מחק דואר אלקטרוני מכל תיקיות הדואר של Office 365: שלב אחר שלב

מדריכים

אין סוד שפתרונות היגיינת דואר אינם 100% אפקטיביים. הודעות זדוניות עדיין מתגנבות מעת לעת בלי להתפס. בעתים כאלה, עליכם לדעת כיצד למצוא ולמחוק דואר אלקטרוני מכל התיבות הדואר ב-Office 365.

אם אתה מנהל Office 365, אתה ידוע עם המצב שתואר לעיל. התקפות דואר זבל או פישינג נחשבות לאירועי אבטחה קריטיים. כמובן, מנהלי דואר אלקטרוני חייבים לפעול מהר כדי להפחית את האיום הפוטנציאלי על המשתמשים והתשתיות.

ניתן ללחוץ בפורטל האבטחה וההתאמה של Office 365 כדי להריץ חיפוש תוכן, אך, כדי למחוק את התכנים ההם, עליך להשתמש ב-PowerShell. אז, אם בסופו של דבר תשתמש ב-PowerShell בכל מקרה, למה לא לעשות הכול ב-PowerShell, נכון?

במאמר זה, תלמד כיצד להשתמש ב-cmdlets של PowerShell לאבטחה והתאמה כדי לחפש ולמחוק הודעות זדוניות מכל תיבות הדואר ב-Office 365.

דרישות

מאחר ומדובר בעצם במאמר מדריך, ישנן כמה דרישות אם ברצונך לעקוב.

  • חשבון ה-admin שלך חייב לכלול הרשאות Office 365 מספיקות כדי לחפש בתיבות הדואר ולמחוק הודעות.
    הרשאה נדרשת לחיפוש בתיבות הדואר: החשבון חייב להיות חבר בקבוצת התפקידים eDiscovery Manager או להיות משויך לתפקיד ניהול Compliance Search.
    הרשאה נדרשת למחיקת הודעות: החשבון חייב להיות חבר בקבוצת התפקידים Organization Management או להיות משויך לתפקיד ניהול Search And Purge
    הרשאה נדרשת לתצוגה מקדימה של הודעות: החשבון חייב להיות חבר בקבוצת התפקידים eDiscovery Manager או להיות משויך לתפקיד ניהול Preview
  • יש להתחבר ל-PowerShell באמצעות Office 365 Security & Compliance Center PowerShell. ניתן ללחוץ על הקישור הזה כדי להתחבר בלעדי אימות רב-פעמי (MFA), או על הקישור הזה כדי להתחבר עם אימות רב-פעמי (MFA).

איסוף מידע על הודעות המייל שיש למחוק

לפני שתתחיל ליצור את התוכן לחיפוש של ההודעה שיש למחוק, עליך לאסוף את כל המידע הרלוונטי על ההודעה תחילה. לא אלא אם כל המידע כבר סופק לך.

ידע כמה שיותר פרטים על ההודעה יכול לעזור לך להחליט כיצד לפרט את שאילתת החיפוש. לדוגמה, חלק מהמידע הבסיסי שתצטרך לקבל הוא:

  • מהו כתובת האימייל של השולח?
  • מהו נושא ההודעה?
  • האם יש קבצים מצורפים ומהם שמותיהם?
  • מהו תאריך הופעתה הראשונה הדווח על ההודעה?
  • מי הם הנמענים?

ברוב המקרים, יהיה מספיק פרט או שניים מהמידע המצוין להפוך את חיפוש המידע לאפשרי. לכן, זה יעלה עליך לקבוע אילו מהפרמטרים לחיפוש הם המתאימים ביותר.

יצירת והפעלת חיפוש תוכן אימייל ב-Office 365

כשאתה מרוצה שיש לך את כל המידע שצריך על ההודעה, הגיע הזמן להפעיל PowerShell ולהתחיל ליצור את חיפוש התוכן.

נניח שההודעה הרוססת/הונאה למחיקה מציעה את המאפיינים הבאים:

  • נושא: עליך לשנות את סיסמת הבנק שלך כעת
  • נשלחה: 05/12/2020

באמצעות New-ComplianceSearch, תכונות ההודעה שצוינו לעיל ישמשו ליצירת שאילתת חיפוש. המפתח לשמירה על דיוק התוצאות תלוי בניסוח נכון של קריטריוני החיפוש.

