Нет секрета, что решения по обеспечению почтовой гигиены не являются 100% эффективными. Злонамеренные сообщения время от времени все же проникают незамеченными. В таких случаях необходимо знать, как найти и удалить электронную почту из всех почтовых ящиков в Office 365.
Если вы являетесь администратором Office 365, вам, вероятно, знакома описанная выше ситуация. Спам или фишинговые атаки рассматриваются как критические случаи безопасности. Само собой разумеется, что администраторы электронной почты должны быстро действовать, чтобы минимизировать потенциальную угрозу для пользователей и инфраструктуры.
Вы можете щелкнуть по пунктам в портале Office 365 Security and Compliance для запуска поиска контента, но для удаления этих контентов вам потребуется использовать PowerShell. Так что, если вы все равно собираетесь использовать PowerShell, почему бы не делать все с помощью PowerShell, не так ли?
В этой статье вы узнаете, как использовать командлеты PowerShell для безопасности и соответствия для поиска и удаления вредоносных сообщений из всех почтовых ящиков Office 365.
Требования
Поскольку данная статья является практическим руководством, у нее есть некоторые требования, если вы планируете следовать ей.
- Вашей учетной записи администратора должно быть предоставлено достаточно разрешений Office 365 для поиска почтовых ящиков и удаления сообщений.
– Необходимые разрешения для поиска почтовых ящиков: Учетная запись должна быть членом группы ролей Менеджер поиска электронных данных или иметь назначенную роль управления Поиск соответствия.
– Необходимые разрешения для удаления сообщений: Учетная запись должна быть членом группы ролей Управление организацией или иметь назначенную роль управления Поиск и удаление
– Необходимые разрешения для предварительного просмотра сообщений: Учетная запись должна быть членом группы ролей Менеджер поиска электронных данных или иметь назначенную роль управления Предварительный просмотр - Необходимо подключить PowerShell к Office 365 Центру безопасности и соответствия PowerShell. Чтобы узнать, как подключиться без использования MFA, перейдите по этой ссылке, или по этой ссылке, чтобы подключиться с использованием MFA.
Сбор информации о сообщении для удаления
Перед тем, как начать создавать контент для поиска сообщения, которое нужно удалить, сначала необходимо собрать всю необходимую информацию о сообщении. Если все данные уже предоставлены вам, то можно пропустить этот шаг.
Знание максимального количества деталей о сообщении поможет вам определить, как сформулировать поисковый запрос. Например, некоторые из самой основной информации, которую вам нужно получить, включают:
- Какой адрес электронной почты отправителя?
- Какая тема сообщения?
- Есть ли вложенные файлы и какие имена файлов?
- Какова дата первого зарегистрированного случая?
- Кто является получателями?
В большинстве случаев одна или две из приведенных выше информации должны быть достаточными для формулирования поискового запроса. Затем вам нужно определить, какие из этих параметров поиска будут наиболее применимыми.
Создание и выполнение поиска контента электронной почты Office 365
Когда вы убедитесь, что у вас есть все необходимая информация о сообщении, пришло время запустить PowerShell и начать создавать поиск контента.
Предположим, что спам/фишинговое сообщение, которое нужно удалить, имеет следующие свойства:
- Тема: Вы должны изменить свой пароль от банка сейчас
- Отправлено: 05/12/2020
С использованием New-ComplianceSearch будут использованы указанные выше свойства сообщения для создания поискового запроса. Ключом к сохранению наиболее точных результатов поиска является правильно сформулированный критерий поиска.
Команда New-ComplianceSearch поставляется с несколькими параметрами и переключателями. Однако для создания поиска содержимого почтового ящика будут использованы следующие параметры.
Name– В этом параметре указывается имя, которое будет присвоено объекту поиска содержимого. Это может быть любое имя, вам не нужно слишком задумываться над этим.ExchangeLocation– В этом параметре указывается местоположение Exchange, которое будет целью поиска. Это может быть группа или почтовый ящик. В этой статье используйте значение All, чтобы убедиться, что в поиске участвуют все почтовые ящики.ContentMatchQuery– Этот параметр является основным фактором, определяющим точность результатов поиска. Принимается формат запроса в форме KQL или языка запросов по ключевым словам.
Чтобы создать поиск содержимого, скопируйте указанный ниже код и вставьте его в консоль PowerShell. Обязательно измените значения параметров в соответствии с вашей ситуацией. В этом примере имя поиска – Phish1, запрос объединяет значения свойств темы и отправленного сообщения.
Посетите страницу Запросы ключевых слов и условия поиска содержимого, чтобы узнать больше о использовании ключевых слов в поиске содержимого.
При запуске указанного выше кода в PowerShell вы должны увидеть похожий вывод, как показано ниже.
На данный момент задание поиска содержимого создано, но поиск еще не запущен, как указано в статусе (NotStarted).
