Não é segredo que as soluções de higiene de e-mails não são 100% eficazes. Mensagens maliciosas ainda conseguem passar despercebidas de tempos em tempos. Nessas ocasiões, você precisa saber como encontrar e excluir e-mails de todas as caixas de correio no Office 365.
Se você é um administrador do Office 365, provavelmente está familiarizado com a situação descrita acima. Ataques de spam ou phishing são considerados incidentes de segurança críticos. Não é preciso dizer que os administradores de e-mail devem agir rapidamente para minimizar a ameaça potencial aos usuários e à infraestrutura.
Você pode clicar ao redor no portal de Segurança e Conformidade do Office 365 para executar uma pesquisa de conteúdo, mas, para excluir esses conteúdos, você precisa usar o PowerShell. Então, se você vai acabar usando o PowerShell de qualquer maneira, por que não fazer tudo no PowerShell, certo?
Neste artigo, você aprenderá como usar os cmdlets do PowerShell de Segurança e Conformidade para pesquisar e excluir mensagens maliciosas de todas as caixas de correio do Office 365.
Requisitos
Já que este artigo é essencialmente um guia prático, existem alguns requisitos se você planeja acompanhar.
- Sua conta de administrador deve ter permissões suficientes do Office 365 para pesquisar caixas de correio e excluir mensagens.
– Permissão necessária para pesquisar caixas de correio: A conta deve ser membro do grupo de funções do Gerente de eDiscovery ou ter a função de gerenciamento de Pesquisa de Conformidade atribuída.
– Permissão necessária para excluir mensagens: A conta deve ser membro do grupo de funções de Gestão da Organização ou ter a função de gerenciamento de Pesquisa e Purga atribuída.
– Permissão necessária para visualizar mensagens: A conta deve ser membro do grupo de funções do Gerente de eDiscovery ou ter a função de gerenciamento de Visualização atribuída. - O PowerShell deve estar conectado ao PowerShell do Centro de Conformidade e Segurança do Office 365. Siga este link para conectar sem MFA, ou este link para conectar com MFA.
Coletando informações sobre a mensagem a ser excluída
Antes de começar a criar o conteúdo da busca pela mensagem que precisa ser excluída, é necessário reunir todas as informações pertinentes sobre a mensagem primeiro. A menos que todas as informações já tenham sido fornecidas a você.
Ter o máximo de detalhes possível sobre a mensagem ajudaria a decidir como formular a consulta de busca. Por exemplo, algumas das informações mais básicas que você precisa obter são:
- Qual é o endereço de e-mail do remetente?
- Qual é o assunto da mensagem?
- Há anexos de arquivo e quais são os nomes dos arquivos?
- Qual é a data da primeira ocorrência relatada?
- Quem são os destinatários?
Na maioria dos casos, uma ou duas das informações listadas acima devem ser suficientes para formular uma consulta de busca. Em seguida, cabe a você determinar qual desses parâmetros de busca seria mais aplicável.
Criando e Executando a Busca de Conteúdo de Email no Office 365
Quando você estiver satisfeito de que tem todas as informações de que precisa sobre a mensagem, é hora de iniciar o PowerShell e começar a criar a busca de conteúdo.
Suponha que a mensagem de spam/phishing a ser excluída tenha as seguintes propriedades:
- Assunto: Você deve alterar a senha do seu banco agora
- Enviado: 05/12/2020
Usando o New-ComplianceSearch, as propriedades da mensagem listadas acima serão usadas para criar uma consulta de pesquisa. A chave para manter os resultados da pesquisa o mais precisos possível depende dos critérios de pesquisa adequadamente formulados.
O cmdlet New-ComplianceSearch vem com vários parâmetros e switches. No entanto, para criar uma pesquisa de conteúdo de caixa de correio, estes são os parâmetros que serão usados.
Name– Isso aceita o nome que será atribuído ao objeto de pesquisa de conteúdo. Isso pode ser qualquer nome, você não precisa pensar muito sobre isso.ExchangeLocation– Isso aceita a localização do Exchange que será alvo da pesquisa. Isso pode ser um grupo ou uma caixa de correio. Neste artigo, o valor a ser usado é All para garantir que todas as caixas de correio sejam alvo da pesquisa.ContentMatchQuery– Este parâmetro é o principal fator que determinará a precisão dos resultados da pesquisa. O formato da consulta aceito é na forma de uma KQL ou Keyword Query Language.
Para criar a pesquisa de conteúdo, copie o código abaixo e cole-o em seu console do PowerShell. Certifique-se de alterar os valores dos parâmetros conforme apropriado para sua situação. Neste exemplo, o nome da pesquisa é Phish1, a consulta combina os valores de assunto e propriedade enviada.
Visite a página de Consultas de palavras-chave e condições de busca de conteúdo para saber mais sobre o uso de palavras-chave na busca de conteúdo.
Ao executar o código acima no PowerShell, você deverá ver uma saída semelhante à demonstrada abaixo.
Neste ponto, o trabalho de busca de conteúdo foi criado, mas a busca ainda não foi iniciada de acordo com o status (Não iniciado).
