1.1K
¿Sus usuarios recibieron una ráfaga de phishing o spam? Debe actuar rápidamente y evitar que los usuarios lean o hagan clic en los enlaces de esos correos electrónicos para evitar posibles daños que estos correos electrónicos pueden causar a su organización.
Una forma de abordar esta situación es realizar una búsqueda de contenido en Office 365. La búsqueda de contenido de Office 365 rastrea todos los buzones o todos los buzones y busca los mensajes que coincidan con su parámetro de búsqueda. Por lo general, usar la línea de asunto del correo electrónico es un buen punto de partida.
Estén atentos y exploraremos cómo buscar y destruir de manera efectiva esos correos electrónicos usando la búsqueda de contenido de Office 365.
Requisitos
- Su cuenta de administrador de Office 365 debe tener los siguientes permisos o funciones:
- El módulo Exchange Online Management v2 o v3 está instalado en su computadora.
Paso 1: Reúna la información del correo electrónico
Antes de ejecutar una búsqueda, debe conocer los parámetros de la búsqueda. Y para obtener esos detalles, una copia del correo electrónico sería la mejor manera. Por ejemplo, la siguiente imagen muestra un ejemplo de un correo electrónico de phishing.
De acuerdo con el correo electrónico de muestra, podemos recopilar la siguiente información.
- Fecha de correo electrónico
- Asunto del email
- Dirección del remitente
- Direcciones de destinatarios
En realidad, puede usar cada parte de un correo electrónico para crear un parámetro de búsqueda, incluidos los encabezados y el cuerpo del mensaje. Pero en la mayoría de los casos, la información anterior sería suficiente.
Nota. Consulte nuestra solución para el error No se puede abrir el correo electrónico cifrado en Office 365.
Paso 2: crear una búsqueda de contenido de Office 365
Ahora que tiene la información de la muestra de correo electrónico, es hora de formular y ejecutar la consulta de búsqueda.
Pero primero, conectémonos al PowerShell de seguridad y cumplimiento.
Connect-IPPSSession -UserPrincipalName <user principal name>
De acuerdo con los datos del correo electrónico, podemos usar los siguientes ejemplos de palabras clave de búsqueda de contenido de Office 365.
- Sujeto: [IMPORTANT] ¡Debe cambiar su contraseña de banca en línea ahora!
- Fecha: 25 de enero de 2023
El cmdlet que usaremos para ejecutar la búsqueda de contenido es Nueva búsqueda de cumplimiento. En este ejemplo, usaremos tres parámetros para crear los parámetros de búsqueda.
- Nombre — Este será el nombre de la búsqueda de contenido. Puede ser cualquier nombre, pero debe asegurarse de que sea identificable.
- IntercambioUbicación — Este parámetro acepta la identidad de los buzones o grupos de intercambio. Para asegurarnos de cubrir todos los buzones, especificaremos Todo.
- Consulta de coincidencia de contenido — Este parámetro es donde definirá la consulta de búsqueda. La consulta sigue el Sintaxis del lenguaje de consulta de palabras clave (KQL).
Para poner todo esto junto, aquí está el comando resultante:
Nota. El formato de fecha sigue la notación MM/DD/YYYY.
New-ComplianceSearch ` -Name phish001 ` -ExchangeLocation All ` -ContentMatchQuery 'subject:"[IMPORTANT] You must change your online banking password now!" AND sent:01/25/2023'
Después de ejecutar el comando anterior, verá un resultado similar que muestra el estado de búsqueda de contenido. De forma predeterminada, la búsqueda no se ejecuta automáticamente.
Nota. Obtenga información sobre cómo habilitar el uso compartido externo de Office 365.
Para iniciar la búsqueda, ejecute este comando.
Start-ComplianceSearch -Identity phish001
A continuación, controle si la búsqueda de contenido de Office 365 ha terminado de ejecutarse. Para hacerlo, ejecute este comando. Dependiendo de la cantidad de buzones, la operación de búsqueda podría demorar varios minutos u horas.
Get-ComplianceSearch -Identity phish001
El siguiente resultado muestra que la búsqueda de contenido de Office 365 se ha completado.