Для запуска поиска содержимого используйте командлет Start-ComplianceSearch. Вам необходимо передать командлету параметр -Identity и указать имя задания поиска содержимого, которое вы создали.
Чтобы запустить поиск содержимого электронной почты Office 365, скопируйте приведенный ниже код и вставьте его в консоль PowerShell.
После выполнения указанного выше кода на экране не будет вывода. Далее вам нужно будет отслеживать статус поиска. Чтобы отслеживать статус поиска, используйте следующий код в PowerShell.
При выполнении указанного выше кода вы должны увидеть похожий вывод, как показано ниже. В этом выводе показано, что статус задания поиска содержимого – Completed.
Вы заметите из указанного выше вывода, что возвращаемые свойства ограничены и не показывают количество найденных совпадений. Вы можете выполнить следующую команду, чтобы получить все свойства результата поиска содержимого.
После выполнения указанной выше команды вы увидите аналогичный результат, как показано ниже. В данном случае найдено 16 элементов, соответствующих критериям поиска.
Предварительный просмотр результатов поиска (по желанию)
Предварительный просмотр результатов поиска – это необязательный шаг, но рекомендуется для тех, кто предпочитает быть на стороне осторожности. Ведь вы не хотите случайно удалить неправильное сообщение из всех почтовых ящиков, верно?
До сих пор вы использовали командлеты New-ComplianceSearch, Start-ComplianceSearch и Get-ComplianceSearch для создания, запуска и отслеживания поиска контента. Теперь, чтобы иметь возможность просмотреть результаты поиска, вам понадобится использовать командлет New-ComplianceSearchAction.
Чтобы просмотреть результаты поиска, вам нужно создать действие предварительного просмотра с помощью следующей команды.
Как видно из нижеприведенного вывода, задание предварительного просмотра создано с именем Phish1_Preview, и задание автоматически запущено.
После завершения создания предварительного просмотра вы можете получить предварительный просмотр результатов, запустив следующую команду для отображения результатов на экране.
И после выполнения вышеуказанной команды вы получите вывод, аналогичный показанному на изображении ниже.
Давайте признаем, результаты, как показано выше, выглядят некрасиво. Однако вы можете экспортировать результаты в TXT, если предпочитаете. Или, если вы хотите получить отчет в более удобном формате, вы можете скачать отчет о поиске контента из Центра безопасности и соответствия.
Примечание: Действие Предварительный просмотр не отображает содержимое сообщений. Оно только показывает детали сообщения, соответствующие критериям поиска, но не содержимое каждого сообщения.
Удаление электронной почты из всех почтовых ящиков в Office 365
Теперь финальный акт; выполнение действия удаления электронной почты в Office 365. Предположим, что вы уже удовлетворены результатами поиска. Теперь вы готовы запустить процесс удаления сообщений.
Чтобы удалить сообщения, соответствующие критериям поиска, вам нужно создать задание очистки с помощью командлета New-ComplianceSearchAction с ключом -Purge и параметром -PurgeType.
Код для создания задания очистки показан ниже. Скопируйте код и вставьте его в PowerShell для его выполнения.
Обратите внимание, что параметр/значение -PurgeType SoftDelete удалит сообщения и поместит их в папку “Удаления” внутри папки “Восстановимые элементы” в почтовом ящике. Это означает, что сообщение все еще можно будет восстановить при необходимости.
После выполнения приведенного выше кода, задание очистки будет создано и запущено.
Как вы можете видеть на изображении ниже, задание очистки создано с именем Phish1_Purge, и автоматически запущено.
Когда очистка завершится, вы сможете просмотреть окончательный результат с помощью следующей команды.
Вы получите аналогичный вывод, как показано ниже. В этом примере было удалено 16 сообщений, и ни одно не завершилось с ошибкой.
И вот и все. Вы успешно удалили спам/фишинговые сообщения из всех почтовых ящиков Office 365.
Заключение
В этой статье вы узнали, как использовать командлеты PowerShell для безопасности и соответствия для поиска и удаления сообщений из всех почтовых ящиков в Office 365.
Вы узнали, как собрать детали сообщения для удаления для уточнения критериев поиска. Уточнение критериев поиска помогает обеспечить наивысшую точность результатов.
Вы также узнали, как создавать и запускать поиски контента, создавать предварительный просмотр результатов и в конечном итоге удалять сообщения, соответствующие критериям поиска. Возможно, самое лучшее во всем этом заключается в том, что вам не пришлось покидать PowerShell для выполнения этих задач!
С помощью знаний, полученных из этой статьи, возможно, вы сможете автоматизировать весь рабочий процесс поиска и удаления, чтобы даже ваши агенты первой линии могли легко выполнять его. Возможно, тогда вам больше не придется просыпаться от так нужного вам сна.
Дополнительная информация
Source:
https://adamtheautomator.com/office-365-delete-email/