Het is geen geheim dat e-mail hygiëne oplossingen niet 100% effectief zijn. Kwaadaardige berichten vinden nog steeds hun weg zonder dat ze af en toe worden gedetecteerd. In die tijden moet je weten hoe je e-mail kunt vinden en verwijderen uit alle postvakken in Office 365.
Als je een Office 365 beheerder bent, ben je bekend met de hierboven beschreven situatie. Spam- of phishingaanvallen worden beschouwd als kritieke beveiligingsincidenten. Het zal duidelijk zijn dat e-mailbeheerders snel moeten handelen om het potentiële gevaar voor de gebruikers en de infrastructuur te minimaliseren.
Je kunt rondklikken in het Office 365 Security and Compliance portaal om een inhoudszoeking uit te voeren, maar om die inhoud te verwijderen, moet je PowerShell gebruiken. Dus, als je uiteindelijk toch PowerShell gaat gebruiken, waarom dan niet alles in PowerShell doen, toch?
In dit artikel leer je hoe je de PowerShell-cmdlets voor Beveiliging en Compliance kunt gebruiken om kwaadaardige berichten te zoeken en te verwijderen uit alle Office 365-postvakken.
Vereisten
Aangezien dit artikel in feite een handleiding is, zijn er enkele vereisten als je van plan bent om mee te doen.
- Uw beheerdersaccount moet voldoende machtigingen hebben om Office 365-postvakken te doorzoeken en berichten te verwijderen.
– Vereiste machtiging voor het doorzoeken van postvakken: Het account moet lid zijn van de rolgroep eDiscovery Manager of de beheersrol Compliance Search toegewezen hebben gekregen.
– Vereiste machtiging voor het verwijderen van berichten: Het account moet lid zijn van de rolgroep Organization Management of de beheersrol Search And Purge toegewezen hebben gekregen.
– Vereiste machtiging voor het bekijken van berichten: Het account moet lid zijn van de rolgroep eDiscovery Manager of de beheersrol Preview toegewezen hebben gekregen. - PowerShell moet verbonden zijn met de Office 365 Security & Compliance Center PowerShell. Volg deze link om verbinding te maken zonder MFA, of deze link om verbinding te maken met MFA.
Informatie verzamelen over het te verwijderen bericht.
Voordat u begint met het maken van de inhoud zoeken naar het bericht dat moet worden verwijderd, moet u eerst alle relevante informatie over het bericht verzamelen. Tenzij alle informatie al aan u is verstrekt.
Het kennen van zoveel mogelijk details over het bericht zou u helpen beslissen hoe u de zoekopdracht moet formuleren. Bijvoorbeeld, enkele van de meest basale informatie die u moet verkrijgen zijn:
- Wat is het e-mailadres van de afzender?
- Wat is het onderwerp van het bericht?
- Zijn er bijlagen, en wat zijn de bestandsnamen?
- Wat is de datum van het eerste gemelde voorval?
- Wie zijn de ontvangers?
In de meeste gevallen zou één of twee van de hierboven vermelde informatie voldoende moeten zijn om een zoekopdracht te formuleren. Vervolgens is het aan u om te bepalen welke van deze zoekparameters het meest van toepassing zou zijn.
Het maken en uitvoeren van de Office 365 E-mailinhoud zoeken
Wanneer u ervan overtuigd bent dat u alle informatie heeft die u nodig heeft over het bericht, is het tijd om PowerShell op te starten en te beginnen met het maken van de inhoud zoeken.
Stel dat het spam/phishingbericht dat moet worden verwijderd de volgende eigenschappen heeft:
- Onderwerp: U moet nu uw bankwachtwoord wijzigen
- Verzonden: 05/12/2020
Met behulp van de New-ComplianceSearch worden de bovenstaande berichteigenschappen gebruikt om een zoekopdracht te maken. De sleutel om de zoekresultaten zo nauwkeurig mogelijk te houden, hangt af van de adequaat geformuleerde zoekcriteria.