Para iniciar a busca de conteúdo, use o cmdlet Start-ComplianceSearch. Você precisa fornecer o cmdlet com o parâmetro -Identity e especificar o nome do trabalho de busca de conteúdo que você criou.
Para iniciar a busca de conteúdo de e-mail do Office 365, copie o código abaixo e cole-o em seu console do PowerShell.
Depois de executar o código acima, não haverá saída na tela. O que você precisa fazer em seguida é monitorar o status da busca. Para monitorar o status da busca, use o código abaixo no PowerShell.
Ao executar o código acima, você deverá ver uma saída semelhante à abaixo. Na saída abaixo, mostra que o status do trabalho de busca de conteúdo é Concluído.
Você notará a partir da saída acima que as propriedades retornadas são limitadas e não mostram o número de correspondências encontradas. Você pode executar o comando abaixo para obter todas as propriedades do resultado da busca de conteúdo.
Depois de executar o comando acima, você verá um resultado semelhante, conforme mostrado abaixo. Neste caso, existem 16 itens que correspondem aos critérios de busca.
Pré-visualização dos Resultados da Busca (Opcional)
Pré-visualizar os resultados da busca é uma etapa opcional, mas recomendada se você prefere agir com cautela. Afinal, você não gostaria de excluir a mensagem errada de todas as caixas de correio, certo?
Até agora, você utilizou os cmdlets New-ComplianceSearch, Start-ComplianceSearch e Get-ComplianceSearch para criar, executar e monitorar a busca de conteúdo. Agora, para poder pré-visualizar os resultados da busca, será necessário utilizar o cmdlet New-ComplianceSearchAction.
Para pré-visualizar os resultados da busca, você precisa criar uma ação de pré-visualização usando o comando abaixo.
Como pode ser visto na saída abaixo, o trabalho de pré-visualização foi criado com o nome Phish1_Preview, e o trabalho é iniciado automaticamente.
E quando a criação da pré-visualização estiver concluída, você pode obter a pré-visualização dos resultados executando o comando abaixo para exibir os resultados na tela.
E ao executar o comando acima, você obterá uma saída semelhante à imagem mostrada abaixo.
Vamos admitir, os resultados, como mostrado acima, são feios. No entanto, você pode exportar os resultados para um arquivo TXT, se preferir. Ou, se desejar um relatório com formatação melhor, você pode baixar o relatório da busca de conteúdo no Centro de Segurança e Conformidade.
Observação: A ação de visualização não expõe o conteúdo das mensagens. Ela apenas mostra os detalhes da mensagem que corresponde aos critérios de pesquisa e não o que está dentro de cada mensagem.
Excluir Email de Todas as Caixas de Correio no Office 365
Agora para o ato final; executando a ação de exclusão de email do Office 365. Suponha que você já esteja satisfeito com os resultados da pesquisa. Você está pronto para iniciar o processo de exclusão de mensagens.
Para excluir as mensagens que corresponderam aos critérios de pesquisa, você precisa criar um trabalho de purga usando o cmdlet New-ComplianceSearchAction com o switch -Purge e o parâmetro -PurgeType.
O código para criar o trabalho de purga é mostrado abaixo. Copie o código e cole no PowerShell para executá-lo.
Observe que o parâmetro/valor -PurgeType SoftDelete removeria as mensagens e as colocaria na pasta Exclusões dentro da pasta Itens Recuperáveis na caixa de correio. Isso significa que a mensagem ainda seria recuperável se necessário.
Após executar o código acima, o trabalho de purga será criado e iniciado.
Como você pode ver na imagem abaixo, o trabalho de purga é criado com o nome Phish1_Purge, e ele é iniciado automaticamente.
Quando a purga estiver completa, você pode visualizar o resultado final usando o comando abaixo.
Você será apresentado com uma saída semelhante, como mostrado abaixo. Neste exemplo, foram excluídas 16 mensagens e nenhuma falhou.
E é isso. Você excluiu com sucesso as mensagens de spam/phishing de todas as caixas de correio do Office 365.
Conclusão
Neste artigo, você aprendeu como usar os cmdlets do PowerShell de Segurança e Conformidade para pesquisar e excluir mensagens de todas as caixas de correio no Office 365.
Você aprendeu como reunir os detalhes da mensagem a ser excluída para refinar os critérios de pesquisa. Refinar os critérios de pesquisa ajuda a garantir que os resultados sejam de máxima precisão.
Você também aprendeu como criar e iniciar as pesquisas de conteúdo, criar uma visualização dos resultados e, por fim, purgar as mensagens que correspondiam aos critérios de pesquisa. Talvez a melhor coisa de tudo isso seja que você nunca precisou sair do PowerShell para realizar essas tarefas!
Com o conhecimento adquirido neste artigo, talvez você possa automatizar todo o fluxo de trabalho de pesquisa e exclusão para que até seus agentes de primeira linha possam executá-lo facilmente. Talvez então, você não precise mais ser acordado do seu tão necessário sono.
Leitura adicional
Source:
https://adamtheautomator.com/office-365-delete-email/