Korrigieren bösartiger E-Mails, die in Office 365 zugestellt wurden

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Abhilfe bedeutet, eine vorgeschriebene Maßnahme gegen eine Bedrohung zu ergreifen. Schädliche E-Mails, die an Ihre organization gesendet werden, können entweder durch das System, durch automatische Null-Stunden-Bereinigung (Zap) oder durch Sicherheitsteams durch Korrekturaktionen wie In den Posteingang verschieben, in Junk-E-Mail verschieben, zu gelöschten Elementen verschieben, vorläufiges Löschen oder endgültiges Löschen bereinigt werden. Microsoft Defender for Office 365 Plan 2/E5 ermöglicht es Sicherheitsteams, Bedrohungen in E-Mail- und Zusammenarbeitsfunktionen durch manuelle und automatisierte Untersuchungen zu beheben.

Was Sie wissen müssen, bevor Sie beginnen

Manuelle und automatisierte Korrektur

Die manuelle Suche erfolgt, wenn Sicherheitsteams Bedrohungen mithilfe der Such- und Filterfunktionen in Explorer manuell identifizieren. Die manuelle E-Mail-Korrektur kann über jede E-Mail-Ansicht (Malware, Phish oder Alle E-Mails) ausgelöst werden, nachdem Sie eine Reihe von E-Mails identifiziert haben, die korrigiert werden müssen.

Screenshot der manuellen Suche in Office 365 Explorer nach Datum.

Sicherheitsteams können Explorer verwenden, um E-Mails auf verschiedene Arten auszuwählen:

  • E-Mails manuell auswählen: Verwenden Sie Filter in verschiedenen Ansichten. Wählen Sie bis zu 100 zu korrigierende E-Mails aus.

  • Abfrageauswahl: Wählen Sie eine gesamte Abfrage aus, indem Sie die obere Schaltfläche alle auswählen verwenden. Dieselbe Abfrage wird auch in Details zur E-Mail-Übermittlung im Info-Center angezeigt. Kunden können maximal 200.000 E-Mails vom Bedrohungs-Explorer übermitteln.

  • Abfrageauswahl mit Ausschluss: Manchmal möchten Sicherheitsteams E-Mails korrigieren, indem sie eine gesamte Abfrage auswählen und bestimmte E-Mails manuell aus der Abfrage ausschließen. Dazu kann ein Administrator das Kontrollkästchen Alle auswählen verwenden und nach unten scrollen, um E-Mails manuell auszuschließen. Die Abfrage kann maximal 200.000 E-Mails enthalten.

Nachdem E-Mails über Explorer ausgewählt wurden, können Sie mit der Korrektur beginnen, indem Sie direkte Maßnahmen ergreifen oder E-Mails für eine Aktion in die Warteschlange stellen:

  • Direkte Genehmigung: Wenn Aktionen wie In den Posteingang verschieben, in Junk-E-Mail verschieben, zu gelöschten Elementen verschieben, vorläufiges Löschen oder endgültiges Löschen von Sicherheitsmitarbeitern ausgewählt werden, die über entsprechende Berechtigungen verfügen, und die nächsten Schritte in der Korrektur ausgeführt werden, beginnt der Korrekturprozess mit der Ausführung der ausgewählten Aktion.

    Hinweis

    Wenn die Korrektur gestartet wird, wird parallel eine Warnung und eine Untersuchung generiert. Die Warnung wird in der Warnungswarteschlange mit dem Namen "Administrative Aktion von einem Administrator übermittelt" angezeigt, was darauf hindeutet, dass Sicherheitspersonal die Aktion zur Behebung einer Entität durchgeführt hat. Sie enthält Details wie den Namen der Person, die die Aktion ausgeführt hat, den Unterstützenden Untersuchungslink, die Zeit usw. Es funktioniert wirklich gut, jedes Mal zu wissen, wenn eine harte Aktion wie Die Korrektur für Entitäten ausgeführt wird. Alle diese Aktionen können auf der Registerkarte Aktionen & ÜbermittlungenInfo-Center ->Verlauf (öffentliche Vorschau) nachverfolgt > werden.

  • Genehmigung in zwei Schritten: Eine Aktion "Zur Korrektur hinzufügen" kann von Administratoren ausgeführt werden, die nicht über die entsprechenden Berechtigungen verfügen oder warten müssen, um die Aktion auszuführen. In diesem Fall werden die Ziel-E-Mails einem Wartungscontainer hinzugefügt. Die Genehmigung ist erforderlich, bevor die Korrektur ausgeführt wird.

