Utbedre skadelig e-post levert i Office 365

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 2

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Utbedring betyr å iverksette en foreskrevet handling mot en trussel. Skadelig e-post som sendes til organisasjonen, kan ryddes opp enten av systemet, gjennom nulltimers automatisk tømming (ZAP), eller av sikkerhetsteam gjennom utbedringshandlinger som å flytte til innboksen, flytte til søppelpost, flytte til slettede elementer, myk sletting eller hard sletting. Microsoft Defender for Office 365 Plan 2/E5 gjør det mulig for sikkerhetsteam å utbedre trusler i e-post- og samarbeidsfunksjonalitet gjennom manuell og automatisert undersøkelse.

Dette må du vite før du begynner

• Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Administratorer kan utføre den nødvendige handlingen i e-postmeldinger, men rollen Søk og tømming kreves for å få disse handlingene godkjent. Hvis du vil tilordne rollen Søk og tøm, har du følgende alternativer:

  • Microsoft Defender XDR Enhetlig rollebasert tilgangskontroll (RBAC) (påvirker bare Defender-portalen, ikke PowerShell): Sikkerhetsoperasjoner/Sikkerhetsdata/E-post & avanserte samarbeidshandlinger (administrer).
  • E-post & samarbeidstillatelser i Microsoft Defender-portalen: Medlemskap i rollegruppene organisasjonsadministrasjon eller dataetterforsker. Du kan også opprette en ny rollegruppe med Søk- og tømmingsrollen tilordnet, og legge til brukerne i den egendefinerte rollegruppen.

• Kontroller at automatisert undersøkelse er aktivert på https://security.microsoft.com/securitysettings/endpoints/integration.

Manuell og automatisert utbedring

Manuell jakt oppstår når sikkerhetsteam identifiserer trusler manuelt ved hjelp av søke- og filtreringsfunksjonene i Explorer. Manuell utbedring av e-post kan utløses gjennom en hvilken som helst e-postvisning (malware, phish eller all e-post) etter at du har identifisert et sett med e-postmeldinger som må utbedres.

Sikkerhetsteam kan bruke Explorer til å velge e-postmeldinger på flere måter:

• Velg e-postmeldinger for hånd: Bruk filtre i ulike visninger. Velg opptil 100 e-postmeldinger som skal utbedres.

• Spørringsvalg: Merk en hel spørring ved hjelp av den øverste knappen for å velge alle . Den samme spørringen vises også i detaljene for e-postinnsending i handlingssenteret. Kunder kan sende maksimalt 200 000 e-postmeldinger fra trusselutforskeren.

• Spørringsvalg med utelukkelse: Noen ganger kan det hende at sikkerhetsoperasjonsgrupper ønsker å utbedre e-postmeldinger ved å velge en hel spørring og ekskludere bestemte e-postmeldinger fra spørringen manuelt. Hvis du vil gjøre dette, kan en administrator bruke avmerkingsboksen Merk alt og rulle ned for å utelate e-postmeldinger manuelt. Spørringen kan inneholde maksimalt 200 000 e-postmeldinger.

Når e-postmeldinger er valgt gjennom Explorer, kan du starte utbedringen ved å utføre direkte handlinger eller ved å sette e-postmeldinger i kø for en handling:

• Direkte godkjenning: Når handlinger som å flytte til innboksen, flytte til søppelpost, flytte til slettede elementer, sletting med myk sletting eller hard sletting , velges av sikkerhetspersonell som har riktige tillatelser, og de neste trinnene i utbedring følges, begynner utbedringsprosessen å utføre den valgte handlingen.

  Obs!

  Etter hvert som utbedringen blir startet, genererer den et varsel og en undersøkelse parallelt. Varsel vises i varslingskøen med navnet «Administrativ handling sendt av en administrator» som tyder på at sikkerhetspersonell gjorde handlingen for å utbedre en enhet. Den presenterer detaljer som navnet på personen som utførte handlingen, støtter undersøkelseskobling, tid osv. Det fungerer veldig bra å vite hver gang en hard handling som utbedring utføres på enheter. Alle disse handlingene kan spores underhandlingssenteretfor handlinger & handlingssenter for innsendinger> –>loggfanen (offentlig forhåndsvisning).

• Totrinnsgodkjenning: En «legg til i utbedring»-handling kan utføres av administratorer som ikke har riktige tillatelser, eller som må vente med å utføre handlingen. I dette tilfellet legges de målrettede e-postmeldingene til i en utbedringsbeholder. Godkjenning er nødvendig før utbedringen utføres.

Automatiserte undersøkelses- og svarhandlinger utløses av varsler eller sikkerhetsoperasjonsteam fra Explorer. Disse kan omfatte anbefalte utbedringshandlinger som må godkjennes av en sikkerhetsoperasjonsgruppe. Disse handlingene er inkludert på Handling-fanen i den automatiserte undersøkelsen.

Alle utbedringer (direkte godkjenninger) som er opprettet i Explorer, Avansert jakt eller gjennom automatisert undersøkelse, vises i handlingssenteret på handlingssenteret & loggfanen for innsendingers>handlingssenter> (https://security.microsoft.com/action-center/history).

