Åtgärda skadlig e-post som levereras i Office 365
Tips
Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
Reparation innebär att vidta en föreskriven åtgärd mot ett hot. Skadlig e-post som skickas till din organisation kan rensas antingen av systemet, via automatisk rensning utan timme (ZAP) eller av säkerhetsteam genom reparationsåtgärder som att flytta till inkorgen, flytta till skräp, flytta till borttagna objekt, mjuk borttagning eller hård borttagning. Microsoft Defender för Office 365 plan 2/E5 gör det möjligt för säkerhetsteam att åtgärda hot i e-post- och samarbetsfunktioner genom manuell och automatiserad undersökning.
Vad du behöver veta innan du börjar
Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Administratörer kan vidta nödvändiga åtgärder för e-postmeddelanden, men rollen Sök och Rensa krävs för att dessa åtgärder ska godkännas. Om du vill tilldela sök- och rensningsrollen har du följande alternativ:
- Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Defender för Office 365 behörigheter är Aktiva. Påverkar endast Defender-portalen, inte PowerShell: Säkerhetsåtgärder/Säkerhetsdata/Email & avancerade åtgärder för samarbete (hantera).
- Email & samarbetsbehörigheter i Microsoft Defender-portalen: Medlemskap i rollgrupperna Organisationshantering eller Datadetektiv. Eller så kan du skapa en ny rollgrupp med rollen Sök och Rensa tilldelad och lägga till användarna i den anpassade rollgruppen.
Kontrollera att Automatisk undersökning är aktiverat på https://security.microsoft.com/securitysettings/endpoints/integration.
Manuell och automatiserad reparation
Manuell jakt sker när säkerhetsteam identifierar hot manuellt med hjälp av sök- och filtreringsfunktionerna i Explorer. Manuell e-postreparation kan utlösas via valfri e-postvy (skadlig kod, nätfiske eller all e-post) när du har identifierat en uppsättning e-postmeddelanden som behöver åtgärdas.
Säkerhetsteam kan använda Explorer för att välja e-post på flera sätt:
Välj e-post för hand: Använd filter i olika vyer. Välj upp till 100 e-postmeddelanden för att åtgärda problemet.
Frågeval: Välj en hel fråga med hjälp av knappen Markera alla högst upp. Samma fråga visas också i information om e-postöverföring i Åtgärdscenter. Kunder kan skicka högst 200 000 e-postmeddelanden från Hotutforskaren.
Frågeval med undantag: Ibland kan säkerhetsåtgärdsteam vilja åtgärda e-postmeddelanden genom att välja en hel fråga och exkludera vissa e-postmeddelanden från frågan manuellt. För att göra det kan en administratör använda kryssrutan Markera alla och rulla ned för att exkludera e-postmeddelanden manuellt. Frågan kan innehålla högst 200 000 e-postmeddelanden.
När e-postmeddelanden har valts via Explorer kan du starta reparationen genom att vidta direkta åtgärder eller genom att köa e-postmeddelanden för en åtgärd:
Direkt godkännande: När åtgärder som att flytta till inkorgen, flytta till skräppost, flytta till borttagna objekt, mjuk borttagning eller hård borttagning väljs av säkerhetspersonal som har lämpliga behörigheter, och nästa steg i reparationen följs, börjar reparationsprocessen att köra den valda åtgärden.
Obs!
När reparationen startas genereras en avisering och en undersökning parallellt. Aviseringen visas i aviseringskön med namnet "Administrativ åtgärd som skickats av en administratör" som tyder på att säkerhetspersonalen vidtog åtgärden att åtgärda en entitet. Den visar information som namnet på den person som utförde åtgärden, stöd för undersökningslänk, tid osv. Det fungerar riktigt bra att veta varje gång en hård åtgärd som reparation utförs på entiteter. Alla dessa åtgärder kan spåras under fliken Åtgärder & Åtgärdscenter för inlämningar> –>Historik (offentlig förhandsversion).
Tvåstegsgodkännande: En åtgärd för att lägga till i reparation kan vidtas av administratörer som inte har rätt behörighet eller som behöver vänta med att utföra åtgärden. I det här fallet läggs riktade e-postmeddelanden till i en reparationscontainer. Godkännande krävs innan reparationen körs.
Automatiserade undersöknings- och svarsåtgärder utlöses av aviseringar eller av säkerhetsåtgärdsteam från Explorer. Dessa kan omfatta rekommenderade åtgärder som måste godkännas av ett säkerhetsåtgärdsteam. De här åtgärderna ingår på fliken Åtgärd i den automatiserade undersökningen.
Alla åtgärder (direkta godkännanden) som skapats i Utforskaren, Avancerad jakt eller genom automatiserad undersökning visas i åtgärdscentret på fliken Åtgärder &Historik föråtgärdscenter>för inlämningar> (https://security.microsoft.com/action-center/history).