Automatisierte Untersuchungs- und Reaktionsaktionen werden durch Warnungen oder sicherheitsrelevante Betriebsteams aus Explorer ausgelöst. Dazu können empfohlene Korrekturaktionen gehören, die von einem Sicherheitsteam genehmigt werden müssen. Diese Aktionen sind auf der Registerkarte Aktion in der automatisierten Untersuchung enthalten.

Email mit Schadsoftware auf der Zapped-Seite, die den Zeitpunkt der ZAP-Ausführung anzeigt.

Alle Korrekturmaßnahmen (direkte Genehmigungen), die in Explorer, erweiterter Suche oder über automatisierte Untersuchung erstellt wurden, werden im Info-Center auf der Registerkarte Aktionen & Übermittlungen>Info-Center-Verlauf> (https://security.microsoft.com/action-center/history) angezeigt.

Manuelle Aktionen mit ausstehender Genehmigung mithilfe des zweistufigen Genehmigungsprozesses (1. Fügen Sie zur Korrektur durch ein Mitglied des Sicherheitsvorgangsteams hinzu, 2. Überprüft und genehmigt von einem anderen Mitglied des Sicherheitsvorgangsteams) sind auf der Registerkarte Aktionen & Übermittlungen>Info-Center>ausstehend (https://security.microsoft.com/action-center/pending) sichtbar. Nach der Genehmigung werden sie auf der Registerkarte Aktionen & Übermittlungen>Info-Center-Verlauf> (https://security.microsoft.com/action-center/history) angezeigt.

Im einheitlichen Info-Center werden 30 Tage Wartungsaktionen angezeigt.

Unified Action Center zeigt Wartungsaktionen für die letzten 30 Tage an. Aktionen, die über Explorer ausgeführt werden, werden nach dem Namen aufgeführt, den das Sicherheitsbetriebsteam beim Erstellen der Korrektur angegeben hat, sowie nach Genehmigungs-ID, Untersuchungs-ID. Aktionen, die über automatisierte Untersuchungen durchgeführt werden, haben Titel, die mit der zugehörigen Warnung beginnen, die die Untersuchung ausgelöst hat, z. B. Zap-E-Mail-Cluster.

Öffnen Sie ein beliebiges Wartungselement, um Details dazu anzuzeigen, einschließlich wartungsname, genehmigungs-ID, Untersuchungs-ID, Erstellungsdatum, Beschreibung, status, Aktionsquelle, Aktionstyp, festgelegt von, status. Außerdem wird ein Seitenbereich mit Aktionsdetails, E-Mail-Clusterdetails, Warnungs- und Incidentdetails geöffnet.

  • Öffnen Sie die Seite Untersuchung . Dadurch wird eine Administratoruntersuchung geöffnet, die weniger Details und Registerkarten enthält. Es zeigt Details wie: zugehörige Warnung, entitätsauswahl für die Wartung, durchgeführte Aktion, Status, Entitätsanzahl, Protokolle, genehmigende Person der Aktion. Diese Untersuchung verfolgt die vom Administrator manuell durchgeführte Untersuchung nach und enthält Details zu den vom Administrator getroffenen Auswahlen. Daher wird die Untersuchung von Administratoraktionen bezeichnet. Es ist nicht erforderlich, auf die Untersuchung zu reagieren und ihre bereits im genehmigten Zustand zu warnen.

  • anzahl Email Zeigt die Anzahl der E-Mails an, die über threat Explorer gesendet wurden. Diese E-Mails können umsetzbar oder nicht umsetzbar sein.

  • Aktionsprotokolle Zeigen Sie die Details der Wartungsstatus wie erfolgreich, fehlgeschlagen und bereits im Ziel an.

    Das Info-Center mit geöffneter Option

    • Umsetzbar: Email in den folgenden Cloudpostfachspeicherorten können bearbeitet und verschoben werden:

      • Posteingang
      • Junk-E-Mail*
      • Ordner "Gelöschte Elemente"*
      • Ordner "Wiederherstellbare Elemente\Deletes" (vorläufig gelöschte Elemente)*
      • Quarantäne

      * Für unter Quarantäne gestellte Elemente nicht verfügbar.

    • Nicht umsetzbar: Email an den folgenden Speicherorten können in Wartungsaktionen nicht ausgeführt oder verschoben werden:

      • Endgültig gelöschter Ordner
      • Lokal/extern
      • Fehler/Gelöscht
      • Unbekannt
    • Unterstützte Arten von Verschiebungs- und Löschaktionen:

      • In Junk-Ordner verschieben: Verschiebt Nachrichten in den Junk-Email Ordner des Benutzers.

      • In den Posteingang verschieben: Verschiebt Nachrichten in den Posteingangsordner des Benutzers.

      • In gelöschte Elemente verschieben: Verschiebt Nachrichten in den Ordner "Gelöschte Elemente" des Benutzers.

