Solicitar aprovação de exclusão para e-mails no serviço online do Microsoft Exchange
Depois que uma pesquisa de e-mail for concluída com sucesso e as mensagens correspondentes forem identificadas, você poderá excluir permanentemente todos os e-mails suspeitos do serviço online do Microsoft Exchange relacionados ao incidente de segurança e à campanha de phishing.
Antes de Iniciar
Função necessária: sn_si.analyst
O sistema executa exclusões nos resultados de pesquisa bem-sucedidos mais recentes.Por Que e Quando Desempenhar Esta Tarefa
Se as aprovações e as notificações por e-mail estiverem habilitadas, envie uma solicitação para excluir e-mails para um grupo de aprovação antes da remoção do e-mail.
Os resultados da pesquisa por e-mail são exibidos com todas as mensagens recebidas. Para garantir que os e-mails de phishing sejam excluídos com sucesso, os resultados da exclusão são publicados nas anotações de trabalho do incidente de segurança associado. Se a marcação estiver habilitada, um marcador de segurança também será exibido no incidente de segurança relacionado. Se o e-mail não for excluído com sucesso, você também será notificado nas anotações de trabalho.
Dependendo das políticas organizacionais, pode ser necessário solicitar aprovação antes de excluir e-mails de phishing. O processo de aprovação de exclusão requer informações sobre o número de e-mails a serem excluídos e, potencialmente, acesso a outros detalhes da mensagem. Para processar a solicitação de exclusão, em uma notificação por e-mail, um aprovador recebe a contagem de mensagens de e-mail correspondente, o link do incidente de segurança para acessar os detalhes completos da mensagem e aprovar ou rejeitar links. Os links neste e-mail permitem que um aprovador aceite ou rejeite a solicitação de exclusão da notificação por e-mail. Uma trilha de auditoria completa com carimbo de data/hora também está disponível para rastrear quando o status de aprovação foi alterado nas anotações de trabalho. Se um grupo de aprovação for atribuído, um usuário no grupo poderá processar a solicitação para todo o grupo. Cada membro do grupo de aprovação recebe uma notificação por e-mail para a solicitação.
Como um usuário com a função sn_si.analyst, se você determinar que os e-mails precisam de correção, siga as etapas necessárias para excluir e-mails. Se as aprovações estiverem habilitadas, solicite aprovação para excluir e-mails do Microsoft Exchange Online serviço.
Procedimento
-
Com a lista relacionada Pesquisa de e-mail selecionada, na coluna Pesquisa de e-mail, clique no nome da pesquisa.
Os resultados da pesquisa são exibidos na lista relacionada Resultados da pesquisa de e-mail.
Para este exemplo, esta pesquisa encontrou e-mails que correspondem aos seus critérios de pesquisa. Há duas ações de pesquisa listadas no registro. Uma pesquisa não tem correspondências (0) e a outra pesquisa tem um e-mail correspondente (1).
Figura 1. Tamanho do conjunto de resultados da pesquisa de e-mail -
Selecione os conjuntos de resultados que você deseja excluir.
Figura 2. Excluir e-mails do Exchange Online - Na parte inferior da lista relacionada Resultados da pesquisa de e-mail, na lista Ações nas linhas selecionadas, selecione Exclua e-mails do Exchange Online Para excluir todos os itens de e-mail associados a um ou mais conjuntos de resultados do servidor do Exchange Online.
Se um conjunto de resultados contiver mais de um e-mail, você não precisará abrir o registro Resultado da Pesquisa de e-mail e selecionar e-mails individuais para excluí-los. Todos os itens de e-mail com status falso Na coluna Foi excluído no registro Resultado da pesquisa de e-mail são excluídos depois que você seleciona Exclua e-mails do Exchange Online .
Se um item de e-mail em um conjunto de resultados já tiver sido excluído, o status na coluna Foi excluído no registro Resultado da pesquisa de e-mail será verdadeiro . Esses itens não são excluídos novamente.
