No es ningún secreto que las soluciones de higiene de correo no son 100% efectivas. Los mensajes maliciosos aún logran pasar sin ser detectados de vez en cuando. En esos momentos, necesitas saber cómo encontrar y eliminar correos electrónicos de todos los buzones en Office 365.
Si eres un administrador de Office 365, estarás familiarizado con la situación descrita anteriormente. Los ataques de spam o phishing se consideran incidentes de seguridad críticos. No hace falta decir que los administradores de correo electrónico deben actuar rápidamente para minimizar la amenaza potencial para los usuarios y la infraestructura.
Puedes hacer clic en el portal de Seguridad y Cumplimiento de Office 365 para ejecutar una búsqueda de contenido, pero, para eliminar esos contenidos, necesitas usar PowerShell. Entonces, si de todos modos terminarás usando PowerShell, ¿por qué no hacerlo todo en PowerShell, verdad?
En este artículo, aprenderás cómo usar los cmdlets de PowerShell de Seguridad y Cumplimiento para buscar y eliminar mensajes maliciosos de todos los buzones de Office 365.
Requisitos
Dado que este artículo es esencialmente un tutorial, hay algunos requisitos si planeas seguirlo.
- Su cuenta de administrador debe tener suficientes permisos de Office 365 para buscar buzones y eliminar mensajes.
– Permiso necesario para buscar buzones: La cuenta debe ser miembro del grupo de roles eDiscovery Manager o tener asignado el rol de administración Compliance Search.
– Permiso necesario para eliminar mensajes: La cuenta debe ser miembro del grupo de roles Organization Management o tener asignado el rol de administración Search And Purge.
– Permiso necesario para previsualizar mensajes: La cuenta debe ser miembro del grupo de roles eDiscovery Manager o tener asignado el rol de administración Preview. - PowerShell debe estar conectado al Centro de seguridad y cumplimiento de Office 365 PowerShell. Siga este enlace para conectarse sin MFA, o este enlace para conectarse con MFA.
Recopilación de información sobre el mensaje a eliminar.
Antes de comenzar a crear el contenido de búsqueda para el mensaje que debe eliminarse, debe recopilar toda la información pertinente sobre el mensaje primero. A menos que ya se le haya proporcionado toda la información.
Saber tantos detalles sobre el mensaje como sea posible le ayudaría a decidir cómo formular la consulta de búsqueda. Por ejemplo, algunos de los datos más básicos que necesita obtener son:
- ¿Cuál es la dirección de correo electrónico del remitente?
- ¿Cuál es el asunto del mensaje?
- ¿Hay archivos adjuntos y cuáles son los nombres de archivo?
- ¿Cuál es la fecha de la primera ocurrencia informada?
- ¿Quiénes son los destinatarios?
En la mayoría de los casos, uno o dos de los datos mencionados anteriormente deberían ser suficientes para formular una consulta de búsqueda. Luego, depende de usted determinar cuál de estos parámetros de búsqueda sería más aplicable.
Creación y ejecución de la búsqueda de contenido de correo electrónico de Office 365
Cuando esté satisfecho de que tiene toda la información que necesita sobre el mensaje, es el momento de iniciar PowerShell y comenzar a crear la búsqueda de contenido.
Supongamos que el mensaje de spam o phishing que desea eliminar tiene las siguientes propiedades:
- Asunto: Debe cambiar la contraseña de su banco ahora
- Enviado: 05/12/2020
Usando el New-ComplianceSearch, las propiedades del mensaje mencionadas anteriormente se utilizarán para crear una consulta de búsqueda. La clave para mantener los resultados de búsqueda lo más precisos posible depende de los criterios de búsqueda formulados adecuadamente.
El cmdlet New-ComplianceSearch viene con varios parámetros y opciones. Sin embargo, para crear una búsqueda de contenido de buzón, se utilizarán los siguientes parámetros.
Nombre– Acepta el nombre que se asignará al objeto de búsqueda de contenido. Puede ser cualquier nombre, no es necesario pensar demasiado en ello.ExchangeLocation– Acepta la ubicación de Exchange que será objetivo de la búsqueda. Puede ser un grupo o un buzón. En este artículo, el valor a usar es Todos para asegurarse de dirigirse a todos los buzones en la búsqueda.ContentMatchQuery– Este parámetro es el factor principal que determinará la precisión de los resultados de la búsqueda. El formato de consulta aceptado es en forma de KQL o Lenguaje de Consulta de Palabras Clave.
Para crear la búsqueda de contenido, copie el código a continuación y péguelo en su consola de PowerShell. Asegúrese de cambiar los valores de los parámetros según corresponda a su situación. En este ejemplo, el nombre de la búsqueda es Phish1, la consulta combina los valores del asunto y del remitente.
Visita la página de Consultas de palabras clave y condiciones de búsqueda de contenido para obtener más información sobre cómo usar palabras clave en la búsqueda de contenido.
Cuando ejecutes el código anterior en PowerShell, deberías ver una salida similar a la demostrada a continuación.
En este punto, se ha creado el trabajo de búsqueda de contenido, pero la búsqueda aún no se ha desencadenado según el estado (No iniciado).