      • Vorläufiges Löschen: Löschen Sie die Nachricht aus dem Ordner Gelöschte Elemente (verschieben Sie in den Ordner Wiederherstellbare Elemente\Deletes). Die Nachricht kann vom Benutzer und den Administratoren wiederhergestellt werden.

        Kopie des Absenders löschen: Versuchen Sie auch, die Nachricht aus dem Ordner "Gesendete Elemente" des Absenders vorläufig zu löschen, wenn der Absender der organization ist.

      • Endgültiges Löschen: Löschen Sie die gelöschte Nachricht. Administratoren können hart gelöschte Elemente mithilfe der Wiederherstellung eines einzelnen Elements wiederherstellen. Weitere Informationen zu endgültig gelöschten und vorläufig gelöschten Elementen finden Sie unter Vorläufig gelöschte und endgültig gelöschte Elemente.

    Verdächtige Nachrichten werden entweder als bereinigungsfähig oder nicht übertragbar kategorisiert. In den meisten Fällen werden bereinigungsfähige und nicht übertragbare Nachrichten kombiniert, was der Gesamtanzahl der gesendeten Nachrichten entspricht. In seltenen Fällen ist dies jedoch möglicherweise nicht der Fall. Dies kann aufgrund von Systemverzögerungen, Timeouts oder abgelaufenen Nachrichten auftreten. Nachrichten laufen basierend auf dem Explorer Aufbewahrungszeitraum für Ihre organization ab.

    Es sei denn, Sie korrigieren alte Nachrichten nach dem Explorer Aufbewahrungszeitraum Ihrer organization, ist es ratsam, die Korrektur von Elementen erneut zu versuchen, wenn Nummerninkonsistenzen angezeigt werden. Bei Systemverzögerungen werden Wartungsupdates in der Regel innerhalb weniger Stunden aktualisiert.

    Wenn der Aufbewahrungszeitraum Ihrer organization für E-Mails in Explorer 30 Tage beträgt und Sie E-Mails 29 bis 30 Tage zurück korrigieren, wird die Anzahl der E-Mail-Übermittlungen möglicherweise nicht immer addiert. Die E-Mails haben möglicherweise bereits damit begonnen, den Aufbewahrungszeitraum zu überschritten.

    Wenn Korrekturen eine Weile im Zustand "In Bearbeitung" hängen bleiben, ist dies wahrscheinlich auf Systemverzögerungen zurückzuführen. Die Korrektur kann bis zu einigen Stunden dauern. Möglicherweise werden Abweichungen bei der Anzahl der E-Mail-Übermittlungen angezeigt, da einige der E-Mails aufgrund von Systemverzögerungen zu Beginn der Wartung möglicherweise nicht in die Abfrage eingeschlossen wurden. In solchen Fällen empfiehlt es sich, die Wiederherstellung erneut zu versuchen.

    Hinweis

    Um optimale Ergebnisse zu erzielen, sollten die Korrekturen in Batches von maximal 50.000 erfolgen.

    Während der Wartung werden nur bereinigungsfähige E-Mails bearbeitet. Nicht übertragbare E-Mails können vom Office 365 E-Mail-System nicht behoben werden, da sie nicht in Cloudpostfächern gespeichert werden.

    Administratoren können bei Bedarf Aktionen für E-Mails in Quarantäne ausführen, aber diese E-Mails laufen aus der Quarantäne, wenn sie nicht manuell gelöscht werden. Standardmäßig sind E-Mails, die aufgrund schädlicher Inhalte unter Quarantäne stehen, für Benutzer nicht zugänglich, sodass Sicherheitspersonal keine Maßnahmen ergreifen muss, um Bedrohungen in Quarantäne zu beseitigen. Wenn die E-Mails lokal oder extern sind, kann der Benutzer kontaktiert werden, um die verdächtige E-Mail zu adressieren. Alternativ können die Administratoren separate E-Mail-Server-/Sicherheitstools zum Entfernen verwenden. Diese E-Mails können identifiziert werden, indem sie den externen Filter "Übermittlungsort = lokal" in Explorer anwenden. Bei fehlerhaften oder verworfenen E-Mails oder E-Mails, auf die Benutzer nicht zugreifen können, gibt es keine E-Mails, die abgeschwächt werden müssen, da diese E-Mails das Postfach nicht erreichen.

  • Aktionsprotokolle: Hier werden die Nachrichten angezeigt, die wiederhergestellt wurden, erfolgreich, fehlgeschlagen, bereits im Ziel.

