Solicitar aprovação de exclusão para e-mails no serviço online do Microsoft Exchange
Depois que uma pesquisa de e-mail for concluída com sucesso e as mensagens correspondentes forem identificadas, você poderá excluir permanentemente todos os e-mails suspeitos do serviço online do Microsoft Exchange que estão relacionados ao incidente de segurança e à campanha de phishing.
Antes de Iniciar
Função necessária: sn_si.analyst
O sistema executa exclusões nos resultados de pesquisa mais recentes bem-sucedidos.Por Que e Quando Desempenhar Esta Tarefa
Se as aprovações e notificações por e-mail estiverem habilitadas, envie uma solicitação para excluir e-mails para um grupo de aprovação antes da remoção por e-mail.
Os resultados da pesquisa de e-mail são exibidos com todas as mensagens que foram recebidas. Para garantir que os e-mails de phishing sejam excluídos com sucesso, os resultados da exclusão são publicados nas anotações de trabalho do incidente de segurança associado. Se a marcação estiver habilitada, um marcador de segurança também será exibido no incidente de segurança relacionado. Se o e-mail não for excluído com sucesso, você também será notificado nas anotações de trabalho.
Dependendo das suas políticas organizacionais, pode ser necessário solicitar aprovação antes de excluir e-mails de phishing. O processo de aprovação de exclusão requer informações sobre o número de e-mails a serem excluídos e, potencialmente, acesso a outros detalhes da mensagem. Para processar a solicitação de exclusão, em uma notificação por e-mail, um aprovador recebe a contagem de mensagens de e-mail correspondente, o link do incidente de segurança para acessar os detalhes completos da mensagem e os links de aprovação ou rejeição. Os links neste e-mail permitem que um aprovador aceite ou rejeite a solicitação de exclusão da notificação por e-mail. Uma trilha de auditoria completa com carimbo de data/hora também está disponível para rastrear quando o status de aprovação mudou nas anotações de trabalho. Se um grupo de aprovação for atribuído, um usuário do grupo poderá processar a solicitação para o grupo inteiro. Cada membro do grupo de aprovação recebe uma notificação por e-mail da solicitação.
Como um usuário com a função sn_si.analyst, se você determinar que os e-mails precisam de correção, siga as etapas necessárias para excluir e-mails. Se as aprovações estiverem habilitadas, solicite aprovação para excluir e-mails do serviço Microsoft Exchange Online.
Procedimento
-
Com a lista relacionada Pesquisa de e-mail selecionada, na coluna Pesquisa de e-mail, clique no nome da sua pesquisa.
Os resultados da pesquisa são exibidos na lista relacionada Resultados da pesquisa de e-mail.
Para este exemplo, esta pesquisa encontrou e-mails que correspondem aos seus critérios de pesquisa. Há duas ações de pesquisa listadas no registro. Uma pesquisa não tem correspondências (0) e a outra pesquisa tem um e-mail correspondente (1).
Figura 1. Tamanho do conjunto de resultados da pesquisa de e-mail -
Selecione os conjuntos de resultados que você deseja excluir.
Figura 2. Excluir e-mails do Exchange Online -
Na parte inferior da lista relacionada Resultados da pesquisa de e-mail, na lista Ações nas linhas selecionadas, selecione Excluir e-mails do Exchange Online para excluir todos os itens de e-mail associados a um ou mais conjuntos de resultados do servidor do Exchange Online.
Se um conjunto de resultados contiver mais de um e-mail, você não precisará abrir o registro Resultado da pesquisa de e-mail e selecionar e-mails individuais para excluí-los. Todos os itens de e-mail com um status falso na coluna Foi excluído no registro Resultado da pesquisa de e-mail são excluídos depois que você seleciona Excluir e-mails do Exchange Online.
Se um item de e-mail em um conjunto de resultados já tiver sido excluído, o status na coluna Foi excluído no registro Resultado da pesquisa de e-mail será verdadeiro. Esses itens não serão excluídos novamente.
