Korrigieren bösartiger E-Mails, die in Office 365 zugestellt wurden

Abhilfe bedeutet, eine vorgeschriebene Maßnahme gegen eine Bedrohung zu ergreifen. Böswillige E-Mails, die an Ihre organization gesendet werden, können vom System, durch automatische Null-Stunden-Bereinigung (Zap) oder durch Sicherheitsteams durch Korrekturaktionen wie in den Posteingang, Verschieben in Junk-E-Mails, Verschieben in gelöschte Elemente, vorläufiges Löschen oder endgültiges Löschen bereinigt werden. Microsoft Defender for Office 365 Plan 2/E5 ermöglicht es Sicherheitsteams, Bedrohungen in E-Mail- und Zusammenarbeitsfunktionen durch manuelle und automatisierte Untersuchungen zu beheben.

Was Sie wissen müssen, bevor Sie beginnen

• Es gibt Drosselungsgrenzwerte für umfangreiche Korrekturen, die die Stabilität und Leistung des Diensts sicherstellen:

  • Organisationsgrenzwerte: Die maximale Anzahl aktiver, gleichzeitiger E-Mail-Korrekturen beträgt 50. Sobald der Grenzwert erreicht ist, werden keine neuen Korrekturen ausgelöst, bis einige Aktionen abgeschlossen sind.
  • Email Nachrichtengrenzwerte: Wenn eine aktive Korrektur mehr als eine Million E-Mail-Nachrichten umfasst, sind keine neuen E-Mail-Korrekturen zulässig.
  • Empfängeranforderungen in Korrekturen:
    • Der Gesamtprozentsatz der ausgewählten Empfänger muss mindestens 40 % der Gesamtzahl der E-Mail-Nachrichten in der Wartung betragen. Wenn instance eine E-Mail an fünf Empfänger gesendet wird, zählt Explorer (Threat Explorer) sie als fünf E-Mail-Nachrichten. Wenn die Korrektur das Löschen von 5.000 E-Mail-Nachrichten erfordert, muss die Korrektur auf mindestens 2.000 Empfänger abzielen.
    • Wenn die Empfängeranzahl weniger als 40 % der Gesamtzahl der E-Mail-Nachrichten beträgt, kann die Korrektur nicht verwendet werden, um mehr als 1.000 Nachrichten zu löschen, die an einen einzelnen Empfänger gesendet wurden.

• Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Administratoren können die erforderliche Aktion für E-Mail-Nachrichten ausführen, aber die Rolle Suchen und Bereinigen ist erforderlich, um diese Aktionen genehmigen zu lassen. Um die Rolle Suchen und Löschen zuzuweisen, haben Sie die folgenden Optionen:

  • Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell): Sicherheitsvorgänge/Sicherheitsdaten/Email & erweiterte Aktionen für die Zusammenarbeit (Verwalten).
  • Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Datenermittler. Alternativ können Sie eine neue Rollengruppe mit zugewiesener Rolle Suchen und Löschen erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.

• Vergewissern Sie sich , dass die automatisierte Untersuchung unter https://security.microsoft.com/securitysettings/endpoints/integrationaktiviert ist.

Manuelle und automatisierte Korrektur

Die manuelle Suche erfolgt, wenn Sicherheitsteams Bedrohungen mithilfe der Such- und Filterfunktionen in Explorer (Threat Explorer) manuell identifizieren. Die manuelle E-Mail-Korrektur kann über jede E-Mail-Ansicht (Malware, Phish oder Alle E-Mails) ausgelöst werden, nachdem Sie eine Reihe von E-Mails identifiziert haben, die korrigiert werden müssen.

Sicherheitsteams können Explorer verwenden, um E-Mails auf verschiedene Arten auszuwählen:

• E-Mails manuell auswählen: Verwenden Sie Filter in verschiedenen Ansichten. Wählen Sie bis zu 100 zu korrigierende E-Mails aus.

• Abfrageauswahl: Wählen Sie eine gesamte Abfrage aus, indem Sie die obere Schaltfläche alle auswählen verwenden. Dieselbe Abfrage wird auch in Details zur E-Mail-Übermittlung im Info-Center angezeigt. Kunden können maximal 200.000 E-Mails von Explorer übermitteln.

