Устранение вредоносных писем, доставленных в Office 365

Исправление означает принятие предписанных действий против угрозы. Вредоносные сообщения электронной почты, отправленные в организацию, могут быть очищены системой, с помощью автоматической очистки нулевого часа (ZAP) или группами безопасности с помощью действий по исправлению, таких как перемещение в папку "Входящие", перемещение в нежелательную папку, перемещение к удаленным элементам, обратимое удаление или жесткое удаление. Microsoft Defender для Office 365 план 2/E5 позволяет группам безопасности устранять угрозы в функциях электронной почты и совместной работы с помощью ручного и автоматического исследования.

Что нужно знать перед началом работы

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Администраторы могут выполнять необходимые действия с сообщениями электронной почты, но для утверждения этих действий требуется роль поиска и очистки . Чтобы назначить роль "Поиск и очистка ", можно выбрать следующие варианты:

  • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Затрагивает только портал Defender, а не PowerShell: операции безопасности, данные безопасности или Email & расширенные действия совместной работы (управление).
  • Email & разрешения на совместную работу на портале Microsoft Defender: членство в группах ролей "Управление организацией" или "Следователь данных". Кроме того, можно создать новую группу ролей с назначенной ролью "Поиск и очистка " и добавить пользователей в настраиваемую группу ролей.

• Убедитесь, что автоматическое исследование включено в .https://security.microsoft.com/securitysettings/endpoints/integration

Ручное и автоматическое исправление

Поиск вручную происходит, когда группы безопасности вручную определяют угрозы с помощью возможностей поиска и фильтрации в Обозреватель. Исправление электронной почты вручную можно активировать с помощью любого представления электронной почты (вредоносные программы, фишинг или все сообщения электронной почты) после того, как вы определите набор сообщений электронной почты, которые необходимо исправить.

Группы безопасности могут использовать Обозреватель для выбора сообщений электронной почты несколькими способами:

• Выбор сообщений электронной почты вручную. Используйте фильтры в различных представлениях. Выберите до 100 сообщений электронной почты для исправления.

• Выбор запроса. Выберите весь запрос с помощью верхней кнопки выбрать все . Тот же запрос также отображается в сведениях об отправке почты в центре уведомлений. Клиенты могут отправить не более 200 000 сообщений электронной почты из обозревателя угроз.

• Выбор запроса с исключением. Иногда группам по операциям безопасности может потребоваться исправить сообщения электронной почты, выбрав весь запрос и исключив определенные сообщения из запроса вручную. Для этого администратор может использовать поле Выбрать все проверка и прокрутите вниз, чтобы исключить сообщения электронной почты вручную. Запрос может содержать не более 200 000 сообщений электронной почты.

После выбора сообщений электронной почты с помощью Обозреватель можно приступить к исправлению, выполнив прямое действие или вставив в очередь сообщения электронной почты для действия:

• Прямое утверждение. Если сотрудники службы безопасности с соответствующими разрешениями выбирают такие действия, как перемещение в папку "Входящие", "Нежелательные", "Перемещение в папку "Входящие", " Нежелательные", "Перемещение к удаленным элементам", " Обратимое удаление" или "Жесткое удаление ", и выполняются следующие шаги по исправлению, процесс исправления начинается для выполнения выбранного действия.

  Примечание.

  По мере запуска исправления он создает оповещение и параллельное исследование. Оповещение отображается в очереди оповещений с именем "Административное действие, отправленное администратором", что указывает на то, что сотрудники службы безопасности предприняли действия по исправлению сущности. В нем представлены такие сведения, как имя человека, выполнившего действие, ссылка на вспомогательное исследование, время и т. д. Это работает очень хорошо, чтобы знать каждый раз, когда жесткие действия, такие как исправление, выполняются на сущностях. Все эти действия можно отслеживать на вкладке "Действия & отправки>" ->"Журнал" (общедоступная предварительная версия).

• Двухфакторное утверждение. Действие "добавить в исправление" может быть выполнено администраторами, которые не имеют соответствующих разрешений или которым нужно дождаться выполнения действия. В этом случае целевые сообщения электронной почты добавляются в контейнер исправления. До выполнения исправления требуется утверждение.

Автоматическое исследование и реагирование активируются оповещениями или командами по операциям безопасности из Обозреватель. К ним могут относиться рекомендуемые действия по исправлению, которые должны быть утверждены группой по операциям безопасности. Эти действия включаются на вкладку Действие в автоматизированном исследовании.

Все исправления (прямые утверждения), созданные в Обозреватель, расширенной охоте или с помощью автоматического исследования, отображаются в центре уведомлений на вкладке "Действия & отправки>>" (https://security.microsoft.com/action-center/history).

