修正是指针对威胁采取规定的操作。 发送到组织的恶意电子邮件可由系统、零小时自动清除 (ZAP) 或安全团队通过修正操作(如 移动到收件箱、 移动到垃圾邮件、 移动到已删除的项目、 软删除或 硬删除)进行清理。 Microsoft Defender for Office 365计划 2/E5 使安全团队能够通过手动和自动调查来修正电子邮件和协作功能中的威胁。
大规模修正存在限制,可帮助确保服务的稳定性和性能:
-
组织限制:活动并发电子邮件修正的最大数目为 50。 达到限制后,在完成某些操作之前,不会触发新的修正。
-
Email邮件限制:如果活动修正涉及 100 多万封电子邮件,则不允许新的电子邮件修正。
-
修正中的收件人要求:
- 所选收件人的总百分比必须至少为修正中电子邮件总数的 40%。 例如,如果向五个收件人发送电子邮件,则资源管理器 (威胁资源管理器) 将其计为五封电子邮件。 如果修正需要删除 5,000 封电子邮件,则修正必须面向至少 2,000 个收件人。
- 如果收件人计数小于电子邮件总数的 40%,则修正不能用于删除发送给单个收件人的 1,000 多封邮件。
需要先分配权限,然后才能执行本文中的过程。 管理员可以对电子邮件执行所需的操作,但需要 “搜索和清除” 角色才能获得这些操作的批准。 若要分配 “搜索和清除” 角色,可以使用以下选项:
验证是否在 https://security.microsoft.com/securitysettings/endpoints/integration中启用了自动调查。
当安全团队使用资源管理器 (威胁资源管理器) 中的搜索和筛选功能手动识别威胁时,将发生手动搜寻。 识别需要修正的一组电子邮件后,可以通过任何电子邮件视图 (恶意软件、 网络钓鱼或 所有电子邮件) 触发手动电子邮件修正。
安全团队可以通过多种方式使用资源管理器选择电子邮件:
手动选择电子邮件:在各种视图中使用筛选器。 最多选择要修正的 100 封电子邮件。
查询选择:使用顶部的“ 全选 ”按钮选择整个查询。 操作中心邮件提交详细信息中也显示了相同的查询。 客户最多可以从资源管理器提交 200,000 封电子邮件。
包含排除项的查询选择:有时,安全运营团队可能希望通过选择整个查询并从查询中手动排除某些电子邮件来修正电子邮件。 为此,管理员可以使用“选择所有检查”框并向下滚动以手动排除电子邮件。 查询最多可保存 200,000 封电子邮件。
通过资源管理器选择电子邮件后,可以通过采取直接操作或排队电子邮件来开始修正操作:
自动调查和响应 操作由警报或安全运营团队从资源管理器触发。 这些结果可能包括建议的修正操作,这些操作必须由安全运营团队批准。 这些操作包含在自动调查的“ 操作 ”选项卡上。
在资源管理器、高级搜寻或通过自动调查中创建的所有修正 (直接审批) 显示在操作中心的 “操作 & 提交>操作中心>历史记录 ”选项卡 (https://security.microsoft.com/action-center/history) 。
使用双重审批流程等待审批的手动操作 (由一个安全操作团队成员添加到修正中,并由另一个安全操作团队成员审阅和批准的) 显示在 “操作 & 提交>操作中心>挂起 ”选项卡 (https://security.microsoft.com/action-center/pending) 。 审批后,它们将显示在 “操作 & 提交>操作中心>历史记录 ”选项卡上, https://security.microsoft.com/action-center/history () 。
统一操作中心显示过去 30 天的修正操作。 通过资源管理器执行的操作按安全操作团队在创建修正时提供的名称以及审批 ID(调查 ID)列出。 通过自动调查执行的操作具有以触发调查的相关警报开头的标题,例如 Zap 电子邮件群集。
打开任何修正项目以查看其详细信息,包括其修正名称、审批 ID、调查 ID、创建日期、说明、状态、操作源、操作类型、决定者、状态。 它还会打开一个侧窗格,其中包含操作详细信息、电子邮件群集详细信息、警报和事件详细信息。
打开“调查”页:打开包含较少详细信息和选项卡的管理员调查。 它显示详细信息,例如:相关警报、为修正选择的实体、执行的操作、修正状态、实体计数、日志和操作审批者。 跟踪管理员手动完成的调查,并包含管理员所做的选择的详细信息。无需对调查采取行动, (它已处于“已批准”状态) 发出警报。
Email计数:显示通过资源管理器提交的电子邮件数。 这些消息可以是可操作的,也可以是不可操作的。
