Não é segredo que as soluções de higiene de e-mail não são 100% eficazes. Mensagens maliciosas ainda conseguem passar despercebidas de tempos em tempos. Nessas ocasiões, você precisa saber como encontrar e excluir e-mails de todas as caixas de correio no Office 365.
Se você é um administrador do Office 365, estará familiarizado com a situação descrita acima. Ataques de spam ou phishing são considerados como incidentes críticos de segurança. Não é preciso dizer que os administradores de e-mail devem agir rapidamente para minimizar a ameaça potencial aos usuários e à infraestrutura.
Você pode clicar no portal de Segurança e Conformidade do Office 365 para executar uma pesquisa de conteúdo, mas, para excluir esses conteúdos, você precisa usar o PowerShell. Então, se você vai acabar usando o PowerShell de qualquer maneira, por que não fazer tudo no PowerShell, certo?
Neste artigo, você aprenderá como usar os cmdlets do PowerShell de Segurança e Conformidade para pesquisar e excluir mensagens maliciosas de todas as caixas de correio do Office 365.
Requisitos
Como este artigo é essencialmente um guia de “Como fazer”, existem alguns requisitos se você planeja acompanhar.
- Sua conta de administrador deve ter permissões suficientes do Office 365 para pesquisar caixas de correio e excluir mensagens.
– Permissão necessária para pesquisar caixas de correio: A conta deve ser membro do grupo de função eDiscovery Manager ou ter atribuída a função de gerenciamento Compliance Search.
– Permissão necessária para excluir mensagens: A conta deve ser membro do grupo de função Organization Management ou ter atribuída a função de gerenciamento Search And Purge.
– Permissão necessária para visualizar mensagens: A conta deve ser membro do grupo de função eDiscovery Manager ou ter atribuída a função de gerenciamento Preview. - O PowerShell deve estar conectado ao Office 365 Security & Compliance Center PowerShell. Siga este link para conectar sem MFA, ou este link para conectar com MFA.
Coletando informações sobre a mensagem a ser excluída
Antes de começar a criar o conteúdo de pesquisa para a mensagem que precisa ser excluída, você deve reunir todas as informações pertinentes sobre a mensagem primeiro. A menos que todas as informações já tenham sido fornecidas a você.
Saber o máximo de detalhes possível sobre a mensagem ajudaria você a decidir como formular a consulta de pesquisa. Por exemplo, algumas das informações mais básicas que você precisa obter são:
- Qual é o endereço de e-mail do remetente?
- Qual é o assunto da mensagem?
- Existem anexos de arquivo, e quais são os nomes dos arquivos?
- Qual é a data da primeira ocorrência relatada?
- Quem são os destinatários?
Na maioria dos casos, uma ou duas das informações listadas acima devem ser suficientes para formular uma consulta de pesquisa. Em seguida, cabe a você determinar qual desses parâmetros de pesquisa seria mais aplicável.
Criando e Executando a Pesquisa de Conteúdo de Email do Office 365
Quando você estiver satisfeito por ter todas as informações de que precisa sobre a mensagem, é hora de iniciar PowerShell e começar a criar a pesquisa de conteúdo.
Suponha que a mensagem de spam/phishing a ser excluída tenha as seguintes propriedades:
- Assunto: Você deve mudar a senha do seu banco agora
- Enviado: 05/12/2020
Usando o New-ComplianceSearch, as propriedades de mensagem listadas acima serão usadas para criar uma consulta de pesquisa. A chave para manter os resultados da pesquisa o mais precisos possível depende dos critérios de pesquisa adequadamente formulados.
O cmdlet New-ComplianceSearch vem com vários parâmetros e switches. No entanto, para criar uma pesquisa de conteúdo de caixa de correio, estes são os parâmetros que serão utilizados.
Nome– Aceita o nome que será atribuído ao objeto de pesquisa de conteúdo. Este pode ser qualquer nome, você não precisa pensar muito sobre isso.ExchangeLocation– Aceita a localização do Exchange que será alvo da pesquisa. Isso pode ser um grupo ou uma caixa de correio. Neste artigo, o valor a ser utilizado é All para garantir que todas as caixas de correio sejam alvo da pesquisa.ContentMatchQuery– Este parâmetro é o principal fator que determinará a precisão dos resultados da pesquisa. O formato de consulta aceito é na forma de um KQL ou Keyword Query Language.
Para criar a pesquisa de conteúdo, copie o código abaixo e cole-o na sua console do PowerShell. Certifique-se de alterar os valores dos parâmetros conforme apropriado para a sua situação. Neste exemplo, o nome da pesquisa é Phish1, a consulta combina os valores de assunto e enviados.
Visite a página de Consultas de palavras-chave e condições de pesquisa de conteúdo para saber mais sobre o uso de palavras-chave na pesquisa de conteúdo.
Ao executar o código acima no PowerShell, você deverá ver uma saída semelhante à demonstrada abaixo.
Neste ponto, o trabalho de pesquisa de conteúdo foi criado, mas a pesquisa ainda não foi iniciada, de acordo com o status (Não Iniciada).
