補救 Office 365 中傳送的惡意電子郵件

提示

您是否知道您可以免費試用適用於 Office 365 的 Microsoft Defender 方案 2 中的功能？ 在 Microsoft Defender 入口網站試用中樞使用 90 天適用於 Office 365 的 Defender 試用版。 瞭解誰可以在試用適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

補救是指對威脅採取規定的行動。 系統可以透過零小時自動清除 (ZAP) ，或由安全性小組透過補救動作 （ 例如移至收件匣、 移至垃圾郵件、 移至已刪除的專案、 虛刪除或 硬刪除） 來清除傳送至您組織的惡意電子郵件。 適用於 Office 365 的 Microsoft Defender 方案 2/E5 可讓安全性小組透過手動和自動調查補救電子郵件和共同作業功能中的威脅。

開始之前您需要了解的內容

• 大規模補救有節流限制，有助於確保服務的穩定性和效能：

  • 組織限制：作用中並行電子郵件補救的數目上限為 50。 一旦達到限制，在完成某些動作之前，不會觸發新的補救措施。
  • Email message 限制：如果作用中補救涉及超過一百萬封電子郵件，則不允許新的電子郵件補救。
  • 補救中的收件者需求：
    • 所選收件者的總百分比必須至少為補救中電子郵件訊息總數的 40%。 如果補救需要刪除 5,000 封電子郵件，則補救必須以至少 2,000 個收件者為目標。 總管 (威脅總管) 將每個收件者計為唯一的電子郵件訊息。 例如，威脅總管會將傳送至 5 個位址的訊息計為 5 則訊息。
    • 如果收件者計數少於電子郵件訊息總計數的 40%，則補救無法用來刪除傳送給單一收件者的超過 1,000 封郵件。

• 您必須先獲指派權限，才能執行本文中的程序。 系統管理員可以對電子郵件訊息採取必要的動作，但需要 搜尋和清除 角色才能核准這些動作。 若要指派 「搜尋和清除 」角色，您有下列選項：

  • Microsoft Defender 全面偵測回應 RBAC) (統一角色型存取控制 (如果Email &共同作業>適用於 Office 365 的 Defender權限為 [作用中]。只影響 Defender 入口網站，不影響 PowerShell) ：安全性作業/安全性資料/Email &共同作業進階動作 (管理) 。
  • Microsoft Defender入口網站中的Email &共同作業許可權：組織管理或資料調查者角色群組中的成員資格。 或者，您可以建立已指派 [搜尋和清除] 角色的新角色群組，並將使用者新增至自訂角色群組。

• 確認已在 中https://security.microsoft.com/securitysettings/endpoints/integration開啟自動調查。

手動和自動補救

當安全性小組使用 Explorer (Threat Explorer) 中的搜尋和篩選功能手動識別威脅時，就會發生手動搜捕。 在您識別一組需要補救的電子郵件之後，可以透過任何電子郵件檢視 (惡意代碼、 網路釣魚或 所有電子郵件) 觸發手動電子郵件補救。

安全性小組可以使用總管，以數種方式選取電子郵件：

• 手動選擇電子郵件： 在各種視圖中使用過濾器。 選取最多 100 封電子郵件進行補救。

• 查詢選取：使用頂端的 全選 按鈕選取整個查詢。 相同的查詢也會顯示在控制中心郵件提交詳細數據中。 客戶最多可以從 Explorer 提交 200,000 封電子郵件。

• 具有排除的查詢選取：有時候，安全性作業小組可能會想要藉由選取整個查詢，並手動從查詢中排除特定電子郵件，以補救電子郵件。 若要這樣做，管理員可以使用 全選 核取方塊並向下捲動以手動排除電子郵件。 查詢最多可容納 200,000 封電子郵件。

透過總管選取電子郵件之後，您可以採取直接動作或將電子郵件排入佇列以取得動作，以開始補救：

• 直接核准：當具有適當許可權的安全性人員選取移 至收件匣、 移至垃圾郵件、 移至已刪除專案、 虛刪除或 硬刪除 等動作，並遵循補救的後續步驟時，補救程式會開始執行選取的動作。

  注意事項

  當補救啟動時，它會同時產生警示和調查。 警示會顯示在警示佇列中，名稱為「系統管理員提交的系統管理動作」，表示安全性人員採取了補救實體的動作。 它提供了執行操作的人員姓名、支持調查鏈接、時間等詳細信息。每次對實體執行嚴厲動作（例如補救）時，知道效果非常好。 所有這些動作都可以在 [動作] & [提交>] 動作中心>[記錄] 索引標籤下追蹤。

