Non è un segreto che le soluzioni per l’igiene delle email non siano efficaci al 100%. Di tanto in tanto, messaggi maligni riescono a passare indetti senza essere rilevati. In quei momenti, è necessario sapere come individuare ed eliminare le email da tutte le caselle di posta in Office 365.
Se sei un amministratore di Office 365, sarai familiare con la situazione descritta sopra. Gli attacchi di spam o phishing sono considerati incidenti critici per la sicurezza. Non è necessario dire che gli amministratori delle email devono agire rapidamente per ridurre al minimo la potenziale minaccia per gli utenti e l’infrastruttura.
Puoi cliccare nel portale di sicurezza e conformità di Office 365 per eseguire una ricerca di contenuti, ma per eliminare quei contenuti è necessario utilizzare PowerShell. Quindi, se alla fine utilizzerai comunque PowerShell, perché non fare tutto in PowerShell, giusto?
In questo articolo, imparerai come utilizzare i cmdlet di PowerShell per la sicurezza e la conformità per cercare ed eliminare i messaggi maligni da tutte le caselle di posta di Office 365.
Requisiti
Dato che questo articolo è essenzialmente una guida pratica, ci sono alcuni requisiti da seguire se intendi procedere.
- Il tuo account amministratore deve avere abbastanza permessi di Office 365 per cercare nelle caselle di posta e cancellare i messaggi.
– Permesso richiesto per cercare nelle caselle di posta: l’account deve essere membro del gruppo di ruolo eDiscovery Manager o essere assegnato al ruolo di gestione Compliance Search.
– Permesso richiesto per cancellare i messaggi: l’account deve essere membro del gruppo di ruolo Organization Management o essere assegnato al ruolo di gestione Search And Purge.
– Permesso richiesto per visualizzare l’anteprima dei messaggi: l’account deve essere membro del gruppo di ruolo eDiscovery Manager o essere assegnato al ruolo di gestione Preview. - PowerShell deve essere connesso al Centro sicurezza e conformità di Office 365 in PowerShell. Segui questo link per connettersi senza MFA, o questo link per connettersi con MFA.
Raccolta delle informazioni sul messaggio da eliminare
Prima di iniziare a creare il contenuto da cercare per eliminare il messaggio, è necessario raccogliere tutte le informazioni pertinenti sul messaggio stesso. A meno che tutte le informazioni non ti siano già state fornite.
Sapere il maggior numero possibile di dettagli sul messaggio ti aiuterà a decidere come formulare la query di ricerca. Ad esempio, alcune delle informazioni di base di cui hai bisogno sono:
- Qual è l’indirizzo email del mittente?
- Qual è l’oggetto del messaggio?
- Ci sono allegati ai file e quali sono i nomi dei file?
- Qual è la data della prima segnalazione?
- Chi sono i destinatari?
Nella maggior parte dei casi, una o due delle informazioni elencate sopra dovrebbero essere sufficienti per formulare una query di ricerca. Spetta poi a te determinare quale di questi parametri di ricerca sia più applicabile.
Creazione ed esecuzione della ricerca di contenuti dell’Email Office 365
Quando sei sicuro di avere tutte le informazioni necessarie sul messaggio, è il momento di avviare PowerShell e iniziare a creare la ricerca di contenuti.
Supponiamo che il messaggio di spam/phishing da eliminare abbia le seguenti proprietà:
- Oggetto: Devi cambiare subito la password del tuo conto bancario
- Inviato: 05/12/2020
Utilizzando il New-ComplianceSearch, le proprietà del messaggio elencate sopra verranno utilizzate per creare una query di ricerca. La chiave per mantenere i risultati di ricerca il più accurati possibile dipende dai criteri di ricerca formulati adeguatamente.
Il cmdlet New-ComplianceSearch dispone di diversi parametri e interruttori. Tuttavia, per creare una ricerca contenuti della casella di posta, verranno utilizzati questi parametri.
Name– Accetta il nome che verrà assegnato all’oggetto di ricerca dei contenuti. Può essere qualsiasi nome, non è necessario pensarci troppo.ExchangeLocation– Accetta la posizione di Exchange che sarà presa di mira dalla ricerca. Può essere un gruppo o una casella di posta. In questo articolo, il valore da utilizzare è All per assicurarsi di prendere di mira tutte le caselle di posta nella ricerca.ContentMatchQuery– Questo parametro è il fattore principale che determinerà l’accuratezza dei risultati di ricerca. Il formato della query accettato è nella forma di un KQL o Keyword Query Language.
Per creare la ricerca dei contenuti, copia il codice di seguito e incollalo nella console di PowerShell. Assicurati di modificare i valori dei parametri come appropriato alla tua situazione. In questo esempio, il nome della ricerca è Phish1, la query combina i valori della proprietà oggetto e inviato.
Visita la pagina Query di parole chiave e condizioni di ricerca per il contenuto per saperne di più sull’utilizzo delle parole chiave nella ricerca del contenuto.
Quando esegui il codice sopra in PowerShell, dovresti vedere un output simile a quello mostrato di seguito.
A questo punto, il lavoro di ricerca del contenuto è stato creato, ma la ricerca non è ancora stata avviata secondo lo stato (Non iniziato).
Per avviare la ricerca del contenuto, utilizza il cmdlet Start-ComplianceSearch. Devi fornire al cmdlet il parametro -Identity e specificare il nome del lavoro di ricerca del contenuto che hai creato.