Para iniciar la búsqueda de contenido, utiliza el cmdlet Start-ComplianceSearch. Necesitas suministrarle al cmdlet el parámetro -Identity y especificar el nombre del trabajo de búsqueda de contenido que creaste.
Para iniciar la búsqueda de contenido de correo electrónico de Office 365, copia el código a continuación y pégalo en tu consola de PowerShell.
Después de ejecutar el código anterior, no habrá ninguna salida en la pantalla. Lo que necesitas hacer a continuación es monitorear el estado de la búsqueda. Para monitorear el estado de la búsqueda, utiliza el código a continuación en PowerShell.
Cuando ejecutes el código anterior, deberías ver una salida similar a la siguiente. En la salida siguiente, se muestra que el estado del trabajo de búsqueda de contenido es Completado.
Observarás a partir de la salida anterior que las propiedades devueltas están limitadas y no te muestran el número de coincidencias encontradas. Puedes ejecutar el comando a continuación para obtener todas las propiedades del resultado de la búsqueda de contenido.
Después de ejecutar el comando anterior, verás un resultado similar, como se muestra a continuación. En este caso, hay 16 elementos que coinciden con los criterios de búsqueda.
Revisión de los Resultados de Búsqueda (Opcional)
Revisar los resultados de búsqueda es un paso opcional, pero se recomienda si eres del tipo que prefiere actuar con precaución. No querrías eliminar el mensaje incorrecto de todas las buzones, ¿verdad?
Hasta ahora, has utilizado los cmdlets New-ComplianceSearch, Start-ComplianceSearch y Get-ComplianceSearch para crear, ejecutar y monitorear la búsqueda de contenido. Ahora, para poder revisar los resultados de la búsqueda, deberás utilizar el cmdlet New-ComplianceSearchAction.
Para previsualizar los resultados de la búsqueda, ahora necesitas crear una acción de previsualización usando el siguiente comando.
Como se muestra en la salida a continuación, se ha creado el trabajo de previsualización con el nombre Phish1_Preview, y el trabajo se inicia automáticamente.
Y cuando se complete la creación de la previsualización, puedes obtener la previsualización de los resultados ejecutando el siguiente comando para mostrar los resultados en la pantalla.
Y una vez que ejecutas el comando anterior, obtendrías una salida similar a la imagen mostrada a continuación.
Admitámoslo, los resultados, como se muestra arriba, son feos. Sin embargo, puedes exportar los resultados a un archivo TXT si lo prefieres. O, si deseas un informe con un formato mejorado, puedes descargar el informe de búsqueda de contenido desde el Centro de Seguridad y Cumplimiento.
Nota: La acción de vista previa no expone el contenido de los mensajes. Solo muestra los detalles del mensaje que coincide con los criterios de búsqueda y no lo que hay dentro de cada mensaje.
Eliminar correo electrónico de todos los buzones en Office 365
Ahora, para el acto final; ejecutar la acción de eliminación de correo electrónico de Office 365. Supongamos que ya estás satisfecho con los resultados de la búsqueda. Ahora estás listo para ejecutar el proceso de eliminación de mensajes.
Para eliminar los mensajes que coincidieron con los criterios de búsqueda, debes crear un trabajo de purga utilizando el cmdlet New-ComplianceSearchAction con el interruptor -Purge y el parámetro -PurgeType.
El código para crear el trabajo de purga se muestra a continuación. Copia el código y pégalo en PowerShell para ejecutarlo.
Ten en cuenta que el parámetro/valor -PurgeType SoftDelete eliminaría los mensajes y los colocaría en la carpeta de eliminaciones dentro de la carpeta de elementos recuperables en el buzón. Esto significa que el mensaje aún sería recuperable si es necesario.
Después de ejecutar el código anterior, se creará y comenzará el trabajo de purga.
Como puedes ver en la imagen a continuación, el trabajo de purga se crea con el nombre Phish1_Purge, y se inicia automáticamente.
Cuando la purga esté completa, puedes ver el resultado final utilizando el comando a continuación.
Se te presentará una salida similar, como se muestra a continuación. En este ejemplo, se eliminaron 16 mensajes y ninguno falló.
Y eso es todo. Has eliminado con éxito los mensajes de spam/phishing de todos los buzones de Office 365.
Conclusión
En este artículo, aprendiste cómo usar los cmdlets de PowerShell de Seguridad y Cumplimiento para buscar y eliminar mensajes de todos los buzones de correo en Office 365.
Aprendiste cómo reunir los detalles del mensaje a eliminar para refinar los criterios de búsqueda. Refinar los criterios de búsqueda ayuda a garantizar que los resultados sean los más precisos.
También aprendiste cómo crear y comenzar las búsquedas de contenido, crear una vista previa de los resultados y, en última instancia, purgar los mensajes que coincidían con los criterios de búsqueda. Quizás lo mejor de todo esto es que nunca tuviste que abandonar PowerShell para llevar a cabo estas tareas.
Con los conocimientos que obtuviste de este artículo, quizás puedas automatizar todo el flujo de trabajo de búsqueda y eliminación para que incluso tus agentes de primera línea puedan ejecutarlo fácilmente. Tal vez entonces, no tendrás que ser despertado de tu tan necesario sueño nunca más.
Lecturas adicionales
Source:
https://adamtheautomator.com/office-365-delete-email/