הפקודה New-ComplianceSearch מגיעה עם מספר פרמטרים ומתגים. עם זאת, ליצירת חיפוש תוכן בתיבת דואר, אלה הם הפרמטרים שישמשו.

  • Name – מקבל את השם שיוקצה לאובייקט חיפוש התוכן. זה יכול להיות כל שם, אין צורך להשקיע בזה יותר מדי מחשבה.
  • ExchangeLocation – מקבל את מיקום ה-Exchange שיהיה היעד של החיפוש. זה יכול להיות קבוצה או תיבת דואר. במאמר זה, הערך לשימוש הוא כל כדי לוודא שכל תיבות הדואר יהיו היעד בחיפוש.
  • ContentMatchQuery – פרמטר זה הוא הגורם העיקרי שיקבע את דיוק תוצאות החיפוש. פורמט השאילתא שמתקבל הוא בצורת KQL או שפת שאילתת מילות מפתח.

כדי ליצור את חיפוש התוכן, העתק את הקוד למטה והדבק אותו בקונסולת ה-PowerShell שלך. ודא לשנות את ערכי הפרמטרים כראוי למצבך. בדוגמה זו, שם החיפוש הוא Phish1, השאילתא משלבת את ערכי הנושא והשליחה.

New-ComplianceSearch `
-Name Phish1 `
-ExchangeLocation All `
-ContentMatchQuery 'subject:"You must change your bank password now" AND sent:05/12/2020'

בקר בעמוד ה- שאילתות מילות מפתח ותנאים לחיפוש תוכן כדי ללמוד עוד על שימוש במילות מפתח בחיפוש תוכן.

כאשר אתה מפעיל את הקוד לעיל ב-PowerShell, עליך לראות פלט דומה לזה שמוצג למטה.

Delete Email From All Mailboxes In Office 365 : Creating a new content search

בנקודה זו, המשימה לחיפוש תוכן נוצרה, אך החיפוש עדיין לא הופעל לפי המצב (NotStarted).

כדי להתחיל את חיפוש התוכן, השתמש בפקודת Start-ComplianceSearch. עליך לספק לפקודה את הפרמטר -Identity ולציין את שם משימת החיפוש שיצרת.

כדי להתחיל את חיפוש תוכן האימייל ב-Office 365, העתק את הקוד למטה והדבק אותו בקונסולת ה-PowerShell שלך.

Start-ComplianceSearch -Identity Phish1

לאחר שהרצת את הקוד לעיל, לא תראה פלט במסך. מה שעליך לעשות הוא לעקוב אחר סטטוס החיפוש. כדי לעקוב אחר סטטוס החיפוש, השתמש בקוד למטה ב-PowerShell.

Get-ComplianceSearch -Identity Phish1

כאשר אתה מפעיל את הקוד לעיל, עליך לראות פלט דומה למה שמוצג למטה. בפלט המוצג, מופיע שהסטטוס של משימת החיפוש תוכן הוא Completed.

Getting the content search status

תשים לב מהפלט לעיל שהמאפיינים שהוחזרו הם מוגבלים ואינם מציגים לך את מספר ההתאמות שנמצאו. באפשרותך להריץ את הפקודה למטה כדי לקבל את כל המאפיינים של תוצאת חיפוש התוכן.

Get-ComplianceSearch -Identity Phish1 | Format-List *

לאחר שהרצת את הפקודה לעיל, תראה תוצאה דומה, כפי שמוצג למטה. במקרה זה, ישנם 16 פריטים שהתאימו לקריטריוני החיפוש.

Content search results

תצוגה מקדימה של תוצאות החיפוש (אופציונלי)

תצוגה מקדימה של תוצאות החיפוש היא שלב אופציונלי, אך מומלץ אם אתה סוג של אדם שמעדיף לשגע על צד האמיתות. אתה לא רוצה למחוק את ההודעה הלא נכונה מכל התיקיות הדואר, נכון?

עד כה, השתמשת ב-cmdlets New-ComplianceSearch, Start-ComplianceSearch ו־Get-ComplianceSearch כדי ליצור, להפעיל ולנטר את חיפוש התוכן. כעת, כדי להיות מסוגל לתצוגה מקדימה של תוצאות החיפוש, יהיה עליך להשתמש ב-cmdlet New-ComplianceSearchAction.

כדי לצפות בתוצאות החיפוש, עכשיו עליך ליצור פעולת תצוגה מקדימה באמצעות הפקודה למטה.