• Abfrageauswahl mit Ausschluss: Manchmal möchten Sicherheitsteams E-Mails korrigieren, indem sie eine gesamte Abfrage auswählen und bestimmte E-Mails manuell aus der Abfrage ausschließen. Dazu kann ein Administrator das Kontrollkästchen Alle auswählen verwenden und nach unten scrollen, um E-Mails manuell auszuschließen. Die Abfrage kann maximal 200.000 E-Mails enthalten.

Nachdem E-Mails über Explorer ausgewählt wurden, können Sie mit der Korrektur beginnen, indem Sie direkte Maßnahmen ergreifen oder E-Mails für eine Aktion in die Warteschlange stellen:

• Direkte Genehmigung: Wenn Aktionen wie In den Posteingang verschieben, in Junk-E-Mail verschieben, zu gelöschten Elementen verschieben, vorläufiges Löschen oder endgültiges Löschen von Sicherheitsmitarbeitern ausgewählt werden, die über entsprechende Berechtigungen verfügen, und die nächsten Schritte in der Korrektur ausgeführt werden, beginnt der Korrekturprozess mit der Ausführung der ausgewählten Aktion.

  Hinweis

  Wenn die Korrektur gestartet wird, wird parallel eine Warnung und eine Untersuchung generiert. Die Warnung wird in der Warnungswarteschlange mit dem Namen "Administrative Aktion von einem Administrator übermittelt" angezeigt, was darauf hindeutet, dass Sicherheitspersonal die Aktion zur Behebung einer Entität durchgeführt hat. Es werden Details wie der Name der Person, die die Aktion ausgeführt hat, der Unterstützende Untersuchungslink, die Uhrzeit usw. angezeigt. Es funktioniert wirklich gut, jedes Mal zu wissen, wenn eine harte Aktion wie Die Korrektur für Entitäten ausgeführt wird. Alle diese Aktionen können auf derRegisterkarteAktionen & Übermittlungsverlaufim Info-Center> (öffentliche Vorschau) nachverfolgt > werden.

• Genehmigung in zwei Schritten: Eine Aktion "Zur Korrektur hinzufügen" kann von Administratoren ausgeführt werden, die nicht über die entsprechenden Berechtigungen verfügen oder warten müssen, um die Aktion auszuführen. In diesem Fall werden die Ziel-E-Mails einem Wartungscontainer hinzugefügt. Die Genehmigung ist erforderlich, bevor die Korrektur ausgeführt wird.

Automatisierte Untersuchungs- und Reaktionsaktionen werden durch Warnungen oder sicherheitsrelevante Betriebsteams aus Explorer ausgelöst. Diese Ergebnisse können empfohlene Korrekturaktionen enthalten, die von einem Sicherheitsteam genehmigt werden müssen. Diese Aktionen sind auf der Registerkarte Aktion in der automatisierten Untersuchung enthalten.

Alle Korrekturmaßnahmen (direkte Genehmigungen), die in Explorer, erweiterter Suche oder über automatisierte Untersuchung erstellt wurden, werden im Info-Center auf der Registerkarte Aktionen & Übermittlungen>Info-Center-Verlauf> (https://security.microsoft.com/action-center/history) angezeigt.

Manuelle Aktionen mit ausstehender Genehmigung mithilfe des zweistufigen Genehmigungsprozesses (die von einem Teammitglied des Sicherheitsvorgangs zur Behebung hinzugefügt und von einem anderen Teammitglied des Sicherheitsvorgangs überprüft und genehmigt wurden) sind auf der Registerkarte Aktionen & Übermittlungs-Info-Center>>ausstehend (https://security.microsoft.com/action-center/pending) sichtbar. Nach der Genehmigung werden sie auf der Registerkarte Aktionen & Übermittlungen>Info-Center-Verlauf> (https://security.microsoft.com/action-center/history) angezeigt.

Unified Action Center zeigt Wartungsaktionen für die letzten 30 Tage an. Aktionen, die über Explorer ausgeführt werden, werden nach dem Namen aufgeführt, den das Sicherheitsbetriebsteam bei der Erstellung der Wartung angegeben hat, sowie nach genehmigungs-ID, Untersuchungs-ID. Aktionen, die über automatisierte Untersuchungen durchgeführt werden, haben Titel, die mit der zugehörigen Warnung beginnen, die die Untersuchung ausgelöst hat, z. B. Zap-E-Mail-Cluster.

