviato: viene attivata la correzione.
    • In coda: la correzione viene accodata per la mitigazione dei messaggi di posta elettronica.
    • In corso: la mitigazione è in corso.
    • Completato: mitigazione per tutti i messaggi di posta elettronica correggibili completati correttamente o con alcuni errori.
    • Non riuscito: non sono state eseguite correzioni.

  Poiché solo i messaggi di posta elettronica correggibili possono essere attivati, la pulizia di ogni messaggio di posta elettronica viene visualizzata come riuscita o non riuscita. Dai messaggi di posta elettronica correttivi totali vengono segnalate mitigazioni riuscite e non riuscite.

  • Operazione riuscita: l'azione desiderata per i messaggi di posta elettronica correggibili è stata eseguita. Ad esempio: un amministratore vuole rimuovere i messaggi di posta elettronica dalle cassette postali, quindi l'amministratore esegue l'azione di eliminazione temporanea dei messaggi di posta elettronica. Se non viene trovato un messaggio di posta elettronica correggibile nella cartella originale dopo l'esecuzione dell'azione, lo stato verrà visualizzato come corretto.

  • Errore: l'azione desiderata per i messaggi di posta elettronica correggibili non è riuscita. Ad esempio: un amministratore vuole rimuovere i messaggi di posta elettronica dalle cassette postali, quindi l'amministratore esegue l'azione di eliminazione temporanea dei messaggi di posta elettronica. Se viene ancora trovato un messaggio di posta elettronica correggibile nella cassetta postale dopo l'esecuzione dell'azione, lo stato verrà visualizzato come non riuscito.

  • Già nella destinazione: l'azione desiderata è già stata eseguita nel messaggio di posta elettronica OPPURE il messaggio di posta elettronica era già presente nel percorso di destinazione. Ad esempio: un messaggio di posta elettronica è stato eliminato temporaneamente dall'amministratore tramite Explorer il primo giorno. Quindi messaggi di posta elettronica simili vengono visualizzati il giorno 2, che vengono nuovamente eliminati temporaneamente dall'amministratore. Durante la selezione di questi messaggi di posta elettronica, l'amministratore finisce per ricevere alcuni messaggi di posta elettronica dal primo giorno che sono già eliminati temporaneamente. Ora questi messaggi di posta elettronica non verranno più attivati, verranno semplicemente visualizzati come "già nella destinazione", poiché non è stata eseguita alcuna azione su di loro come esistevano nella posizione di destinazione.

  • Nuovo: è stata aggiunta una colonna Già in destinazione nel log azioni. Questa funzionalità usa il percorso di recapito più recente in Esplora minacce per segnalare se il messaggio è già stato corretto. Già nella destinazione aiuta i team di sicurezza a comprendere il numero totale di messaggi che devono ancora essere risolti.

Le azioni possono essere eseguite solo nei messaggi nelle cartelle Posta in arrivo, Posta indesiderata, Eliminata ed Eliminata temporaneamente di Esplora minacce. Ecco un esempio del funzionamento della nuova colonna. Un'azione di eliminazione temporanea viene eseguita sul messaggio presente nella posta in arrivo, quindi il messaggio viene gestito in base ai criteri. La prossima volta che viene eseguita un'eliminazione temporanea, questo messaggio verrà visualizzato nella colonna "Già nella destinazione" segnalando che non è necessario risolvere nuovamente il problema.

Selezionare qualsiasi elemento nel log azioni per visualizzare i dettagli di correzione. Se i dettagli dicono "operazione riuscita" o "non trovata nella cassetta postale", tale elemento è già stato rimosso dalla cassetta postale. A volte si verifica un errore di sistema durante la correzione. In questi casi, è consigliabile ritentare l'azione di correzione.

In caso di correzione di batch di posta elettronica di grandi dimensioni, esportare i messaggi inviati per la correzione tramite invio di posta elettronica e i messaggi che sono stati corretti tramite i log azioni. Il limite di esportazione viene aumentato a 100.000 record.

Gli amministratori possono eseguire azioni correttive come lo spostamento dei messaggi di posta elettronica nella cartella Posta indesiderata, Posta in arrivo o Posta eliminata ed eliminare azioni come l'eliminazione temporanea o l'eliminazione temporanea dalle pagine ricerca avanzata.

La correzione riduce le minacce, risolve i messaggi di posta elettronica sospetti e consente di proteggere un'organizzazione.