Fordern Sie die Löschgenehmigung für E-Mails im Microsoft Exchange-Onlinedienst an

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Nachdem eine E-Mail-Suche erfolgreich abgeschlossen wurde und übereinstimmende Nachrichten identifiziert wurden, können Sie alle verdächtigen E-Mails im Zusammenhang mit dem Security Incident und der Phishing-Kampagne dauerhaft aus dem Microsoft Exchange-Onlinedienst löschen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Das System löscht Ihre letzten erfolgreichen Suchergebnisse.

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn die Genehmigungen und E-Mail-Benachrichtigungen aktiviert sind, senden Sie vor der E-Mail-Entfernung eine Anforderung zum Löschen von E-Mails an eine Genehmigungsgruppe.

    E-Mail-Suchergebnisse werden mit allen empfangenen Nachrichten angezeigt. Um sicherzustellen, dass Phishing-E-Mails erfolgreich gelöscht werden, werden die Löschergebnisse in den Arbeitsnotizen des zugehörigen Security Incidents veröffentlicht. Wenn Tagging aktiviert ist, wird auch ein Sicherheits-Tag für den zugehörigen Security Incident angezeigt. Wenn die E-Mail nicht erfolgreich gelöscht wird, werden Sie auch in den Arbeitsnotizen benachrichtigt.

    Abhängig von Ihren Organisationsrichtlinien müssen Sie möglicherweise eine Genehmigung anfordern, bevor Sie Phishing-E-Mails löschen. Der Löschungsgenehmigungsprozess erfordert Informationen über die Anzahl der zu löschenden E-Mails und möglicherweise Zugriff auf andere Nachrichtendetails. Für die Verarbeitung der Löschanforderung wird einem Genehmiger in einer E-Mail-Benachrichtigung die entsprechende Anzahl der E-Mail-Nachrichten, der Security Incident-Link für den Zugriff auf vollständige Nachrichtendetails und Links zum Genehmigen oder Ablehnen bereitgestellt. Die Links in dieser E-Mail ermöglichen es einem Genehmiger, die Löschanforderung aus der E-Mail-Benachrichtigung zu akzeptieren oder abzulehnen. Ein vollständiger Auditpfad mit Zeitstempel ist ebenfalls verfügbar, der nachverfolgt, wann sich der Genehmigungsstatus in Arbeitsnotizen geändert hat. Wenn eine Genehmigungsgruppe zugewiesen ist, kann ein Benutzer in der Gruppe die Anforderung für die gesamte Gruppe bearbeiten. Jedes Mitglied der Genehmigungsgruppe erhält eine E-Mail-Benachrichtigung für die Anforderung.

    Wenn Sie als Benutzer mit der Rolle „sn_si.analyst“ feststellen, dass E-Mails korrigiert werden müssen, führen Sie die erforderlichen Schritte zum Löschen von E-Mails aus. Wenn Genehmigungen aktiviert sind, fordern Sie die Genehmigung zum Löschen von E-Mails aus dem Service Microsoft Exchange Online an.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
    2. Klicken Sie auf die zugehörige Liste E- Mail-Suche.
    3. Wählen Sie die zugehörige Liste „E-Mail-Suche“ aus und klicken Sie in der Spalte „E-Mail-Suche“ auf den Namen Ihrer Suche.
      Die Suchergebnisse werden in der zugehörigen Liste „E-Mail-Suchergebnisse“ angezeigt.

      In diesem Beispiel hat diese Suche E-Mails gefunden, die Ihren Suchkriterien entsprechen. Im Datensatz sind zwei Suchaktionen aufgeführt. Eine Suche hat keine Übereinstimmungen (0), und die andere Suche hat eine übereinstimmende E-Mail-Adresse (1).

      Abbildung : 1. Größe des E-Mail-Suchergebnissatzes
      E-Mail-Suchdatensatz mit hervorgehobener Ergebnissatzgröße.
    4. Um E-Mail-Elemente zu löschen, die einer Suche zugeordnet sind, aktivieren Sie links neben der Spalte Suchdatum das Kontrollkästchen eines Suchergebnissatzes.
      Sie können einen einzelnen Ergebnissatz oder mehrere Ergebnissätze aus der Liste auswählen.
    5. Wählen Sie die Ergebnissätze aus, die Sie löschen möchten.
      Abbildung : 2. E-Mails von Exchange Online löschen
      Aktionen für ausgewählte Zeilen, Auswahlliste erweitert und E-Mails aus Exchange Online löschen hervorgehoben.
    6. Wählen Sie unten in der zugehörigen Liste „E-Mail-Suchergebnisse“ aus der Liste Aktionen für ausgewählte Zeilen die Option E- Mails aus Exchange Online löschen aus, um alle E-Mail-Elemente zu löschen, die einer oder mehreren Ergebnismengen vom Exchange Online-Server zugeordnet sind.
      Wenn ein Ergebnissatz mehr als eine E-Mail enthält, müssen Sie den Datensatz „E-Mail-Suchergebnis“ nicht öffnen und einzelne E-Mails auswählen, um sie zu löschen. Alle E-Mail-Elemente mit dem Status „ falsch “ in der Spalte Wurde gelöscht im Datensatz „E-Mail-Suchergebnis“ werden gelöscht, nachdem Sie E- Mails aus Exchange Onlinelöschen ausgewählt haben.

      Wenn ein E-Mail-Element in einem Ergebnissatz bereits gelöscht wurde, lautet der Status in der Spalte Wurde gelöscht im Datensatz „E-Mail-Suchergebnis“ true. Diese Elemente werden nicht erneut gelöscht.