• 兩步驟核准：沒有適當許可權或需要等候執行動作的系統管理員可以採取「新增至補救」動作。 在此情況下，目標電子郵件會新增至補救容器。 在執行補救之前，需要核准。

自動調查和回應 動作是由警示或安全性作業小組從總管觸發。 這些結果可能包括必須由安全性作業小組核准的建議補救動作。 這些動作包含在自動調查的 [動作] 索引標籤上。

在總管、進階搜捕或透過自動調查建立) 的所有補救 (直接核准都會顯示在 [動作] & [提交>][動作>中心] [歷程記錄] 索引標籤 () https://security.microsoft.com/action-center/history 中。

使用兩步驟核准程序的擱置核准手動動作 (由一名安全性作業小組成員新增至補救，並由另一個安全性作業小組成員檢閱和核准，) 顯示在 [動作 & 提交][動作] [已>擱>置] 索引標籤 (https://security.microsoft.com/action-center/pending) 。 核准之後，它們會顯示在 [動作] & [提交>][動作中心>] [記錄] 索引標籤 (https://security.microsoft.com/action-center/history) 。

統一控制中心會顯示過去 30 天的補救動作。 透過總管採取的動作會依安全性作業小組在建立補救時提供的名稱，以及核准識別碼、調查識別碼列出。 透過自動化調查所採取的動作具有以觸發調查之相關警示開頭的標題，例如 Zap 電子郵件叢集。

開啟任何補救項目以檢視其詳細資料，包括其補救名稱、核准識別碼、調查識別碼、建立日期、描述、狀態、動作來源、動作類型、決定者、狀態。 它也會開啟側窗格，其中包含動作詳細資料、電子郵件叢集詳細資料、警示和事件詳細資料。

• 開啟 [調查] 頁面：開啟包含較少詳細資料和索引標籤的系統管理員調查。 它會顯示詳細數據，例如：相關警示、選取補救的實體、採取的動作、補救狀態、實體計數、記錄和動作核准者。 追蹤管理員手動完成的調查，並包含管理員所做選擇的詳細資料。無需對調查採取行動，並在它已處於已核准狀態) (發出警報。

• Email count：顯示透過 Explorer 提交的電子郵件訊息數量。 這些訊息可以是可操作的，也可以是不可操作的。

• 動作記錄：顯示修復狀態的詳細資料，例如成功、失敗和已在目的地中。

  

  • 可採取動作：可以對下列雲端信箱位置中的 Email 進行動作和移動：

    • 收件匣
    • 垃圾^*
    • [刪除的郵件] 資料夾^*
    • 可復原的專案\刪除資料夾 (虛刪除的專案) ^*
    • 隔離

    ^* 不適用於隔離項目。

  • 不可採取動作：無法在補救動作中處理或移動下列位置的 Email：

    • 硬刪除資料夾
    • 內部部署/外部
    • 失敗/捨棄
    • Unknown

  • 支援的「移動」和「刪除」動作類型：

    • 移至垃圾郵件資料夾：將郵件移至使用者的 Junk Email 資料夾。

    • 移至收件匣：將郵件移至使用者收件匣資料夾。

    • 移至已刪除的郵件：將郵件移至使用者的 [刪除的郵件] 資料夾。

    • 虛刪除：從 [刪除的郵件] 資料夾中刪除郵件 (移至 [可復原的郵件\刪除] 資料夾) 。 訊息可由使用者和系統管理員復原。

      刪除寄件者的複本：如果寄件者是組織，也請嘗試從寄件者的 [寄件件匣] 資料夾中虛刪除郵件。

    • 硬刪除：清除已刪除的訊息和會議邀請訊息的對應行事曆項目。 系統管理員可以使用單一項目復原來復原硬式刪除的專案。 如需硬刪除和虛刪除專案的詳細資訊，請參閱 虛刪除和硬刪除專案。 如果您使用Microsoft Defender 全面偵測回應 統一角色型存取控制 (RBAC) ，您也需要Email &共同作業內容 (讀取) 權限，才能硬刪除郵件。

  注意事項

  在Microsoft 365 GCC、GCC High 和 DoD (美國政府組織中，) 系統管理員可以採取 虛刪除、 移至垃圾資料夾、 移至已刪除專案、 硬刪除和 移至收件匣的動作。 刪除 寄件者的複本 和從隔離資料夾移 至收件匣 的動作無法使用。 此外，動作記錄僅https://security.microsoft.com/threatincidents在 中可用，而無法在 的https://security.microsoft.com/action-center「操作中心」中使用。

  可疑訊息會分類為可補救或不可補救。 在大部分情況下，可補救和不可補救的訊息總數等於提交的訊息總數。 但總計可能因為系統延遲、逾時或過期訊息而不相符。 訊息會根據貴組織的 Explorer 保留期間而過期。

