Fordern Sie die Löschgenehmigung für E-Mails im Microsoft Exchange Online-Service an

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Nachdem eine E-Mail-Suche erfolgreich abgeschlossen wurde und übereinstimmende Nachrichten identifiziert wurden, können Sie alle verdächtigen E-Mails, die mit dem Security Incident und der Phishing-Kampagne in Zusammenhang stehen, endgültig aus dem Microsoft Exchange Online-Service löschen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Das System löscht Ihre letzten erfolgreichen Suchergebnisse.

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn die Genehmigungen und E-Mail-Benachrichtigungen aktiviert sind, senden Sie vor dem Entfernen der E-Mail eine Anforderung zum Löschen von E-Mails an eine Genehmigungsgruppe.

    E-Mail-Suchergebnisse werden mit allen empfangenen Nachrichten angezeigt. Um sicherzustellen, dass Phishing-E-Mails erfolgreich gelöscht werden, werden die Löschergebnisse in den Arbeitsnotizen des zugehörigen Security Incident veröffentlicht. Wenn Tagging aktiviert ist, wird auch ein Sicherheits-Tag für den zugehörigen Security Incident angezeigt. Wenn die E-Mail nicht erfolgreich gelöscht wird, werden Sie auch in den Arbeitsnotizen benachrichtigt.

    Abhängig von Ihren Organisationsrichtlinien müssen Sie möglicherweise eine Genehmigung anfordern, bevor Sie Phishing-E-Mails löschen. Für den Löschgenehmigungsprozess sind Informationen zur Anzahl der zu löschenden E-Mails und möglicherweise Zugriff auf weitere Nachrichtendetails erforderlich. Für die Verarbeitung der Löschanforderung werden in einer E-Mail-Benachrichtigung einem Genehmiger die entsprechende Anzahl der E-Mail-Nachrichten, der Security Incident-Link für den Zugriff auf vollständige Nachrichtendetails und Links zum Genehmigen oder Ablehnen bereitgestellt. Die Links in dieser E-Mail ermöglichen es einem Genehmiger, die Löschanforderung in der E-Mail-Benachrichtigung anzunehmen oder abzulehnen. Es ist auch ein vollständiger Audit-Pfad mit einem Zeitstempel verfügbar, der nachverfolgt, wann sich der Genehmigungsstatus in den Arbeitsnotizen geändert hat. Wenn eine Genehmigungsgruppe zugewiesen ist, kann ein Benutzer in der Gruppe die Anforderung für die gesamte Gruppe verarbeiten. Jedes Mitglied der Genehmigungsgruppe erhält eine E-Mail-Benachrichtigung über die Anforderung.

    Wenn Sie als Benutzer mit der Rolle sn_si.analyst feststellen, dass E-Mails korrigiert werden müssen, führen Sie die erforderlichen Schritte zum Löschen von E-Mails aus. Wenn Genehmigungen aktiviert sind, fordern Sie die Genehmigung zum Löschen von E-Mails aus dem Service Microsoft Exchange Online an.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Klicken Sie auf die zugehörige Liste E- Mail-Suche.
    3. Wählen Sie die zugehörige Liste „E-Mail-Suche“ aus, und klicken Sie in der Spalte „E-Mail-Suche“ auf den Namen Ihrer Suche.
      Die Suchergebnisse werden in der zugehörigen Liste E-Mail-Suchergebnisse angezeigt.

      In diesem Beispiel hat diese Suche E-Mails gefunden, die Ihren Suchkriterien entsprechen. Im Datensatz sind zwei Suchaktionen aufgeführt. Eine Suche hat keine Übereinstimmungen (0) und die andere Suche hat eine übereinstimmende E-Mail-Adresse (1).

      Abbildung : 1. Ergebnissatzgröße für E-Mail-Suche
      E-Mail-Suchdatensatz mit hervorgehobener Ergebnissatzgröße.
    4. Um E-Mail-Elemente zu löschen, die einer Suche zugeordnet sind, aktivieren Sie links neben der Spalte Suchdatum das Kontrollkästchen eines Suchergebnissatzes.
      Sie können einen einzelnen Ergebnissatz oder mehrere Ergebnissätze aus der Liste auswählen.
    5. Wählen Sie die Ergebnissätze aus, die Sie löschen möchten.
      Abbildung : 2. E-Mails von Exchange Online löschen
      Aktionen für ausgewählte Zeilenauswahlliste erweitert und „E-Mails aus Exchange Online löschen“ hervorgehoben.
    6. Wählen Sie unten in der zugehörigen Liste „E-Mail-Suchergebnisse“ in der Liste „Aktionen für ausgewählte Zeilen“ die Option E- Mails aus Exchange Online löschen aus, um alle E-Mail-Elemente zu löschen, die einem oder mehreren Ergebnissätzen zugeordnet sind, vom Exchange Online-Server.
      Wenn ein Ergebnissatz mehr als eine E-Mail enthält, müssen Sie den Datensatz „E-Mail-Suchergebnis“ nicht öffnen und einzelne E-Mails auswählen, um sie zu löschen. Alle E-Mail-Elemente mit dem Status „ false “ in der Spalte „Wurde gelöscht“ im Datensatz „E-Mail-Suchergebnis“ werden gelöscht, nachdem Sie E- Mails aus Exchange Onlinelöschen ausgewählt haben.

      Wenn ein E-Mail-Element in einem Ergebnissatz bereits gelöscht wurde, lautet der Status in der Spalte Wurde gelöscht im Datensatz E-Mail-Suchergebnis „ true“. Diese Elemente werden nicht erneut gelöscht.