Öffnen Sie ein beliebiges Wartungselement, um Details dazu anzuzeigen, einschließlich Wartungsname, Genehmigungs-ID, Untersuchungs-ID, Erstellungsdatum, Beschreibung, status, Aktionsquelle, Aktionstyp, festgelegt von, status. Außerdem wird ein Seitenbereich mit Aktionsdetails, E-Mail-Clusterdetails, Warnungs- und Incidentdetails geöffnet.

• Seite "Untersuchung öffnen": Öffnet eine Administratoruntersuchung, die weniger Details und Registerkarten enthält. Es werden Details angezeigt, z. B. die zugehörige Warnung, die für die Wartung ausgewählte Entität, die ausgeführte Aktion, die status, die Anzahl der Entitäten, Protokolle und genehmigende Person der Aktion. Verfolgt eine manuell vom Administrator durchgeführte Untersuchung nach und enthält Details zu den vom Administrator getroffenen Auswahlen. Es ist nicht erforderlich, auf die Untersuchung und warnung zu reagieren (sie befindet sich bereits im Status Genehmigt).

• Email Anzahl: Zeigt die Anzahl der über Explorer gesendeten E-Mail-Nachrichten an. Diese Nachrichten können handlungsfähig oder nicht umsetzbar sein.

• Aktionsprotokolle: Zeigt die Details der Wiederherstellung status wie erfolgreich, fehlgeschlagen und bereits im Ziel an.

  

  • Umsetzbar: Email in den folgenden Cloudpostfachspeicherorten können bearbeitet und verschoben werden:

    • Posteingang
    • Junk-E-Mail^*
    • Ordner "Gelöschte Elemente"^*
    • Ordner "Wiederherstellbare Elemente\Deletes" (vorläufig gelöschte Elemente)^*
    • Quarantäne

    ^* Für unter Quarantäne gestellte Elemente nicht verfügbar.

  • Nicht umsetzbar: Email an den folgenden Speicherorten können in Wartungsaktionen nicht ausgeführt oder verschoben werden:

    • Endgültig gelöschter Ordner
    • Lokal/extern
    • Fehler/Gelöscht
    • Unbekannt

  • Unterstützte Arten von Verschiebungs- und Löschaktionen:

    • In Junk-Ordner verschieben: Verschiebt Nachrichten in den Junk-Email Ordner des Benutzers.

    • In den Posteingang verschieben: Verschiebt Nachrichten in den Posteingangsordner des Benutzers.

    • In gelöschte Elemente verschieben: Verschiebt Nachrichten in den Ordner "Gelöschte Elemente" des Benutzers.

    • Vorläufiges Löschen: Löschen Sie die Nachricht aus dem Ordner Gelöschte Elemente (verschieben Sie in den Ordner Wiederherstellbare Elemente\Deletes). Die Nachricht kann vom Benutzer und den Administratoren wiederhergestellt werden.

      Kopie des Absenders löschen: Versuchen Sie auch, die Nachricht aus dem Ordner "Gesendete Elemente" des Absenders vorläufig zu löschen, wenn der Absender der organization ist.

    • Endgültiges Löschen: Löschen Sie die gelöschte Nachricht. Administratoren können hart gelöschte Elemente mithilfe der Wiederherstellung eines einzelnen Elements wiederherstellen. Weitere Informationen zu endgültig gelöschten und vorläufig gelöschten Elementen finden Sie unter Vorläufig gelöschte und endgültig gelöschte Elemente.

  Hinweis

  In US-Behördenorganisationen (Microsoft 365 GCC, GCC High und DoD) können Administratoren die Aktionen Vorläufiges Löschen, In Junk-Ordner verschieben, In gelöschte Elemente verschieben, Endgültig löschen und In Posteingang verschieben ausführen. Die Aktionen Kopie des Absenders löschen und In Posteingang aus Quarantäneordner verschieben sind nicht verfügbar.