  除非您要在組織的 Explorer 保留期間之後補救舊郵件，否則如果您看到數字不一致，建議您重試補救項目。 對於系統延遲，補救更新通常會在幾個小時內重新整理。

  如果您的組織在總管中電子郵件的保留期間為 30 天，而您要修復 29-30 天前的電子郵件，則郵件提交計數可能不一定加總。 這些電子郵件可能已經開始離開保留期。

  如果補救措施停留在「進行中」狀態一段時間，可能是因為系統延遲。 修復可能需要幾個小時。 您可能會看到郵件提交計數的差異，因為由於系統延遲，某些電子郵件可能在補救開始時未包含在查詢中。 在這種情況下，最好重試補救。

  提示

  為了獲得最佳結果，應以 50,000 個或更少的批次進行補救。

  在補救期間，只會處理可補救的電子郵件訊息。 Microsoft 365 無法補救無法補救的電子郵件，因為它們不會儲存在雲端信箱中。

  如有必要，管理員可以對隔離區中的電子郵件採取動作，但如果未手動清除，這些電子郵件就會過期。 根據預設，使用者無法存取因惡意內容而隔離的電子郵件，因此安全性人員不需要採取任何動作來消除隔離中的威脅。 如果電子郵件是內部部署或外部的，則可以聯絡使用者以解決可疑電子郵件。 或者管理員可以使用單獨的電子郵件伺服器/安全工具進行刪除。 這些電子郵件可以透過在總管中套用 傳遞位置 = 內部部署 外部篩選器來識別。 對於失敗或卸除的電子郵件，或使用者無法存取的電子郵件，沒有任何電子郵件可緩解，因為這些郵件不會到達信箱。

• 動作記錄：顯示已修復、成功、失敗、已在目的地的訊息。

  狀態可以是：

  • 已啟動：觸發修復。
    • 已排入佇列：補救已排入佇列，以緩解電子郵件。
    • 進行中：緩解正在進行中。
    • 已完成：所有可補救電子郵件的緩解措施已成功完成或發生某些失敗。
    • 失敗：未成功修復。

  由於只能對可補救的電子郵件採取行動，因此每封電子郵件的清除都會顯示為成功或失敗。 從可補救的電子郵件總數中，會報告成功和失敗的緩解措施。

  • 成功：已完成對可補救電子郵件的預期動作。 例如：系統管理員想要從信箱中移除電子郵件，因此系統管理員會採取軟刪除電子郵件的動作。 如果在採取動作後在原始資料夾中找不到可補救的電子郵件，則狀態會顯示為成功。

  • 失敗：對可補救電子郵件的所需動作失敗。 例如：系統管理員想要從信箱中移除電子郵件，因此系統管理員會採取軟刪除電子郵件的動作。 如果在採取動作後，信箱中仍找到可補救的電子郵件，則狀態會顯示為失敗。

  • 已在目的地：已對電子郵件採取所需的動作，或電子郵件已存在於目的地位置。 例如：系統管理員在第一天透過總管虛刪除了一封電子郵件。 然後類似的電子郵件在第 2 天出現，管理員再次軟刪除這些電子郵件。在選擇這些電子郵件時，管理員最終會從第一天開始選擇一些已經軟刪除的電子郵件。 現在這些訊息沒有被採取行動。 相反地，它們會顯示為 [已在目的地] 中，因為未對它們採取任何動作，因為它們存在於目的地位置。

  • 新增：已在 目的地中 欄 已新增在動作記錄檔中。 此功能會使用總管中的最新傳遞位置來發出郵件是否已補救的訊號。 已在目的地中可 協助安全小組瞭解仍需要處理的訊息總數。

只能對總管的收件匣、垃圾郵件、已刪除和虛刪除資料夾中的郵件採取動作。 以下是新資料行運作方式的範例。 虛刪除動作會針對收件匣中的郵件進行，然後根據原則處理郵件。 下次執行虛刪除時，此訊息會顯示在 [已在目的地] 資料行下方，表示不需要再次處理。

選取動作記錄中的任何項目，以顯示補救詳細資料。 如果詳細數據顯示 [成功] 或 [在信箱中找不到] ，則該專案已從信箱中移除。 有時在補救期間會發生系統錯誤。 在這些情況下，最好重試補救動作。

如果您需要修復大量電子郵件，請匯出透過郵件提交傳送以進行修復的郵件，並匯出透過動作記錄檔修復的郵件。 匯出限制已增加至 100,000 筆記錄。

系統管理員可以採取補救動作，例如將電子郵件訊息移至 [垃圾郵件]、[收件匣] 或 [刪除的郵件] 資料夾，以及從 [進階搜捕] 頁面刪除虛刪除或硬刪除等動作。

補救措施可減輕威脅、解決可疑電子郵件，並協助確保組織安全。