    Der Status kann wie folgt sein:

    • Gestartet: Die Wartung wird ausgelöst.
      • In die Warteschlange eingereiht: Die Korrektur wird zur Entschärfung von E-Mails in die Warteschlange eingereiht.
      • In Bearbeitung: Die Entschärfung wird ausgeführt.
      • Abgeschlossen: Entschärfung für alle bereinigungsfähigen E-Mails wurde entweder erfolgreich abgeschlossen oder mit einigen Fehlern.
      • Fehler: Es waren keine Korrekturen erfolgreich.

    Da nur bereinigungsfähige E-Mails bearbeitet werden können, wird die Bereinigung jeder E-Mail als erfolgreich oder fehlgeschlagen angezeigt. Aus den gesamten bereinigungsfähigen E-Mails werden erfolgreiche und fehlgeschlagene Entschärfungen gemeldet.

    • Erfolg: Die gewünschte Aktion für bereinigungsfähige E-Mails wurde erreicht. Beispiel: Ein Administrator möchte E-Mails aus Postfächern entfernen, sodass der Administrator E-Mails vorläufig löscht. Wenn nach dem Ausführen der Aktion keine bereinigungsfähige E-Mail im ursprünglichen Ordner gefunden wird, wird die status als erfolgreich angezeigt.

    • Fehler: Die gewünschte Aktion für bereinigungsfähige E-Mails ist fehlgeschlagen. Beispiel: Ein Administrator möchte E-Mails aus Postfächern entfernen, sodass der Administrator E-Mails vorläufig löscht. Wenn nach dem Ausführen der Aktion noch eine bereinigungsfähige E-Mail im Postfach gefunden wird, wird status als fehlerhaft angezeigt.

    • Bereits im Ziel: Die gewünschte Aktion wurde bereits für die E-Mail ausgeführt, ODER die E-Mail war bereits am Zielspeicherort vorhanden. Beispiel: Eine E-Mail wurde vom Administrator am ersten Tag über Explorer vorläufig gelöscht. Dann werden ähnliche E-Mails an Tag 2 angezeigt, die vom Administrator wieder vorläufig gelöscht werden. Beim Auswählen dieser E-Mails wählt der Administrator am Ende einige E-Mails vom ersten Tag aus, die bereits vorläufig gelöscht wurden. Jetzt werden diese E-Mails nicht mehr bearbeitet, sie werden nur als "bereits im Ziel" angezeigt, da keine Aktion für sie ausgeführt wurde, da sie am Zielort vorhanden waren.

    • Neu: Die Spalte Bereits im Ziel wurde im Aktionsprotokoll hinzugefügt. Dieses Feature verwendet den neuesten Zustellungsort in Threat Explorer, um zu signalisieren, ob die E-Mail bereits bereinigt wurde. Bereits am Ziel können Sicherheitsteams die Gesamtanzahl der Nachrichten verstehen, die noch adressiert werden müssen.

Aktionen können nur für Nachrichten in Den Ordnern "Posteingang", "Junk", "Gelöscht" und "Vorläufig gelöscht" von "Threat Explorer" ausgeführt werden. Hier sehen Sie ein Beispiel für die Funktionsweise der neuen Spalte. Eine Aktion zum vorläufigen Löschen erfolgt für die Nachricht, die im Posteingang vorhanden ist, und die Nachricht wird dann gemäß den Richtlinien behandelt. Wenn das nächste Mal ein vorläufiges Löschen ausgeführt wird, wird diese Meldung unter der Spalte "Bereits im Ziel" angezeigt, und es wird signalisiert, dass sie nicht erneut adressiert werden muss.

Wählen Sie ein beliebiges Element im Aktionsprotokoll aus, um Wartungsdetails anzuzeigen. Wenn die Details "erfolgreich" oder "Im Postfach nicht gefunden" sagen, wurde dieses Element bereits aus dem Postfach entfernt. Manchmal tritt während der Korrektur ein Systemfehler auf. In diesen Fällen empfiehlt es sich, die Korrekturaktion erneut zu versuchen.

Wenn große E-Mail-Batches wiederhergestellt werden, exportieren Sie die Nachrichten, die über die E-Mail-Übermittlung zur Korrektur gesendet werden, und Nachrichten, die über Aktionsprotokolle wiederhergestellt wurden. Der Exportgrenzwert wird auf 100.000 Datensätze erhöht.

Administratoren können Korrekturaktionen durchführen, z. B. das Verschieben von E-Mail-Nachrichten in den Ordner Junk, Posteingang oder Gelöschte Elemente sowie Löschaktionen wie vorläufiges Löschen oder endgültiges Löschen von Seiten der erweiterten Suche.

Der Bereich Erweiterte Suche, Aktionen ausführen mit Ihren Aktionen Ihrer Wahl.

Die Problembehebung entschärft Bedrohungen, adressiert verdächtige E-Mails und trägt dazu bei, eine organization zu schützen.