Per avviare la ricerca del contenuto delle email di Office 365, copia il codice di seguito e incollalo nella console di PowerShell.
Dopo aver eseguito il codice sopra, non verrà visualizzato alcun output sullo schermo. Quello che devi fare successivamente è monitorare lo stato della ricerca. Per monitorare lo stato della ricerca, utilizza il codice seguente in PowerShell.
Quando esegui il codice sopra, dovresti vedere un output simile a quello riportato di seguito. Nell’output sottostante, viene mostrato che lo stato del lavoro di ricerca del contenuto è Completato.
Noterai dall’output sopra che le proprietà restituite sono limitate e non mostrano il numero di corrispondenze trovate. Puoi eseguire il comando seguente per ottenere tutte le proprietà del risultato della ricerca del contenuto.
Dopo aver eseguito il comando sopra, vedrai un risultato simile a quello mostrato di seguito. In questo caso, ci sono 16 elementi che corrispondono ai criteri di ricerca.
Anteprima dei risultati di ricerca (opzionale)
L’anteprima dei risultati di ricerca è un passaggio opzionale, ma consigliato se sei del tipo che preferisce agire con prudenza. Non vorresti cancellare per errore il messaggio sbagliato da tutte le caselle di posta, vero?
Fino ad ora, hai utilizzato i cmdlet New-ComplianceSearch, Start-ComplianceSearch e Get-ComplianceSearch per creare, eseguire e monitorare la ricerca dei contenuti. Ora, per poter visualizzare l’anteprima dei risultati di ricerca, dovrai utilizzare il cmdlet New-ComplianceSearchAction.
Per visualizzare l’anteprima dei risultati di ricerca, devi ora creare un’azione di anteprima utilizzando il comando riportato di seguito.
Come puoi vedere nell’output di seguito, il lavoro di anteprima è stato creato con il nome Phish1_Preview, e il lavoro viene avviato automaticamente.
E quando la creazione dell’anteprima è completata, puoi ottenere l’anteprima dei risultati eseguendo il comando riportato di seguito per mostrare i risultati sullo schermo.
E una volta eseguito il comando sopra riportato, otterrai un output simile all’immagine mostrata di seguito.
Ammettiamolo, i risultati, come mostrato sopra, sono brutti. Tuttavia, puoi esportare i risultati in un file TXT se preferisci. Oppure, se desideri un rapporto più ben formattato, puoi scaricare il rapporto di ricerca dei contenuti dal Centro sicurezza e conformità.
Nota: L’azione Anteprima non espone il contenuto dei messaggi. Mostra solo i dettagli del messaggio corrispondenti ai criteri di ricerca, ma non il contenuto di ogni messaggio.
Elimina l’email da tutte le caselle di posta in Office 365
Ora per l’atto finale; l’esecuzione dell’azione di eliminazione dell’email di Office 365. Supponiamo che tu sia già soddisfatto dei risultati della ricerca. Sei pronto per avviare il processo di eliminazione dei messaggi.
Per eliminare i messaggi che corrispondono ai criteri di ricerca, è necessario creare un lavoro di purga utilizzando il cmdlet New-ComplianceSearchAction con l’opzione -Purge e il parametro -PurgeType.
Il codice per creare il lavoro di purga è mostrato di seguito. Copia il codice e incollalo in PowerShell per eseguirlo.
Si noti che il parametro/valore -PurgeType SoftDelete rimuoverebbe i messaggi e li inserirebbe nella cartella Cancellazioni all’interno della cartella Elementi recuperabili nella casella di posta. Ciò significa che il messaggio sarebbe comunque recuperabile se necessario.
Dopo aver eseguito il codice sopra riportato, il lavoro di purga verrà creato e avviato.
Come puoi vedere nell’immagine sottostante, il lavoro di purga viene creato con il nome Phish1_Purge e viene avviato automaticamente.
Quando la purga è completa, puoi visualizzare il risultato finale utilizzando il comando seguente.
Ti verrà presentato un output simile a quello mostrato di seguito. In questo esempio, sono stati eliminati 16 messaggi e nessuno ha avuto errori.
E questo è tutto. Hai eliminato con successo i messaggi di spam/phishing da tutte le caselle di posta di Office 365.
Conclusion
In questo articolo, hai imparato come utilizzare i cmdlets di PowerShell di Sicurezza e Conformità per cercare e cancellare messaggi da tutte le caselle di posta in Office 365.
Hai appreso come combinare i dettagli del messaggio da eliminare per affinare i criteri di ricerca. Affinare i criteri di ricerca aiuta a garantire che i risultati saranno della massima precisione.
Hai anche appreso come creare e avviare le ricerche di contenuto, creare un’anteprima dei risultati e infine eliminare i messaggi che corrispondono ai criteri di ricerca. Forse la cosa migliore di tutto questo è che non hai mai dovuto lasciare PowerShell per eseguire questi compiti!
Con la conoscenza che hai acquisito da questo articolo, forse puoi automatizzare l’intero flusso di lavoro di ricerca e cancellazione in modo che anche i tuoi agenti di prima linea possano eseguirlo facilmente. Forse così, non dovrai più essere svegliato dal tuo sonno tanto necessario.
Lettura Successiva
Source:
https://adamtheautomator.com/office-365-delete-email/