Para obtener la cantidad de elementos encontrados, ejecute este comando.
Get-ComplianceSearch -Identity phish001 | Select-Object Items,Size
Puede ver cuántos correos electrónicos coincidieron con la consulta de búsqueda y el tamaño total.
Paso 3: Obtenga una vista previa de los resultados de la búsqueda de contenido de Office 365
Nota. Este paso es opcional y se puede omitir si no está interesado en obtener una vista previa de los resultados de la búsqueda.
Antes de eliminar los correos electrónicos que coinciden con la consulta de búsqueda, es una buena práctica obtener primero una vista previa de los resultados. De esta manera, puede estar seguro de que los resultados son precisos y eliminará los mensajes correctos.
Para obtener una vista previa del resultado, crearemos una nueva acción de búsqueda de cumplimiento para generar una vista previa.
New-ComplianceSearchAction -SearchName phish001 -Preview
El comando anterior asigna automáticamente un nombre a la acción de búsqueda. El valor predeterminado es
Ahora, veamos si se ha generado la vista previa.
Get-ComplianceSearchAction -Identity phish001_Preview
De acuerdo con la siguiente captura de pantalla, la vista previa ahora está completa.
Entonces, ¿cómo vemos la vista previa de los resultados? Podemos ejecutar el mismo comando que el anterior pero devolver solo el Resultados propiedad.
(Get-ComplianceSearchAction phish001_Preview).results
Como puede ver a continuación, la salida es difícil de leer. Desafortunadamente, no hay una forma integrada de manipular este formato de vista previa para que sea más comprensible.
Nota. Aprenda a configurar hMailServer.
Lo que podemos hacer es una solución rápida y sucia haciendo algunas operaciones de división y reemplazo de cadenas de PowerShell.
(Get-ComplianceSearchAction phish001_Preview).results ` -replace '{', '' -replace '}', '' -replace '; ',';' -split ',' | ` ForEach-Object { $_ -replace ';', "`n" }
Y la vista previa ahora es mejor.
Paso 4: eliminar mensajes de los resultados de búsqueda de contenido de Office 365
Una vez que esté satisfecho con el resultado de la búsqueda de contenido de Office 365, es hora de emitir una acción para purgar estos correos electrónicos.
Para hacer eso, crearemos otra acción de búsqueda de cumplimiento usando el Purga y Tipo de purga parámetros El Purga El parámetro indica que la acción es purgar el mensaje.
El parámetro PurgeType acepta dos valores posibles:
- Eliminación suave — Los usuarios aún podrán recuperar los elementos purgados (va a la carpeta de elementos recuperables).
- Borrar duro — Los elementos purgados se marcarán para su eliminación permanente. La eliminación real ocurre durante la siguiente ejecución del Asistente de carpeta administrada.
El tipo de purga que elija es totalmente su decisión. En este ejemplo, usemos Eliminación suave para estar seguros.
New-ComplianceSearchAction -SearchName phish001 -Purge -PurgeType SoftDelete
Y ejecute el siguiente comando para monitorear y confirmar que la operación de purga se ha completado.
Limitaciones de la Purga
Estas son las limitaciones documentadas de la purga de elementos mediante la búsqueda de contenido de Office 365.
- Solo se pueden purgar 10 elementos por buzón a la vez. Si más de 10 elementos en el buzón coinciden con el resultado, debe ejecutar varias operaciones de purga hasta que se eliminen todos los elementos.
- Una sola operación de purga de búsqueda de contenido solo puede eliminar elementos de 50 000 buzones simultáneamente. Si hay más de 50 000 buzones afectados, deberá ejecutar varias búsquedas de contenido de Office 365 para cubrirlos.
Conclusión
A pesar de sus limitaciones, la búsqueda de contenido es una forma eficaz y rápida en Office 365 de eliminar el correo electrónico de todos los buzones. Solo tenga cuidado al formular la consulta de búsqueda para asegurarse de no eliminar los correos electrónicos incorrectos, especialmente cuando realiza una eliminación definitiva.