      Wenn die Genehmigungsoption während des Konfigurationsschritts deaktiviert ist, werden die dem Ergebnissatz zugeordneten E-Mails gelöscht, nachdem Sie E- Mails aus Exchange Onlinelöschen ausgewählt haben. Der Ergebnissatz selbst wird nicht gelöscht. Der Status aller gelöschten E-Mail-Elemente des Ergebnissatzes wird jedoch in der Spalte Wurde gelöscht des Datensatzes E-Mail-Suchergebnis auf „ True “ aktualisiert. Weitere Informationen zur Genehmigungsfunktion finden Sie unter Konfigurieren Sie die Microsoft Exchange Online -Integration mit Ihrer -Instanz Now Platform ..
      Abbildung : 3. Details zur E-Mail-Löschung
      Spalte „Wurde gelöscht“ im Datensatz „E-Mail-Suchergebnis“ hervorgehoben.

      Diese E-Mails werden aus dem Mandanten Microsoft Exchange Online gelöscht, in dem Sie die Suchen durchgeführt haben. Wenn die E-Mails erfolgreich gelöscht wurden, wird eine Arbeitsnotiz angezeigt.

      Im Security Incident-Datensatz wird das Sicherheits-Tag E- Mail-Löschung abgeschlossen angezeigt.
      Abbildung : 4. E-Mail-Löschung: Abgeschlossenes Sicherheits-Tag
      Security Incident mit hervorgehobenem Sicherheits-Tag „E-Mail-Löschung abgeschlossen“.

      Wenn Genehmigungen für Löschanforderungen deaktiviert sind, haben Sie erfolgreich E-Mails aus dem Mandanten Microsoft Exchange Online gelöscht.

      Wenn während des Konfigurationsschritts Genehmigungen für Löschanforderungen aktiviert sind, wird nach der Auswahl von E- Mails löschen aus Exchange Onlineeine E-Mail-Benachrichtigung an jedes Mitglied der Genehmigungsgruppe gesendet, die Sie im Konfigurationsschritt ausgewählt haben.

      Wenn Tagging während des Konfigurationsschritts aktiviert wird, wird das Sicherheits-Tag E- Mail-Löschung – Initiiert im zugehörigen Security Incident-Datensatz angezeigt. Weitere Informationen zum Tagging finden Sie unter Konfigurieren Sie die Microsoft Exchange Online -Integration mit Ihrer -Instanz Now Platform ..

      Arbeitsnotizen werden angezeigt, wenn ein Benutzer mit der Rolle sn_si.analyst (Hans SecAnalyst) eine Anforderung zum Löschen von E-Mails übermittelt.

      Arbeitsnotizen mit übermittelter Anforderung und Audit-Pfad.

      Wenn Genehmigungen aktiviert sind, besteht der nächste Schritt in der Verarbeitung der Löschanforderung.

    7. Wenn Sie alternativ die Details und einzelnen E-Mail-Elemente eines Suchdatensatzes anzeigen möchten, bevor Sie ihn löschen oder eine Löschanforderung senden, führen Sie die folgenden Schritte aus.
      1. Klicken Sie bei ausgewählter zugehöriger Liste E-Mail-Suchergebnisse in der Spalte Suchdatum auf das Datum einer Suche, die Sie überprüfen möchten.
        Abbildung : 5. E-Mail-Suchdetails
        Suchdatum, das in der zugehörigen Liste „E-Mail-Suchergebnisse“ hervorgehoben ist.
        Die folgenden Informationen zu den E-Mails werden angezeigt:
        • Empfänger
        • Absender
        • Empfangsdatum der E-Mail
        • Lesestatus der E-Mail (wahr oder falsch)
        • Wurde gelöscht (wahr oder falsch)
        • Von Integration gelöscht (wahr oder falsch)
          Hinweis:

          Der Wert wird auf „wahr“ festgelegt, wenn die E-Mail gelöscht wird, wenn der Analyst die Aktion „Von E-Mail-Servern löschen“ initiiert.

          Die Arbeitsnotizen werden mit der Gesamtzahl der gelöschten Datensätze aktualisiert, einschließlich der nach Integration und Anwender gelöschten Datensätze.

      2. Nachdem Sie die Daten überprüft haben, klicken Sie auf Von E-Mail-Server(n)löschen, um alle E-Mails zu löschen oder eine Anforderung zum Löschen aller E-Mails zu senden.

        Wenn im Suchergebnisdatensatz mehrere E-Mail-Adressen aufgeführt sind, müssen Sie, wie im vorherigen Beispiel beschrieben, die einzelnen E-Mail-Adressen nicht auswählen, um sie zu entfernen. Die Löschanforderung entfernt alle mit der Suche verknüpften E-Mails, wenn in der Spalte Wurde gelöscht aus den aktuellen Suchergebnissen falsch angezeigt wird.

        Schaltfläche „Aus E-Mail-Server löschen“ hervorgehoben und Legendenpfeil für Kontrollkästchen im Datensatz „E-Mail-Suchergebnis“ hervorgehoben.
      Wenn Genehmigungen aktiviert sind, haben Sie erfolgreich eine Anforderung zum Löschen von E-Mails gesendet. Die Sicherheits-Tags und Arbeitsnotizen werden im zugehörigen Security Incident-Datensatz angezeigt (siehe vorheriges Beispiel). Als Genehmiger besteht der nächste Schritt in der Verarbeitung der Löschanforderung.