  Verdächtige Nachrichten werden entweder als bereinigungsfähig oder nicht übertragbar kategorisiert. In den meisten Fällen entspricht die Summe der bearbeitbaren und nicht übertragbaren Nachrichten der Gesamtzahl der übermittelten Nachrichten. Die Summen stimmen jedoch möglicherweise aufgrund von Systemverzögerungen, Timeouts oder abgelaufenen Nachrichten nicht überein. Nachrichten laufen basierend auf dem Explorer Aufbewahrungszeitraum für Ihre organization ab.

  Es sei denn, Sie korrigieren alte Nachrichten nach dem Explorer Aufbewahrungszeitraum Ihrer organization, ist es ratsam, die Korrektur von Elementen erneut zu versuchen, wenn Nummerninkonsistenzen angezeigt werden. Bei Systemverzögerungen werden Wartungsupdates in der Regel innerhalb weniger Stunden aktualisiert.

  Wenn der Aufbewahrungszeitraum Ihres organization für E-Mails in Explorer 30 Tage beträgt und Sie E-Mails korrigieren, die 29 bis 30 Tage zurückgehen, wird die Anzahl der E-Mail-Übermittlungen möglicherweise nicht immer addiert. Die E-Mails haben möglicherweise bereits damit begonnen, den Aufbewahrungszeitraum zu überschritten.

  Wenn Korrekturen eine Weile im Zustand "In Bearbeitung" hängen bleiben, ist dies wahrscheinlich auf Systemverzögerungen zurückzuführen. Die Korrektur kann bis zu einigen Stunden dauern. Möglicherweise werden Abweichungen bei der Anzahl der E-Mail-Übermittlungen angezeigt, da einige der E-Mails aufgrund von Systemverzögerungen zu Beginn der Wartung möglicherweise nicht in die Abfrage eingeschlossen wurden. In solchen Fällen empfiehlt es sich, die Wiederherstellung erneut zu versuchen.

  Tipp

  Um optimale Ergebnisse zu erzielen, sollten die Korrekturen in Batches von maximal 50.000 erfolgen.

  Während der Wartung werden nur bereinigungsfähige E-Mail-Nachrichten bearbeitet. Nicht übertragbare E-Mails können von Microsoft 365 nicht bereinigt werden, da sie nicht in Cloudpostfächern gespeichert werden.

  Administratoren können bei Bedarf Aktionen für E-Mails in Quarantäne ausführen, aber diese E-Mails laufen aus der Quarantäne, wenn sie nicht manuell gelöscht werden. Standardmäßig sind E-Mails, die aufgrund schädlicher Inhalte unter Quarantäne stehen, für Benutzer nicht zugänglich, sodass Sicherheitspersonal keine Maßnahmen ergreifen muss, um Bedrohungen in Quarantäne zu beseitigen. Wenn die E-Mails lokal oder extern sind, kann der Benutzer kontaktiert werden, um die verdächtige E-Mail zu adressieren. Alternativ können die Administratoren separate E-Mail-Server-/Sicherheitstools zum Entfernen verwenden. Diese E-Mails können identifiziert werden, indem der Filter "Übermittlungsort = lokaler externer Speicherort" in Explorer angewendet wird. Bei fehlerhaften oder verworfenen E-Mails oder E-Mails, auf die Benutzer nicht zugreifen können, gibt es keine E-Mails, die abgemildert werden müssen, da diese E-Mails das Postfach nicht erreichen.

• Aktionsprotokolle: Zeigt die Nachrichten wiederhergestellt, erfolgreich, fehlgeschlagen, bereits im Ziel an.

  Der Status kann wie folgt sein:

  • Gestartet: Die Wartung wird ausgelöst.
    • In die Warteschlange eingereiht: Die Korrektur wird zur Entschärfung von E-Mails in die Warteschlange eingereiht.
    • In Bearbeitung: Die Entschärfung wird ausgeführt.
    • Abgeschlossen: Entschärfung für alle bereinigungsfähigen E-Mails wurde entweder erfolgreich abgeschlossen oder mit einigen Fehlern.
    • Fehler: Es waren keine Korrekturen erfolgreich.