De New-ComplianceSearch cmdlet wordt geleverd met verschillende parameters en schakelaars. Om echter een zoekopdracht naar de inhoud van een mailbox te maken, worden deze parameters gebruikt.
Name– Hiermee wordt de naam geaccepteerd die aan het object voor inhoudszoeken zal worden toegewezen. Dit kan elke naam zijn, u hoeft er niet te veel over na te denken.ExchangeLocation– Hiermee wordt de Exchange-locatie geaccepteerd die door de zoekopdracht zal worden gericht. Dit kan een groep of een mailbox zijn. In dit artikel is de waarde om te gebruiken All om ervoor te zorgen dat alle postbussen in de zoekopdracht worden gericht.ContentMatchQuery– Deze parameter is de belangrijkste factor die de nauwkeurigheid van de zoekresultaten zal bepalen. Het geaccepteerde queryformaat is in de vorm van een KQL of Keyword Query Language.
Om de inhoudszoekopdracht te maken, kopieert u de onderstaande code en plakt u deze in uw PowerShell-console. Zorg ervoor dat u de parameterwaarden aanpast aan uw situatie. In dit voorbeeld is de naam van de zoekopdracht Phish1, de query combineert de onderwerps- en verzonden eigenschapswaarden.
Bezoek de pagina Zoekwoordenzoekopdrachten en zoekcondities voor inhoudszoekopdrachten om meer te weten te komen over het gebruik van zoekwoorden in inhoudszoekopdrachten.
Wanneer u de bovenstaande code uitvoert in PowerShell, zou u een vergelijkbare uitvoer moeten zien als hieronder gedemonstreerd.
Op dit punt is de inhoudszoekopdracht gemaakt, maar de zoekopdracht is nog niet gestart volgens de status (Niet gestart).
Om de inhoudszoekopdracht te starten, gebruikt u het cmdlet Start-ComplianceSearch. U moet het cmdlet voorzien van de parameter -Identity en de naam van de inhoudszoekopdracht opgeven die u heeft gemaakt.
Om de Office 365 e-mailinhoudzoekopdracht te starten, kopieert u de onderstaande code en plakt u deze in uw PowerShell-console.
Na het uitvoeren van de bovenstaande code, wordt er geen uitvoer op het scherm weergegeven. Wat u nu moet doen, is de status van de zoekopdracht controleren. Gebruik hiervoor de onderstaande code in PowerShell.
Wanneer u de bovenstaande code uitvoert, zou u een vergelijkbare uitvoer moeten zien als hieronder. In de onderstaande uitvoer wordt aangegeven dat de status van de inhoudszoekopdracht Voltooid is.
U zult merken dat de geretourneerde eigenschappen beperkt zijn en dat het aantal gevonden overeenkomsten niet wordt weergegeven in de bovenstaande uitvoer. U kunt de opdracht hieronder uitvoeren om alle eigenschappen van het resultaat van de inhoudszoekopdracht te krijgen.
Na het uitvoeren van de bovenstaande opdracht, zou u een vergelijkbaar resultaat zien, zoals hieronder weergegeven. In dit geval zijn er 16 items die overeenkomen met de zoekcriteria.
Het voorbeeld van de zoekresultaten bekijken (optioneel)
Het voorbeeld bekijken van de zoekresultaten is een optionele stap, maar wel aanbevolen als je liever op veilig speelt. Je wilt toch niet per ongeluk het verkeerde bericht verwijderen uit alle postvakken, toch?
Tot nu toe heb je de cmdlets New-ComplianceSearch, Start-ComplianceSearch en Get-ComplianceSearch gebruikt om de inhoudszoekopdracht te maken, uit te voeren en te controleren. Om de zoekresultaten te kunnen bekijken, moet je nu de cmdlet New-ComplianceSearchAction gebruiken.