New-ComplianceSearchAction -SearchName Phish1 -Preview

כפי שניתן לראות בפלט למטה, העבודה הקדם הופעלה עם השם Phish1_Preview, והעבודה מתבצעת באופן אוטומטי.

Phish1_Preview

וכאשר יושלם יצירת התצוגה המקדימה, תוכל לקבל את תצוגת התוצאות על ידי הפעלת הפקודה למטה להצגת התוצאות על המסך.

(Get-ComplianceSearchAction Phish1_Preview | Select-Object -ExpandProperty Results) -split ","

ופעם אחת שאתה מפעיל את הפקודה למעלה, תקבל פלט דומה לדימוי המוצג למעלה.

Previewing the search results

בוא נודה בזה, התוצאות, כפי שמוצג למעלה, הן מכוערות. אך תוכל לייצא את התוצאות לקובץ טקסט אם תעדיף. או, אם תרצה דוח בתבנית יותר יפה, תוכל להוריד את דוח חיפוש התוכן ממרכז האבטחה וההסמכות.

הערה: פעולת התצוגה מאפשרת לראות את פרטי ההודעה התואמת לקריטריונים החיפוש ולא את תוכן ההודעות עצמן.

מחק דואר מכל התיקיות ב-Office 365

עכשיו לשלב הסופי; ביצוע פעולת מחיקת דואר ב-Office 365. נניח שאתה כבר מרוצה מתוצאות החיפוש. אתה מוכן כעת להפעיל את תהליך מחיקת ההודעות.

כדי למחוק את ההודעות שתואמות את קריטריוני החיפוש, עליך ליצור משימת ניקוי באמצעות הפקודה New-ComplianceSearchAction עם המתג -Purge והפרמטר -PurgeType.

הקוד ליצירת משימת הניקוי מוצג למטה. העתק את הקוד והדבק אותו בפוורשל כדי להפעיל אותו.

New-ComplianceSearchAction -SearchName Phish1 -Purge -PurgeType SoftDelete

שימו לב שהפרמטר/הערך -PurgeType SoftDelete יסיר את ההודעות וישים אותם בתיקיית המחיקות בתוך התיקייה "פריטים שאפשר לשחזר" בתיבת הדואר. זה אומר שההודעה עדיין תהיה אפשרית לשחזור אם נדרש.

לאחר הרצת הקוד לעיל, משימת הניקוי תיווצר ותתחיל.

Create the message purge job

כפי שניתן לראות בתמונה למטה, משימת הניקוי נוצרה עם השם Phish1_Purge, והיא מתחילה אוטומטית.

Purge job is created and started

כאשר הניקוי הושלם, תוכל לראות את התוצאה הסופית באמצעות הפקודה הבאה.

Get-ComplianceSearchAction -Identity Phish1_Purge | Format-List

תוצג לך פלט דומה, כפי שמוצג בתמונה למעלה. בדוגמה זו, נמחקו 16 הודעות ואף אחת לא נכשלה.

Message purge job is complete

וזהו. בוצעה בהצלחה מחיקת ההודעות דואר זבל/תפסת מכל תיקיות Office 365.

מסקנה

במאמר זה, למדת כיצד להשתמש ב- PowerShell של אבטחה והתאמה לתקנים cmdlets כדי לחפש ולמחוק הודעות מכל התיבות הדואר ב- Office 365.

למדת כיצד לאגד את פרטי ההודעה שיש למחוק לשם שיפור קריטריוני החיפוש. התאמת קריטריוני החיפוש עוזרת לוודא שהתוצאות יהיו בדיוק הגבוה ביותר.

כמו כן, למדת כיצד ליצור ולהתחיל את חיפושי התוכן, ליצור תצוגה מקדימה של התוצאות, ולבסוף לנקות את ההודעות שתואמות את קריטריוני החיפוש. אולי הדבר הכי טוב בכל זה הוא שלעולם לא היית צריך לצאת מ- PowerShell כדי לבצע את המשימות האלה!

עם הידע שרכשת מהמאמר הזה, אולי תוכל לאוטומט את כל זרימת החיפוש והמחיקה כך שגם הסוכנים בקו הראשון שלך יוכלו לבצע אותה בקלות. אולי אז, לא תצטרך עוד להתעורר משינה הנחוצה שלך.

קריאה נוספת

Source:
https://adamtheautomator.com/office-365-delete-email/