  Da nur bereinigungsfähige E-Mails bearbeitet werden können, wird die Bereinigung jeder E-Mail als erfolgreich oder fehlgeschlagen angezeigt. Aus den gesamten bereinigungsfähigen E-Mails werden erfolgreiche und fehlgeschlagene Entschärfungen gemeldet.

  • Erfolg: Die gewünschte Aktion für bereinigungsfähige E-Mails wurde erreicht. Beispiel: Ein Administrator möchte E-Mails aus Postfächern entfernen, sodass der Administrator E-Mails vorläufig löscht. Wenn nach dem Ausführen der Aktion keine bereinigungsfähige E-Mail im ursprünglichen Ordner gefunden wird, wird die status als erfolgreich angezeigt.

  • Fehler: Die gewünschte Aktion für bereinigungsfähige E-Mails ist fehlgeschlagen. Beispiel: Ein Administrator möchte E-Mails aus Postfächern entfernen, sodass der Administrator E-Mails vorläufig löscht. Wenn nach dem Ausführen der Aktion noch eine bereinigungsfähige E-Mail im Postfach gefunden wird, wird status als fehlerhaft angezeigt.

  • Bereits im Ziel: Die gewünschte Aktion wurde bereits für die E-Mail ausgeführt, ODER die E-Mail war bereits am Zielspeicherort vorhanden. Beispiel: Eine E-Mail wurde vom Administrator am ersten Tag über Explorer vorläufig gelöscht. Dann werden ähnliche E-Mails an Tag 2 angezeigt, die vom Administrator wieder vorläufig gelöscht werden. Beim Auswählen dieser E-Mails wählt der Administrator am Ende einige E-Mails vom ersten Tag aus, die bereits vorläufig gelöscht wurden. Jetzt wird auf diese Nachrichten nicht reagiert. Stattdessen werden sie als Bereits im Ziel angezeigt, da keine Aktion für sie ausgeführt wurde, da sie am Zielstandort vorhanden waren.

  • Neu: Die Spalte Bereits im Ziel wurde im Aktionsprotokoll hinzugefügt. Dieses Feature verwendet den neuesten Zustellungsort in Explorer, um zu signalisieren, ob die E-Mail bereits bereinigt wurde. Bereits am Ziel können Sicherheitsteams die Gesamtanzahl der Nachrichten verstehen, die noch adressiert werden müssen.

Aktionen können nur für Nachrichten in den Ordnern "Posteingang", "Junk", "Gelöscht" und "Vorläufig gelöscht" von Explorer ausgeführt werden. Hier sehen Sie ein Beispiel für die Funktionsweise der neuen Spalte. Eine Aktion zum vorläufigen Löschen erfolgt für die Nachricht, die im Posteingang vorhanden ist, und die Nachricht wird dann gemäß den Richtlinien behandelt. Wenn das nächste Mal ein vorläufiges Löschen ausgeführt wird, wird diese Meldung unter der Spalte "Bereits im Ziel" angezeigt, und es wird signalisiert, dass sie nicht erneut adressiert werden muss.

Wählen Sie ein beliebiges Element im Aktionsprotokoll aus, um Wartungsdetails anzuzeigen. Wenn in den Details Erfolgreich oder Nicht gefunden im Postfach angezeigt wird, wurde dieses Element bereits aus dem Postfach entfernt. Manchmal tritt während der Korrektur ein Systemfehler auf. In diesen Fällen empfiehlt es sich, die Korrekturaktion erneut zu versuchen.

Wenn Sie große Batches von E-Mails beheben müssen, exportieren Sie die Nachrichten, die zur Wiederherstellung über die E-Mail-Übermittlung gesendet werden, und exportieren Sie Nachrichten, die über Aktionsprotokolle wiederhergestellt wurden. Der Exportgrenzwert wird auf 100.000 Datensätze erhöht.

Administratoren können Korrekturaktionen durchführen, z. B. das Verschieben von E-Mail-Nachrichten in den Ordner Junk, Posteingang oder Gelöschte Elemente sowie Löschaktionen wie vorläufiges Löschen oder endgültiges Löschen von Seiten der erweiterten Suche.

Die Problembehebung entschärft Bedrohungen, adressiert verdächtige E-Mails und trägt dazu bei, eine organization zu schützen.