Om de zoekresultaten te bekijken, moet je nu een voorbeeldactie maken met behulp van de onderstaande opdracht.
Zoals je kunt zien in de onderstaande uitvoer, is de voorbeeldtaak aangemaakt met de naam Phish1_Preview, en de taak wordt automatisch gestart.
En wanneer het maken van het voorbeeld is voltooid, kun je de voorbeeldresultaten krijgen door de onderstaande opdracht uit te voeren om de resultaten op het scherm weer te geven.
En zodra je de bovenstaande opdracht hebt uitgevoerd, krijg je een vergelijkbare uitvoer als de afbeelding hieronder weergegeven.
Laten we toegeven, de resultaten, zoals hierboven getoond, zijn niet erg mooi. Je kunt de resultaten echter exporteren naar een TXT-bestand als je dat wilt. Of, als je een beter opgemaakt rapport wilt, kun je het inhoudszoekopdrachtrapport downloaden vanuit het Security and Compliance Center portaal.
Let op: De Voorbeeldactie onthult niet de inhoud van de berichten. Het toont alleen de details van het bericht dat overeenkomt met de zoekcriteria en niet wat er in elk bericht zit.
Verwijder e-mail uit alle postvakken in Office 365
En nu voor de laatste stap; voer de Office 365 actie voor het verwijderen van e-mail uit. Stel dat je al tevreden bent met de zoekresultaten. Je bent nu klaar om het berichtenverwijderingsproces uit te voeren.
Om de berichten die overeenkomen met de zoekcriteria te verwijderen, moet je een opruimtaak maken met behulp van de New-ComplianceSearchAction cmdlet met de -Purge schakelaar en de -PurgeType parameter.
De code om de opruimtaak te maken, wordt hieronder weergegeven. Kopieer de code en plak deze in PowerShell om het uit te voeren.
Merk op dat de -PurgeType SoftDelete parameter/waarde de berichten zou verwijderen en ze in de map Verwijderingen binnen de map Herstelbare items in het postvak zou plaatsen. Dit betekent dat het bericht nog steeds herstelbaar zou zijn indien nodig.
Na het uitvoeren van de bovenstaande code wordt de opruimtaak gemaakt en gestart.
Zoals je kunt zien op de onderstaande afbeelding, wordt de opruimtaak gemaakt met de naam Phish1_Purge, en deze wordt automatisch gestart.
Wanneer de opruiming is voltooid, kun je het eindresultaat bekijken met de onderstaande opdracht.
Je krijgt een vergelijkbare uitvoer te zien, zoals hieronder weergegeven. In dit voorbeeld werden 16 berichten verwijderd en geen ervan mislukte.
En dat is het. Je hebt met succes de spam/phishing-berichten uit alle Office 365-postvakken verwijderd.
Conclusie
In dit artikel heb je geleerd hoe je de Security and Compliance PowerShell cmdlets kunt gebruiken om berichten te zoeken en verwijderen uit alle postvakken in Office 365.
Je hebt geleerd hoe je de details van het bericht kunt samenvoegen om de zoekcriteria te verfijnen. Het verfijnen van de zoekcriteria helpt ervoor te zorgen dat de resultaten zo nauwkeurig mogelijk zijn.
Je hebt ook geleerd hoe je content zoekopdrachten kunt maken en starten, een voorbeeld van de resultaten kunt maken, en uiteindelijk de berichten die aan de zoekcriteria voldoen kunt verwijderen. Misschien is het beste van dit alles dat je PowerShell nooit hebt hoeven verlaten om deze taken uit te voeren!
Met de kennis die je hebt opgedaan uit dit artikel, kun je misschien het hele zoek- en verwijderproces automatiseren zodat zelfs je eerstelijnsagenten het gemakkelijk kunnen uitvoeren. Misschien hoef je dan niet meer gewekt te worden uit je broodnodige slaap.
Verder lezen
Source:
https://adamtheautomator.com/office-365-delete-email/