Para iniciar a pesquisa de conteúdo, use o cmdlet Start-ComplianceSearch. Você precisa fornecer ao cmdlet o parâmetro -Identity e especificar o nome do trabalho de pesquisa de conteúdo que você criou.
Para iniciar a pesquisa de conteúdo do email do Office 365, copie o código abaixo e cole-o no seu console do PowerShell.
Depois de executar o código acima, não haverá saída na tela. O que você precisa fazer em seguida é monitorar o status da pesquisa. Para monitorar o status da pesquisa, use o código abaixo no PowerShell.
Ao executar o código acima, você deverá ver uma saída semelhante à abaixo. Na saída abaixo, mostra que o status do trabalho de pesquisa de conteúdo é Concluído.
Você notará na saída acima que as propriedades retornadas são limitadas e não mostram o número de correspondências encontradas. Você pode executar o comando abaixo para obter todas as propriedades do resultado da pesquisa de conteúdo.
Depois de executar o comando acima, você verá um resultado semelhante, como mostrado abaixo. Neste caso, há 16 itens que correspondem aos critérios de pesquisa.
Visualização dos Resultados da Pesquisa (Opcional)
Visualizar os resultados da pesquisa é uma etapa opcional, mas recomendada se você for do tipo que prefere agir com cautela. Você não gostaria de excluir a mensagem errada de todas as caixas de correio, não é mesmo?
Até agora, você usou os cmdlets New-ComplianceSearch, Start-ComplianceSearch e Get-ComplianceSearch para criar, executar e monitorar a pesquisa de conteúdo. Agora, para poder visualizar os resultados da pesquisa, você precisará usar o cmdlet New-ComplianceSearchAction.
Para visualizar os resultados da pesquisa, agora você precisa criar uma ação de visualização usando o comando abaixo.
Como você pode ver na saída abaixo, o trabalho de visualização foi criado com o nome Phish1_Preview, e o trabalho é iniciado automaticamente.
E quando a criação da visualização estiver concluída, você pode obter a visualização dos resultados executando o comando abaixo para mostrar os resultados na tela.
E uma vez que você execute o comando acima, você obterá uma saída semelhante à imagem mostrada abaixo.
Vamos admitir, os resultados, como mostrado acima, são feios. No entanto, você pode exportar os resultados para um TXT se preferir. Ou, se desejar um relatório com formatação melhor, você pode baixar o relatório de pesquisa de conteúdo do Centro de Segurança e Conformidade portal.
Nota: A ação de visualização não expõe o conteúdo das mensagens. Apenas mostra os detalhes da mensagem que corresponde aos critérios de pesquisa e não o que está dentro de cada mensagem.
Excluir Email de Todas as Caixas de Correio no Office 365
Agora, para o ato final; executando a ação de exclusão de email do Office 365. Suponha que você já esteja satisfeito com os resultados da pesquisa. Você está pronto para iniciar o processo de exclusão de mensagens.
Para excluir as mensagens que correspondem aos critérios de pesquisa, você precisa criar um trabalho de purga usando o cmdlet New-ComplianceSearchAction com o switch -Purge e o parâmetro -PurgeType.
O código para criar o trabalho de purga é mostrado abaixo. Copie o código e cole no PowerShell para executá-lo.
Observe que o parâmetro/valor -PurgeType SoftDelete removeria as mensagens e as colocaria na pasta Deletions dentro da pasta Itens Recuperáveis na caixa de correio. Isso significa que a mensagem ainda seria recuperável, se necessário.
Após executar o código acima, o trabalho de purga será criado e iniciado.
Como você pode ver na imagem abaixo, o trabalho de purga é criado com o nome Phish1_Purge, e foi iniciado automaticamente.
Quando a purga estiver completa, você pode visualizar o resultado final usando o comando abaixo.
Você será apresentado com uma saída similar, como mostrado abaixo. Neste exemplo, foram excluídas 16 mensagens e nenhuma falhou.
E é isso. Você excluiu com sucesso as mensagens de spam/phishing de todas as caixas de correio do Office 365.
Conclusão
Neste artigo, aprendeu a utilizar os cmdlets do PowerShell de Segurança e Conformidade cmdlets para pesquisar e apagar mensagens de todas as caixas de correio no Office 365.
Aprende a reunir os detalhes da mensagem a ser apagada para refinar os critérios de pesquisa. Refinar os critérios de pesquisa ajuda a garantir que os resultados tenham a maior precisão possível.
Aprende também a criar e iniciar as pesquisas de conteúdo, criar uma pré-visualização dos resultados e, por fim, eliminar as mensagens que correspondem aos critérios de pesquisa. Talvez a melhor parte de tudo isso seja que nunca precisou sair do PowerShell para realizar essas tarefas!
Com o conhecimento adquirido neste artigo, talvez possa automatizar todo o fluxo de trabalho de pesquisa e eliminação, para que até os seus agentes de primeira linha possam executá-lo facilmente. Talvez então, não precise mais ser acordado do seu tão necessário sono.
Leitura Adicional
Source:
https://adamtheautomator.com/office-365-delete-email/