Manuella åtgärder väntar på godkännande med hjälp av godkännandeprocessen i två steg (1. Lägg till i reparation av en medlem i säkerhetsåtgärdsteamet, 2. Granskas och godkänns av en annan medlem i säkerhetsåtgärdsteamet) visas på fliken Åtgärder & Inlämningar i åtgärdscentret>>väntar (https://security.microsoft.com/action-center/pending). Efter godkännandet visas de på fliken Åtgärder &Historik för överföringsåtgärdscenter>> (https://security.microsoft.com/action-center/history).
Unified Action Center visar reparationsåtgärder för de senaste 30 dagarna. Åtgärder som vidtas via Explorer visas med det namn som säkerhetsåtgärdsteamet angav när reparationen skapades samt godkännande-ID, undersöknings-ID. Åtgärder som vidtas via automatiserade undersökningar har rubriker som börjar med den relaterade aviseringen som utlöste undersökningen, till exempel Zap-e-postkluster.
Öppna alla reparationsobjekt för att visa information om det, inklusive dess reparationsnamn, godkännande-ID, undersöknings-ID, skapandedatum, beskrivning, status, åtgärdskälla, åtgärdstyp, bestäms av, status. Den öppnar också en sidoruta med åtgärdsinformation, information om e-postkluster, avisering och incidentinformation.
Öppna undersökningssidan . Då öppnas en administratörsundersökning som innehåller färre detaljer och flikar. Den visar information som: relaterad avisering, entitet som valts för reparation, åtgärdsstatus, entitetsantal, loggar, godkännare av åtgärden. Den här undersökningen håller reda på den undersökning som utförs av administratören manuellt och innehåller information om val som gjorts av administratören, och kallas därför för undersökning av administratörsåtgärder. Du behöver inte agera på undersökningen och varna den redan i godkänt tillstånd.
Email antal Visar antalet e-postmeddelanden som skickas via Threat Explorer. Dessa e-postmeddelanden kan vara användbara eller inte åtgärdsbara.
Åtgärdsloggar Visa information om reparationsstatusar som lyckade, misslyckade och redan i målet.
Åtgärdsbar: Email på följande platser för molnpostlådor kan åtgärdas och flyttas:
- Inkorg
- Skräp*
- Mappen Borttagna objekt*
- Mappen Återställningsbara objekt\Borttagningar (mjukt borttagna objekt)*
- Karantän
* Inte tillgängligt för objekt i karantän.
Kan inte åtgärdas: Email på följande platser kan inte åtgärdas eller flyttas i reparationsåtgärder:
- Hårt borttagen mapp
- Lokalt/externt
- Misslyckades/släpptes
- Okänd
Typer av flytt- och borttagningsåtgärder som stöds:
Flytta till skräppostmapp: Flyttar meddelanden till användarens skräppostmapp Email.
Flytta till inkorgen: Flyttar meddelanden till användarnas inkorgsmapp.
Flytta till borttagna objekt: Flyttar meddelanden till användarens mapp Borttaget.
Mjuk borttagning: Ta bort meddelandet från mappen Borttaget (flytta till mappen Återställningsbara objekt\Borttagningar). Meddelandet kan återställas av användaren och administratörerna.
Ta bort avsändarens kopia: Försök också att mjukt ta bort meddelandet från avsändarens mapp Skickat om avsändaren är organisationen.
Hård borttagning: Rensa det borttagna meddelandet. Administratörer kan återställa hårt borttagna objekt med hjälp av enstaka objektåterställning. Mer information om hårt borttagna och mjukt borttagna objekt finns i Mjukt borttagna och hårt borttagna objekt.
Misstänkta meddelanden kategoriseras som antingen reparationsbara eller icke-omedelbart. I de flesta fall kombinerar reparationsbara och icke-omedelbart meddelanden det totala antalet meddelanden som skickas. Men i sällsynta fall kanske detta inte är sant. Detta kan inträffa på grund av systemförseningar, tidsgränser eller utgångna meddelanden. Meddelanden upphör att gälla baserat på kvarhållningsperioden för Utforskaren för din organisation.
Om du inte åtgärdar gamla meddelanden efter kvarhållningsperioden för utforskaren i din organisation rekommenderar vi att du försöker åtgärda objekten igen om du ser inkonsekvenser i antalet. Vid systemfördröjningar uppdateras vanligtvis reparationsuppdateringar inom några timmar.
Om organisationens kvarhållningsperiod för e-post i Explorer är 30 dagar och du åtgärdar e-postmeddelanden som går tillbaka 29–30 dagar kanske antalet e-postmeddelanden inte alltid summeras. E-postmeddelandena kan redan ha börjat flyttas från kvarhållningsperioden.
Om reparationen har fastnat i tillståndet "Pågår" ett tag beror det sannolikt på systemförseningar. Det kan ta upp till några timmar att åtgärda problemet. Du kan se variationer i antalet e-postöverföringar, eftersom vissa av e-postmeddelandena kanske inte har inkluderats i frågan i början av reparationen på grund av systemförseningar. Det är en bra idé att försöka åtgärda igen i sådana fall.
Obs!
För bästa resultat bör reparation utföras i batchar om 50 000 eller färre.
Endast åtgärdsbara e-postmeddelanden åtgärdas under reparationen. Icke-omedelbar e-post kan inte åtgärdas av Office 365 e-postsystem, eftersom de inte lagras i molnpostlådor.