Manuelle handlinger som venter på godkjenning ved hjelp av totrinns godkjenningsprosessen (1. Legg til i utbedring av ett medlem av sikkerhetsoperasjonsteamet, 2. Gjennomgått og godkjent av et annet gruppemedlem for sikkerhetsoperasjoner) er synlige påVentende fane (i handlings- & handlingssenter> for innsendinger>).https://security.microsoft.com/action-center/pending Etter godkjenning er de synlige på Handlingssenter-fanen for Handlinger & Handlingssenter> for innsendinger > ().https://security.microsoft.com/action-center/history

Enhetlig handlingssenter viser utbedringshandlinger for de siste 30 dagene. Handlinger som utføres gjennom Explorer, er oppført med navnet som sikkerhetsoperasjonsteamet oppgav da utbedringen ble opprettet, i tillegg til godkjennings-ID, undersøkelses-ID. Handlinger som utføres gjennom automatiserte undersøkelser, har titler som begynner med det relaterte varselet som utløste undersøkelsen, for eksempel Zap-e-postklyngen.

Åpne et utbedringselement for å vise detaljer om det, inkludert utbedringsnavn, godkjennings-ID, undersøkelses-ID, opprettelsesdato, beskrivelse, status, handlingskilde, handlingstype, bestemt av, status. Den åpner også en siderute med handlingsdetaljer, e-postklyngedetaljer, varsel og hendelsesdetaljer.

• Åpne undersøkelsessiden dette åpner en administratorundersøkelse som inneholder færre detaljer og faner. Den viser detaljer som: relatert varsel, enhet valgt for utbedring, handling utført, utbedringsstatus, enhetsantall, logger, godkjenner av handling. Denne undersøkelsen holder oversikt over undersøkelser utført av administratoren manuelt og inneholder detaljer om valg gjort av administratoren, og kalles derfor undersøkelse av administratorhandling. Du trenger ikke å handle på etterforskningen og varsle den allerede i godkjent tilstand.

• Antall e-postmeldinger Viser antall e-postmeldinger som sendes inn via Trusselutforsker. Disse e-postmeldingene kan være handlingsbare eller ikke gjennomførbare.

• Handlingslogger Vis detaljene for utbedringsstatuser som vellykket, mislykket og allerede i mål.

  

  • Gjennomførbart: E-postmeldinger i følgende postboksplasseringer i skyen kan behandles og flyttes:

    • Innboksen

    • Søppel

    • Slettet mappe

    • Slettet mappe med myk sletting

      Obs!

      For øyeblikket kan bare en bruker med tilgang til postboksen gjenopprette elementer fra en myk slettet mappe.

  • Kan ikke gjøre noe: E-postmeldinger på følgende steder kan ikke behandles eller flyttes i utbedringshandlinger:

    • Karantene
    • Hard slettet mappe
    • Lokalt/eksternt
    • Mislyktes/droppet
    • Ukjent

  • Typer handlinger for flytting og sletting som støttes:

    • Flytt til søppelpostmappe: Flytter meldinger til brukerens Søppelpost-mappe.
    • Flytt til innboksen: Flytter meldinger til brukernes innboksmappe.
    • Flytt til slettede elementer: Flytter meldinger til brukerens Slettede elementer-mappe.
    • Myk sletting: Flytter meldinger til en slettet mappe i skyen.
    • Hard sletting: Sletter meldingene permanent.

  Mistenkelige meldinger kategoriseres som enten utbedrbare eller ikke-utbedrbare. I de fleste tilfeller kombinerer utbedrbare og ikke-utbedrbare meldinger totalt antall meldinger som sendes inn. Men i sjeldne tilfeller kan dette ikke være sant. Dette kan skje på grunn av systemforsinkelser, tidsavbrudd eller utløpte meldinger. Meldinger utløper basert på explorer-oppbevaringsperioden for organisasjonen.

  Med mindre du utbedrer gamle meldinger etter organisasjonens oppbevaringsperiode i Explorer, anbefales det å prøve å utbedre elementer hvis du ser tallinkonsekvenser. Utbedringsoppdateringer oppdateres vanligvis i løpet av noen få timer for systemforsinkelser.

  Hvis organisasjonens oppbevaringsperiode for e-post i Explorer er 30 dager og du utbedrer e-postmeldinger som går 29–30 dager tilbake, kan det hende at antallet innsendinger av e-post ikke alltid blir lagt sammen. E-postmeldingene kan allerede ha begynt å flytte ut av oppbevaringsperioden.

  Hvis utbedringer sitter fast i tilstanden «Pågår» en stund, skyldes det sannsynligvis systemforsinkelser. Det kan ta opptil noen timer å utbedre. Det kan hende du ser variasjoner i antall innsendinger av e-post, da noen av e-postmeldingene kanskje ikke er inkludert i spørringen ved starten av utbedringen på grunn av systemforsinkelser. Det er lurt å prøve å utbedre i slike tilfeller.

  Obs!

  For best resultat bør utbedring gjøres i grupper på 50 000 eller færre.