Se a opção Aprovação estiver desabilitada durante a etapa de configuração, depois de selecionar Exclua e-mails do Exchange Online , os e-mails associados ao conjunto de resultados são excluídos. O conjunto de resultados em si não é excluído. No entanto, o status de todos os itens de e-mail excluídos do conjunto de resultados é atualizado para verdadeiro Na coluna Foi excluído do registro Resultado da pesquisa de e-mail. Para obter mais informações sobre o recurso de aprovação, consulte Configure o. Microsoft Exchange Online integração.Figura 3. Detalhes da exclusão de e-mail Esses e-mails são excluídos do Microsoft Exchange Online locatário no qual você realizou as pesquisas. Uma anotação de trabalho será exibida se os e-mails forem excluídos com sucesso.
No registro de incidente de segurança, o. Exclusão de e-mail - Concluída o marcador de segurança é exibido.Figura 4. Exclusão de e-mail - Marcador de segurança concluído Se as aprovações estiverem desabilitadas para solicitações de exclusão, você excluirá e-mails com sucesso do Microsoft Exchange Online locatário.
Se as aprovações estiverem habilitadas para solicitações de exclusão durante a etapa de configuração, depois de selecionar Exclua e-mails do Exchange Online uma notificação por e-mail é enviada para cada membro do grupo de aprovação selecionado durante a etapa de configuração.
Se a marcação estiver habilitada durante a etapa de configuração, o. Exclusão de e-mail - Iniciada o marcador de segurança é exibido no registro de incidente de segurança relacionado. Para obter mais informações sobre marcação, consulte Configure o. Microsoft Exchange Online integração.
As anotações de trabalho são exibidas informando que uma solicitação para excluir e-mails é enviada pelo usuário com a função sn_si.analyst ( Hans SecAnalyst ).
Se as aprovações estiverem habilitadas, a próxima etapa será processar a solicitação de exclusão.
-
Se você quiser exibir os detalhes e itens de e-mail individuais de um registro de pesquisa antes de excluí-lo ou enviar uma solicitação de exclusão, siga estas etapas.
-
Com a lista relacionada Resultados da pesquisa de e-mail selecionada, na coluna Data da pesquisa, clique na data de uma pesquisa que você deseja revisar.
Figura 5. Detalhes da pesquisa de e-mail As seguintes informações sobre os e-mails são exibidas:- Destinatários
- Remetente
- Data de recebimento do e-mail
- Status de leitura de e-mail ( verdadeiro ou falso )
- Foi excluído ( verdadeiro ou falso )
- Excluído pela integração ( verdadeiro ou falso )Nota:
O valor é definido como verdadeiro quando o e-mail é excluído quando o analista inicia a exclusão do(s) servidor(es) de e-mail.
As anotações de trabalho são atualizadas com o número total de registros excluídos, o que inclui os registros excluídos pela integração e pelo usuário.
-
Depois de revisar os dados, para excluir todos os e-mails ou enviar uma solicitação para excluir todos os e-mails, clique em Excluir do(s) servidor(es) de e-mail .
Conforme descrito no exemplo anterior, se houver mais de um e-mail listado no registro de resultado da pesquisa, você não precisará selecionar os e-mails individuais para removê-los. A solicitação de exclusão remove todos os e-mails associados à pesquisa quando falso É exibido na coluna Foi excluído dos resultados da pesquisa mais recentes.
Se as aprovações estiverem habilitadas, você enviou com sucesso uma solicitação para excluir e-mails. Os marcadores de segurança e as anotações de trabalho são exibidos no registro de incidente de segurança relacionado, conforme descrito no exemplo anterior. Como aprovador, a próxima etapa é processar a solicitação de exclusão. -
Com a lista relacionada Resultados da pesquisa de e-mail selecionada, na coluna Data da pesquisa, clique na data de uma pesquisa que você deseja revisar.