Administratörer kan vidta åtgärder för e-postmeddelanden i karantän om det behövs, men dessa e-postmeddelanden upphör att gälla i karantän om de inte rensas manuellt. Som standard är e-postmeddelanden i karantän på grund av skadligt innehåll som inte är tillgängliga för användare, så säkerhetspersonal behöver inte vidta några åtgärder för att bli av med hot i karantän. Om e-postmeddelandena är lokala eller externa kan användaren kontaktas för att adressera det misstänkta e-postmeddelandet. Eller så kan administratörerna använda separata e-postservrar/säkerhetsverktyg för borttagning. Dessa e-postmeddelanden kan identifieras genom att tillämpa leveransplatsen = lokalt externt filter i Explorer. För misslyckad eller borttagen e-post, eller e-post som inte är tillgänglig för användare, finns det inget e-postmeddelande att åtgärda, eftersom dessa e-postmeddelanden inte når postlådan.
Åtgärdsloggar: Detta visar de meddelanden som har åtgärdats, lyckats, misslyckats, som redan finns i målet.
Status kan vara:
-
Startat: Reparationen utlöses.
- I kö: Reparationen har placerats i kö för att minska antalet e-postmeddelanden.
- Pågår: Åtgärder pågår.
- Slutförd: Åtgärd för alla åtgärdsbara e-postmeddelanden som antingen har slutförts eller med vissa fel.
- Misslyckades: Inga åtgärder lyckades.
Eftersom endast åtgärdsbara e-postmeddelanden kan åtgärdas visas rensningen av varje e-postmeddelande som lyckad eller misslyckad. Från de totala åtgärdsbara e-postmeddelandena rapporteras lyckade och misslyckade åtgärder.
Lyckades: Den önskade åtgärden för åtgärdsbara e-postmeddelanden utfördes. Till exempel: En administratör vill ta bort e-postmeddelanden från postlådor, så att administratören vidtar åtgärder för mjuk borttagning av e-postmeddelanden. Om ett åtgärdsbart e-postmeddelande inte hittas i den ursprungliga mappen när åtgärden har vidtagits visas statusen som lyckad.
Fel: Den önskade åtgärden för åtgärdsbara e-postmeddelanden misslyckades. Till exempel: En administratör vill ta bort e-postmeddelanden från postlådor, så att administratören vidtar åtgärder för mjuk borttagning av e-postmeddelanden. Om ett åtgärdsbart e-postmeddelande fortfarande hittas i postlådan när åtgärden har vidtagits visas statusen som misslyckad.
Redan i målet: Den önskade åtgärden har redan vidtagits på e-postmeddelandet eller så fanns e-postmeddelandet redan på målplatsen. Till exempel: Ett e-postmeddelande togs bort mjukt av administratören via Utforskaren dag ett. Sedan visas liknande e-postmeddelanden dag 2, som återigen tas bort mjukt av administratören. När du väljer dessa e-postmeddelanden hämtar administratören några e-postmeddelanden från dag ett som redan är mjukt borttagna. Nu kommer dessa e-postmeddelanden inte att åtgärdas igen, de visas bara som "redan i målet", eftersom ingen åtgärd vidtogs på dem eftersom de fanns på målplatsen.
Ny: En redan i målkolumn har lagts till i åtgärdsloggen. Den här funktionen använder den senaste leveransplatsen i Threat Explorer för att signalera om e-postmeddelandet redan har åtgärdats. Redan i målet hjälper säkerhetsteamen att förstå det totala antalet meddelanden som fortfarande behöver åtgärdas.
-
Startat: Reparationen utlöses.
Åtgärder kan endast vidtas på meddelanden i mapparna Inkorgen, Skräppost, Borttaget och Mjuk borttagning i Threat Explorer. Här är ett exempel på hur den nya kolumnen fungerar. En åtgärd för mjuk borttagning sker i meddelandet som finns i inkorgen och sedan hanteras meddelandet enligt principer. Nästa gång en mjuk borttagning utförs visas det här meddelandet under kolumnen "Redan i målet" som signalerar att det inte behöver åtgärdas igen.
Välj ett objekt i åtgärdsloggen för att visa reparationsinformation. Om informationen säger "lyckades" eller "hittades inte i postlådan" har objektet redan tagits bort från postlådan. Ibland uppstår ett systemfel under reparationen. I dessa fall är det en bra idé att försöka utföra reparationsåtgärden igen.
Om du vill åtgärda stora batchar med e-post exporterar du de meddelanden som skickas för reparation via e-postöverföring och meddelanden som har åtgärdats via åtgärdsloggar. Exportgränsen ökas till 100 000 poster.
Administratörer kan vidta åtgärder som att flytta e-postmeddelanden till mappen Skräppost, Inkorgen eller Borttagna objekt och ta bort åtgärder som mjuk borttagning eller hård borttagning från sidorna Avancerad jakt.
Reparation minskar hot, åtgärdar misstänkta e-postmeddelanden och hjälper till att skydda en organisation.