操作日志:显示修正状态的详细信息,例如成功、失败和已在目标中。
备注
在美国政府组织中, (Microsoft 365 GCC、GCC High 和 DoD) 管理员可以执行 软删除、 移动到垃圾邮件文件夹、 移动到已删除的项目、 硬删除和 移动到收件箱的操作。 删除 发件人的副本 和从隔离文件夹 移动到收件箱 的操作不可用。
可疑邮件分为可修复或不可修复。 在大多数情况下,可修复和不可修复的消息总数等于提交的邮件总数。 但由于系统延迟、超时或消息已过期,总数可能不匹配。 消息根据组织的资源管理器保留期过期。
除非在组织的资源管理器保留期之后修正旧邮件,否则如果发现数量不一致,建议重试修正项目。 对于系统延迟,修正更新通常在几个小时内刷新。
如果你的组织在资源管理器中对电子邮件的保留期为 30 天,并且你正在修正回退 29-30 天的电子邮件,则邮件提交计数可能并不总是加起来。 电子邮件可能已经开始移出保留期。
如果修正停滞在“正在进行”状态一段时间,可能是由于系统延迟。 修正可能需要长达几个小时。 你可能会看到邮件提交计数的变化,因为由于系统延迟,某些电子邮件在修正开始时可能未包含在查询中。 在这种情况下,最好重试修正。
提示
为了获得最佳结果,修正应以 50,000 个或更少的批次完成。
修正期间仅处理可修复的电子邮件。 Microsoft 365 无法修正不可修复的电子邮件,因此无法将其存储在云邮箱中。
管理员可在必要时对隔离区中的电子邮件执行操作,但如果这些电子邮件未手动清除,则这些电子邮件将在隔离区外过期。 默认情况下,用户无法访问因恶意内容而隔离的电子邮件,因此安全人员不必采取任何措施来消除隔离中的威胁。 如果电子邮件位于本地或外部,则可以联系用户以处理可疑电子邮件。 或者,管理员可以使用单独的电子邮件服务器/安全工具进行删除。 可以通过在资源管理器中应用 传递位置 = 本地 外部筛选器来识别这些电子邮件。 对于失败或已删除的电子邮件,或者用户无法访问的电子邮件,没有任何电子邮件可以缓解,因为这些邮件不会到达邮箱。
操作日志:显示已修正、成功、失败、已在目标中的消息。
状态可以是:
-
已启动:触发修正。
-
已排队:修正已排队以缓解电子邮件。
-
正在进行:缓解措施正在进行中。
-
已完成:所有可修复电子邮件的缓解已成功完成或失败。
-
失败:修正未成功。
由于只能对可修复的电子邮件执行操作,因此每封电子邮件的清理都显示为成功或失败。 从可修复的电子邮件总数中,将报告成功和失败的缓解措施。
成功:完成了对可修复电子邮件的所需操作。 例如:管理员想要从邮箱中删除电子邮件,因此管理员采取软删除电子邮件的操作。 如果在执行操作后在原始文件夹中找不到可修复的电子邮件,则状态将显示为“成功”。
失败:针对可修复电子邮件的所需操作失败。 例如:管理员想要从邮箱中删除电子邮件,因此管理员采取软删除电子邮件的操作。 如果在执行操作后邮箱中仍发现可修复的电子邮件,则状态将显示为“失败”。
已在目标中:已对电子邮件执行所需操作,或者电子邮件已存在于目标位置。 例如:管理员第一天通过资源管理器软删除了电子邮件。 然后,类似的电子邮件显示在第 2 天,管理员再次软删除。选择这些电子邮件时,管理员最终会从第一天开始选取一些已软删除的电子邮件。 现在不会处理这些消息。 相反,它们显示为“已在目标中”,因为不会对其执行任何操作,因为它们存在于目标位置中。
新建:已在 操作 日志中添加目标列中的 。 此功能使用资源管理器中的最新传递位置来指示邮件是否已得到修正。
已在目标中 可帮助安全团队了解仍需要处理的消息总数。
只能对资源管理器的“收件箱”、“垃圾邮件”、“已删除”和“软删除”文件夹中的邮件执行操作。 下面是新列工作原理的示例。 对收件箱中存在的邮件执行 软删除操作 ,然后根据策略处理邮件。 下次执行软删除时,此消息将显示在“已在目标中”列下,表示不需要再次处理。
选择操作日志中的任何项以显示修正详细信息。 如果详细信息显示“成功”或“未在邮箱中找到”,则表示该项目已从邮箱中删除。 有时在修正期间出现系统错误。 在这些情况下,最好重试修正操作。
如果需要修正大量电子邮件,请导出通过邮件提交发送修正的邮件,并导出通过操作日志修正的邮件。 导出限制增加到 100,000 条记录。
管理员可以采取修正操作,例如将电子邮件移动到垃圾邮件、收件箱或已删除邮件文件夹,以及从高级搜寻页面删除软删除或硬删除等操作。
修正可缓解威胁、解决可疑电子邮件并帮助确保组织安全。