Se a opção de aprovação estiver desabilitada durante a etapa de configuração, depois de selecionar Excluir e-mails do Exchange Online, os e-mails associados ao conjunto de resultados serão excluídos. O conjunto de resultados em si não é excluído. No entanto, o status de todos os itens de e-mail excluídos do conjunto de resultados é atualizado para verdadeiro na coluna Foi excluído do registro Resultado da pesquisa de e-mail. Para obter mais informações sobre o recurso de aprovação, consulte Configure a integração Microsoft Exchange Online com sua instância Now Platform.Figura 3. Detalhes de exclusão de e-mail Esses e-mails são excluídos do locatário Microsoft Exchange Online em que você realizou as pesquisas. Uma anotação de trabalho será exibida se os e-mails forem excluídos com sucesso.
No registro de incidente de segurança, o marcador de segurança Exclusão de e-mail - Concluído é exibido.Figura 4. Exclusão de e-mail - Marcador de segurança concluído Se as aprovações estiverem desabilitadas para solicitações de exclusão, você excluiu e-mails do locatário Microsoft Exchange Online.
Se as aprovações estiverem habilitadas para solicitações de exclusão durante a etapa de configuração, depois de selecionar Excluir e-mails do Exchange Online, uma notificação por e-mail será enviada para cada membro do grupo de aprovação selecionado durante a etapa de configuração.
Se a marcação estiver habilitada durante a etapa de configuração, o marcador de segurança Exclusão de e-mail - Iniciada será exibido no registro de incidente de segurança relacionado. Para obter mais informações sobre marcação, consulte Configure a integração Microsoft Exchange Online com sua instância Now Platform.
As anotações de trabalho são exibidas informando que uma solicitação para excluir e-mails foi enviada pelo usuário com a função sn_si.analyst (Hans SecAnalyst).
Se as aprovações estiverem habilitadas, a próxima etapa será processar a solicitação de exclusão.
-
Como alternativa, se você quiser exibir os detalhes e itens de e-mail individuais de um registro de pesquisa antes de excluí-lo ou enviar uma solicitação de exclusão, siga estas etapas.
-
Com a lista relacionada Resultados da pesquisa de e-mail selecionada, na coluna Data de pesquisa, clique na data de uma pesquisa que você deseja revisar.
Figura 5. Detalhes da pesquisa de e-mail As seguintes informações sobre os e-mails são exibidas:- Destinatários
- Remetente
- Data de recebimento do e-mail
- Status de leitura de e-mail (verdadeiro ou falso)
- Foi excluído (verdadeiro ou falso)
- Excluído por integração (verdadeiro ou falso)Nota:
O valor é definido como verdadeiro quando o e-mail é excluído quando o analista inicia a exclusão de servidor(es) de e-mail.
As anotações de trabalho são atualizadas com o número total de registros excluídos, o que inclui os registros excluídos pela integração e pelo usuário.
-
Depois de revisar os dados, para excluir todos os e-mails ou enviar uma solicitação para excluir todos os e-mails, clique em Excluir do(s) servidor(es) de e-mail.
Conforme descrito no exemplo anterior, se houver mais de um e-mail listado no registro do resultado da pesquisa, você não precisará selecionar os e-mails individuais para removê-los. A solicitação de exclusão remove todos os e-mails associados à pesquisa quando falso é exibido na coluna Foi excluído dos resultados da pesquisa mais recentes.
Se as aprovações estiverem habilitadas, você enviou com sucesso uma solicitação para excluir e-mails. Os marcadores de segurança e as anotações de trabalho são exibidos no registro de incidente de segurança relacionado, conforme descrito no exemplo anterior. Como aprovador, a próxima etapa é processar a solicitação de exclusão. -
Com a lista relacionada Resultados da pesquisa de e-mail selecionada, na coluna Data de pesquisa, clique na data de uma pesquisa que você deseja revisar.