      Wenn die Genehmigungsoption während des Konfigurationsschritts deaktiviert ist, werden die mit dem Ergebnissatz verknüpften E-Mails gelöscht, nachdem Sie E- Mails aus Exchange Onlinelöschen ausgewählt haben. Die Ergebnismenge selbst wird nicht gelöscht. Der Status aller gelöschten E-Mail-Elemente des Ergebnissatzes wird jedoch in der Spalte Wurde gelöscht des Datensatzes „E-Mail-Suchergebnis“ auf „ true “ aktualisiert. Weitere Informationen zur Genehmigungsfunktion finden Sie unter Konfigurieren Sie die Microsoft Exchange Online -Integration mit Ihrer Now Platform -Instanz.
      Abbildung : 3. Details zur E-Mail-Löschung
      Hervorgehobene Spalte „Wurde gelöscht“ im Datensatz „E-Mail-Suchergebnis“.

      Diese E-Mails werden aus dem Mandanten Microsoft Exchange Online gelöscht, für den Sie die Suchvorgänge ausgeführt haben. Wenn die E-Mails erfolgreich gelöscht wurden, wird eine Arbeitsnotiz angezeigt.

      Im Security Incident-Datensatz wird das Sicherheits-Tag „E- Mail-Löschung abgeschlossen “ angezeigt.
      Abbildung : 4. E-Mail-Löschung: Abgeschlossenes Sicherheits-Tag
      Security Incident mit hervorgehobenem Sicherheits-Tag „E-Mail-Löschung abgeschlossen“.

      Wenn Genehmigungen für Löschanforderungen deaktiviert sind, haben Sie E-Mails erfolgreich aus dem Mandanten Microsoft Exchange Online gelöscht.

      Wenn während des Konfigurationsschritts Genehmigungen für Löschanforderungen aktiviert sind, wird nach Auswahl von E- Mails aus Exchange Onlinelöschen eine E-Mail-Benachrichtigung an jedes Mitglied der Genehmigungsgruppe gesendet, die Sie während des Konfigurationsschritts ausgewählt haben.

      Wenn Tagging während des Konfigurationsschritts aktiviert ist, wird das Sicherheits-Tag E- Mail-Löschung initiiert im zugehörigen Security Incident-Datensatz angezeigt. Weitere Informationen zum Tagging finden Sie unter Konfigurieren Sie die Microsoft Exchange Online -Integration mit Ihrer Now Platform -Instanz.

      Arbeitsnotizen werden angezeigt, wenn eine Anforderung zum Löschen von E-Mails vom Benutzer mit der Rolle sn_si.analyst (Hans SecAnalyst) gesendet wird.

      Arbeitsnotizen mit übermittelter Anforderung und Auditpfad.

      Wenn Genehmigungen aktiviert sind, besteht der nächste Schritt darin, die Löschanforderung zu verarbeiten.

    7. Wenn Sie alternativ die Details und einzelnen E-Mail-Elemente eines Suchdatensatzes anzeigen möchten, bevor Sie ihn löschen oder eine Löschanforderung senden, führen Sie die folgenden Schritte aus.
      1. Wählen Sie die zugehörige Liste „E-Mail-Suchergebnisse“ aus und klicken Sie in der Spalte „Suchdatum“ auf das Datum einer Suche, die Sie überprüfen möchten.
        Abbildung : 5. E-Mail-Suchdetails
        Suchdatum, das in der zugehörigen Liste „E-Mail-Suchergebnisse“ hervorgehoben ist.
        Die folgenden Informationen zu den E-Mails werden angezeigt:
        • Empfänger
        • Absender
        • Empfangsdatum der E-Mail
        • E-Mail-Lesestatus (wahr oder falsch)
        • Wurde gelöscht („true “ oder „ false“)
        • Nach Integration gelöscht (wahr oder falsch)
          Hinweis:

          Der Wert wird auf „true“ festgelegt, wenn die E-Mail gelöscht wird, wenn der Analyst „Von E-Mail-Server löschen“ initiiert.

          Die Arbeitsnotizen werden mit der Gesamtzahl der gelöschten Datensätze aktualisiert, einschließlich der nach Integration und Benutzer gelöschten Datensätze.

      2. Nachdem Sie die Daten überprüft haben, klicken Sie auf Von E-Mail-Server(n)löschen, um alle E-Mails zu löschen oder eine Anforderung zum Löschen aller E-Mails zu senden.

        Wie im vorherigen Beispiel beschrieben, müssen Sie, wenn im Suchergebnisdatensatz mehrere E-Mail-Adressen aufgeführt sind, die einzelnen E-Mail-Adressen nicht auswählen, um sie zu entfernen. Die Löschanforderung entfernt alle mit der Suche verknüpften E-Mails, wenn in den letzten Suchergebnissen in der Spalte Wurde gelöscht false angezeigt wird.

        Hervorgehobene Schaltfläche „Aus E-Mail-Server löschen“ und Pfeil für Kontrollkästchen im Datensatz „E-Mail-Suchergebnis“.
      Wenn Genehmigungen aktiviert sind, haben Sie erfolgreich eine Anforderung zum Löschen von E-Mails übermittelt. Die Sicherheits-Tags und Arbeitsnotizen werden im zugehörigen Security Incident-Datensatz angezeigt, wie im vorherigen Beispiel beschrieben. Als Genehmiger besteht der nächste Schritt darin, die Löschanforderung zu verarbeiten.