Действия, ожидающие утверждения вручную с помощью двухфакторного процесса утверждения (1. Добавьте к исправлению одним участником группы операций безопасности 2. Просмотренные и утвержденные другим участником группы операций по обеспечению безопасности) отображаются на вкладке Действия & отправкив>ожидании> (https://security.microsoft.com/action-center/pending). После утверждения они отображаются на вкладке "Действия & отправки>""Журналцентра> уведомлений" (https://security.microsoft.com/action-center/history).

Единый центр уведомлений отображает действия по исправлению за последние 30 дней. Действия, выполняемые с помощью Обозреватель, перечислены по имени, которое группа по операциям безопасности предоставила при создании исправления, а также по идентификатору утверждения, идентификатору исследования. Действия, выполняемые с помощью автоматизированных расследований, начинаются с соответствующего оповещения, которое активировало расследование, например в кластере электронной почты Zap.

Откройте любой элемент исправления, чтобы просмотреть сведения о нем, включая его имя исправления, идентификатор утверждения, идентификатор исследования, дату создания, описание, состояние, источник действия, тип действия, определяемый, состояние. Кроме того, откроется боковая панель со сведениями о действиях, сведениями о кластере электронной почты, оповещением и сведениями об инциденте.

• Откройте страницу "Исследование ", откроется административное исследование, содержащее меньше сведений и вкладок. Здесь отображаются такие сведения, как связанное оповещение, сущность, выбранная для исправления, предпринятая мера, состояние исправления, количество сущностей, журналы, утверждающее действие. Это исследование отслеживает расследование, выполняемое администратором вручную, и содержит сведения о выборах, сделанных администратором, поэтому называется исследованием действий администратора. Не нужно действовать в ходе расследования и оповещать его уже в утвержденном состоянии.

• Email счетчик Отображает количество сообщений электронной почты, отправленных через Обозреватель угроз. Эти сообщения электронной почты могут быть практическими или недопустимыми.

• Журналы действий Отображение сведений о состояниях исправления, таких как успешно, сбой и уже в назначении.

  

  • Действия: Email в следующих расположениях облачных почтовых ящиков можно использовать и перемещать:

    • Inbox;
    • Нежелательное^*
    • папка "Удаленные"^*
    • Элементы с возможностью восстановления\Папка удаления (обратимо удаленные элементы)^*
    • Карантин

    ^* Недоступно для элементов, помещенных в карантин.

  • Не допускается действие: Email в следующих расположениях не могут выполняться или перемещаться в действиях по исправлению:

    • Жестко удаленная папка
    • Локальная или внешняя среда
    • Сбой или удаление
    • Unknown

  • Поддерживаемые типы действий перемещения и удаления:

    • Переместить в папку нежелательной почты. Перемещает сообщения в папку нежелательной Email пользователя.

    • Переместить в папку "Входящие". Перемещает сообщения в папку "Входящие" для пользователей.

    • Перемещение к удаленным элементам. Перемещает сообщения в папку "Удаленные" пользователя.

    • Обратимое удаление. Удалите сообщение из папки "Удаленные" (перейдите в папку "Элементы с возможностью восстановления\удаления"). Сообщение может быть восстановлено пользователем и администраторами.

      Удалить копию отправителя. Кроме того, попробуйте обратимо удалить сообщение из папки Отправленные, если отправитель является организацией.

    • Жесткое удаление: очистка удаленного сообщения. Администраторы могут восстанавливать жестко удаленные элементы с помощью восстановления с одним элементом. Дополнительные сведения о жестко удаленных и обратимо удаленных элементах см. в разделе Обратимо удаленные и жестко удаленные элементы.

  Подозрительные сообщения классифицируются как исправленные или невосприимчивые. В большинстве случаев исправление и невосприимываемые сообщения объединены в сумме, равно общему объему отправленных сообщений. Но в редких случаях это может быть не так. Это может произойти из-за системных задержек, времени ожидания или сообщений с истекшим сроком действия. Срок действия сообщений зависит от срока хранения Обозреватель для вашей организации.

  Если вы не исправите старые сообщения после Обозреватель периода хранения в вашей организации, рекомендуется повторить исправление элементов, если вы видите количество несоответствий. В случае системных задержек обновления исправления обычно обновляются в течение нескольких часов.

  Если в вашей организации срок хранения электронной почты в Обозреватель составляет 30 дней, а вы исправляете электронные письма с 29 по 30 дней, количество отправки почты может не всегда сложиться. Возможно, сообщения электронной почты уже начали переходить за пределы срока хранения.

  Если исправления некоторое время зависают в состоянии "Выполняется", это, скорее всего, связано с задержками системы. На исправление может потребоваться до нескольких часов. Вы можете увидеть изменения в количестве отправленных сообщений, так как некоторые сообщения электронной почты не были включены в запрос в начале исправления из-за задержек в системе. В таких случаях рекомендуется повторить исправление.

  Примечание.

  Для достижения наилучших результатов исправление должно выполняться пакетами из 50 000 или менее.