  Bare utbedrbare e-postmeldinger behandles under utbedring. Ikke-utbedrbare e-postmeldinger kan ikke utbedres av det Office 365 e-postsystemet, da de ikke lagres i postbokser i skyen.

  Administratorer kan utføre handlinger på e-postmeldinger i karantene om nødvendig, men disse e-postmeldingene utløper ut av karantene hvis de ikke fjernes manuelt. Som standard er ikke e-postmeldinger i karantene på grunn av skadelig innhold tilgjengelig for brukere, så sikkerhetspersonell trenger ikke å gjøre noe for å bli kvitt trusler i karantene. Hvis e-postmeldingene er lokale eller eksterne, kan brukeren kontaktes for å adressere den mistenkelige e-postmeldingen. Eller administratorene kan bruke separate e-postserver-/sikkerhetsverktøy for fjerning. Disse e-postmeldingene kan identifiseres ved å bruke leveringsplasseringen = eksternt filter på forhånd i Explorer. For mislykket eller droppet e-post, eller e-post som ikke er tilgjengelig for brukere, vil det ikke være noen e-post å begrense, siden disse e-postmeldingene ikke kommer til postboksen.

• Handlingslogger: Dette viser meldinger utbedret, vellykket, mislykket, allerede i mål.

  Status kan være:

  • Startet: Utbedring utløses.
    • I kø: Utbedring legges i kø for utbedring av e-postmeldinger.
    • Pågår: Reduksjon pågår.
    • Fullført: Begrensning på alle utbedrbare e-postmeldinger er enten fullført eller med noen feil.
    • Mislyktes: Ingen utbedringer var vellykket.

  Siden bare utbedrbare e-postmeldinger kan behandles, vises hver e-postmeldings opprydding som vellykket eller mislykket. Fra de totale utbedrbare e-postmeldingene rapporteres vellykkede og mislykkede begrensninger.

  • Vellykket: Den ønskede handlingen på utbedrbare e-postmeldinger ble utført. For eksempel: En administrator ønsker å fjerne e-postmeldinger fra postbokser, slik at administratoren utfører handlingen med myk sletting av e-postmeldinger. Hvis en utbedrbar e-postmelding ikke finnes i den opprinnelige mappen etter at handlingen er utført, vises statusen som vellykket.

  • Feil: Den ønskede handlingen på utbedrbare e-postmeldinger mislyktes. For eksempel: En administrator ønsker å fjerne e-postmeldinger fra postbokser, slik at administratoren utfører handlingen med myk sletting av e-postmeldinger. Hvis det fremdeles finnes en utbedrbar e-postmelding i postboksen etter at handlingen er utført, vises statusen som mislykket.

  • Allerede i mål: Den ønskede handlingen ble allerede utført på e-postmeldingen, ELLER e-postmeldingen fantes allerede på målplasseringen. For eksempel: En e-postmelding ble slettet av administratoren via Explorer på dag én. Deretter vises lignende e-postmeldinger på dag 2, som igjen slettes av administratoren. Når du velger disse e-postmeldingene, ender administratoren opp med å plukke noen e-postmeldinger fra dag én som allerede er myk slettet. Nå vil ikke disse e-postmeldingene bli behandlet på nytt, de vises bare som «allerede i mål», siden ingen handling ble utført på dem slik de eksisterte på målplasseringen.

  • Ny: En allerede i målkolonne er lagt til i handlingsloggen. Denne funksjonen bruker den nyeste leveringsplasseringen i Trusselutforsker til å signalisere om e-postmeldingen allerede er utbedret. Allerede i mål hjelper sikkerhetsteamene med å forstå det totale antallet meldinger som fortsatt må håndteres.

Handlinger kan bare utføres på meldinger i mappene Innboks, Søppelpost, Slettet og Mykt slettet i Trusselutforsker. Her er et eksempel på hvordan den nye kolonnen fungerer. En myk slettehandling finner sted på meldingen som finnes i innboksen, og deretter håndteres meldingen i henhold til policyer. Neste gang en myk sletting utføres, vises denne meldingen under kolonnen «Allerede i mål» som signaliserer at den ikke trenger å løses på nytt.

Velg et element i handlingsloggen for å vise utbedringsdetaljer. Hvis detaljene sier «vellykket» eller «ikke funnet i postboksen», er dette elementet allerede fjernet fra postboksen. Noen ganger er det en systemfeil under utbedring. I slike tilfeller er det lurt å prøve utbedringshandlingen på nytt.

Ved utbedring av store grupper med e-post eksporterer du meldingene som sendes til utbedring via e-postinnsending, og meldinger som ble utbedret via handlingslogger. Eksportgrensen økes til 100 000 poster.

Administratorer kan utføre utbedringshandlinger som å flytte e-postmeldinger til Søppelpost-, Innboks- eller Slettede elementer-mappen og slette handlinger som myk slettet eller hard sletting fra avanserte jaktsider.

Utbedring reduserer trusler, adresserer mistenkelige e-postmeldinger og bidrar til å holde en organisasjon sikker.