  Во время исправления обрабатываются только сообщения электронной почты с возможностью исправления. Нересредируемые сообщения электронной почты не могут быть исправлены системой электронной почты Office 365, так как они не хранятся в облачных почтовых ящиках.

  При необходимости администраторы могут выполнять действия с письмами в карантине, но срок действия этих сообщений истекает из карантина, если они не очищены вручную. По умолчанию сообщения электронной почты, помещенные в карантин из-за вредоносного содержимого, недоступны пользователям, поэтому сотрудникам службы безопасности не нужно предпринимать никаких действий, чтобы избавиться от угроз в карантине. Если сообщения электронной почты являются локальными или внешними, с пользователем можно связаться, чтобы связаться с подозрительным письмом. Кроме того, администраторы могут использовать отдельный сервер электронной почты или средства безопасности для удаления. Эти сообщения электронной почты можно определить, применив расположение доставки = локальный внешний фильтр в Обозреватель. Если сообщение электронной почты завершилось ошибкой, удалено или недоступно для пользователей, не будет сообщений электронной почты, которые нужно устранить, так как эти сообщения не доходят до почтового ящика.

• Журналы действий. Здесь отображаются сообщения, исправленные, успешно, сбои, уже в назначении.

  Состояние может быть следующим:

  • Запущено: активируется исправление.
    • В очереди. Исправление ставится в очередь для устранения неполадок электронной почты.
    • Выполняется: выполняется устранение рисков.
    • Завершено: устранение неполадок для всех сообщений электронной почты, которые можно исправить, успешно завершены или с некоторыми сбоями.
    • Сбой: исправление не выполнено.

  Так как можно действовать только с сообщениями электронной почты с возможностью исправления, очистка каждого сообщения отображается как успешная или сбойная. Из общего числа исправлений сообщений электронной почты сообщается об успешных и неудачных мерах по устранению рисков.

  • Успешно. Выполнено требуемое действие по исправлению сообщений электронной почты. Например: администратор хочет удалить сообщения из почтовых ящиков, поэтому администратор принимает меры обратимого удаления сообщений. Если после выполнения действия сообщение электронной почты с возможностью исправления не найдено в исходной папке, состояние будет отображаться как успешное.

  • Сбой: не удалось выполнить требуемое действие для сообщений электронной почты, которые можно исправить. Например: администратор хочет удалить сообщения из почтовых ящиков, поэтому администратор принимает меры обратимого удаления сообщений. Если после выполнения действия в почтовом ящике по-прежнему найдено исправленное сообщение, состояние будет отображаться как сбой.

  • Уже в месте назначения: нужное действие уже было выполнено в адресе электронной почты или сообщение электронной почты уже существует в целевом расположении. Например: сообщение электронной почты было обратимо удалено администратором через Обозреватель в первый день. Затем аналогичные сообщения электронной почты отображаются на 2-й день, которые снова обратимо удаляются администратором. При выборе этих сообщений электронной почты администратор в конечном итоге забирает некоторые сообщения электронной почты с первого дня, которые уже обратимо удалены. Теперь эти сообщения электронной почты не будут выполняться снова, они просто будут отображаться как "уже в месте назначения", так как никаких действий с ними не было предпринят, так как они существовали в расположении назначения.

  • Новое. В журнал действий добавлен столбец Уже в назначении . Эта функция использует последнее расположение доставки в Обозреватель угроз, чтобы сообщить, что почта уже исправлена. Уже в месте назначения помогает группам безопасности понять общее количество сообщений, которые по-прежнему необходимо адресовать.

Действия можно выполнять только с сообщениями в папках "Входящие", "Нежелательная почта", "Удаленные" и "Обратимо удаленные" Обозреватель. Ниже приведен пример работы нового столбца. Действие обратимого удаления выполняется для сообщения, присутствующих в папке "Входящие", а затем сообщение обрабатывается в соответствии с политиками. При следующем выполнении обратимого удаления это сообщение будет отображаться под столбцом "Уже в назначении", сигналив о том, что его не нужно обращаться повторно.

Выберите любой элемент в журнале действий, чтобы отобразить сведения об исправлении. Если в сведениях указано "успешно" или "не найдено в почтовом ящике", этот элемент уже был удален из почтового ящика. Иногда во время исправления возникает системная ошибка. В таких случаях рекомендуется повторить действие по исправлению.

В случае исправления больших пакетов сообщений электронной почты экспортируйте сообщения, отправленные для исправления с помощью отправки почты, и сообщения, исправленные с помощью журналов действий. Ограничение на экспорт увеличено до 100 000 записей.

Администраторы могут выполнять действия по исправлению, например перемещать сообщения электронной почты в папку "Нежелательная почта", папку "Входящие" или "Удаленные", а также удалять такие действия, как обратимое или жесткое удаление со страниц "Расширенная охота".

Исправление устраняет угрозы, отправляет подозрительные сообщения электронной почты и помогает обеспечить безопасность организации.