当威胁判决变为恶意时, 对传递给最终用户的邮件执行补救措施
文件在任何时候都可以变成恶意的, 即使它已经到达用户的邮箱。AMP 可以识别这一点, 新的信息涌现, 并推动追溯警报到您的装置。有了这个版本, 你得到的不仅仅是警报。如果您的组织使用 Office 365 管理邮箱, 则可以将设备配置为在威胁判决更改时对用户邮箱中的邮件执行自动补救操作。例如, 当附件的判决从 "清除" 更改为 "恶意" 时, 您可以将设备配置为从收件人邮箱中删除邮件。
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
本章包含以下部分:
文件在任何时候都可以变成恶意的, 即使它已经到达用户的邮箱。AMP 可以识别这一点, 新的信息涌现, 并推动追溯警报到您的装置。有了这个版本, 你得到的不仅仅是警报。如果您的组织使用 Office 365 管理邮箱, 则可以将设备配置为在威胁判决更改时对用户邮箱中的邮件执行自动补救操作。例如, 当附件的判决从 "清除" 更改为 "恶意" 时, 您可以将设备配置为从收件人邮箱中删除邮件。
相应操作 |
更多信息 |
|
---|---|---|
第 1 步 |
查看先决条件。 |
|
第 2 步 |
将邮件安全设备注册为 Azure AD(Azure 管理门户)上的应用。 |
|
第 3 步 |
在设备上配置 Office 365 邮箱设置。 |
|
第 4 步 |
将您的设备配置为在威胁判定变为恶意时,对传递给最终用户的邮件执行补救操作。 |
确保您已:
请确保您拥有将设备注册到 Azure AD 所需的以下账户:
有关详情,请联系您的 Office 365 管理员。
若要确保 Office 365 服务与设备之间的通信安全,必须以下列方式之一设置证书:创建自签名证书或从受信任的 CA 获取证书。
您必须具有:
注 |
此版本不支持带密码的私钥。 |
Office 365 服务使用 Azure Active Directory (Azure AD) 提供对用户邮箱的安全访问。要使您的设备能够访问 Office 365 邮箱,您必须使用 Azure AD 注册您的设备。以下是使用 Azure AD 注册设备需要执行的概要步骤。有关详细说明,请参阅 Microsoft 文档(https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-register-app)。
准备工作
执行 前提条件 中描述的任务。
步骤 1 |
使用 Office 365 业务账户凭证登录到 Azure 管理门户。 |
步骤 2 |
将新应用添加到链接到 Office 365 订用的目录中。 |
步骤 3 |
导航至应用注册 > 新注册以添加新应用。 |
步骤 4 |
添加新应用时,请确保:
|
步骤 5 |
分配应用所需的权限。单击导航窗格上的 API 权限,然后单击添加权限。
|
步骤 6 |
授予管理员同意组织中所有帐户请求的所有权限。 |
步骤 7 |
通过使用公钥证书中的密钥凭证更新应用清单,确保 Office 365 服务与设备之间的通信安全。执行以下步骤: 示例: 在上面的 JSON 代码片段中,确保用步骤 a 中获得的值替换 |
步骤 8 |
在使用 Azure AD 注册您的设备后,请通过注册应用的“概述”窗格记下 Azure 管理门户中的以下详细信息:
在这种情况下,租户 ID 为 abcd1234-bcdd-469d-8545-a0662708cbc3。 |
准备工作
确保:
步骤 1 |
登录到设备。 |
步骤 2 |
依次单击系统管理 > 邮箱设置。 |
步骤 3 |
单击启用。 |
步骤 4 |
选择启用 Office 365 邮箱设置。 |
步骤 5 |
输入下列详细信息:
|
步骤 6 |
上传证书的私钥。单击选择文件,然后选择 .pem 文件。 |
步骤 7 |
提交并确认更改。 |
步骤 8 |
验证设备是否能够连接到 Office 365 服务。
弹出窗口将显示您的设备是否能够连接到 Office 365 服务。如果连接失败,请验证:
|
准备工作
请确保已启用邮箱自动补救并在设备上配置帐户设置。请参阅在思科邮件安全设备上配置 Office 365 邮箱设置。
步骤 1 |
选择邮件策略 > 传入邮件策略。 |
||
步骤 2 |
单击邮件策略的高级恶意软件防护列中的链接进行修改。 |
||
步骤 3 |
选择启用邮箱自动补救。 |
||
步骤 4 |
指定当威胁判定更改为恶意时,对发送给最终用户的邮件将执行的操作。根据您的要求,选择下列补救操作之一:
|
||
步骤 5 |
提交并确认更改。 |
相关主题
您可以使用邮箱自动补救报告页面(监控 > 邮箱自动补救)查看邮箱补救结果的详细信息。使用此报告可以查看详细信息,如:
在以下情景中,对其邮箱执行的补救操作不成功的收件人字段会更新:
收件人不是有效的 Office 365 用户,或者收件人不属于您的设备上配置的 Office 365 域账户。
包含附件的邮件在邮箱中不再可用,例如,最终用户删除了邮件。
当设备尝试执行配置的补救操作时,您的设备与 Office 365 服务之间存在连接问题。
单击 SHA-256 散列可查看邮件跟踪中的相关邮件。
要在邮件跟踪中显示邮箱修复详细信息,
有关所显示数据的详细信息,请参阅邮件跟踪详细信息。
问题
尝试在“邮箱设置”页面(系统管理 > 邮箱设置帐户设置)上检查设备与收件人邮箱之间的连接时,您会收到一条错误消息:连接不成功
。
解决方案
根据服务器的响应,执行以下操作之一:
错误消息 |
原因和解决方案 |
---|---|
|
输入的邮件地址不属关联的邮件域。 请输入有效的邮件地址,然后再次检查连接。 |
|
输入的客户端 ID 无效。 修改 "帐户配置文件" 页面上的“客户端 ID”,然后再次检查连接。 |
|
输入的租户 ID 无效。 修改“邮箱设置”页上的租户 ID,然后再次检查连接。 |
|
输入的证书指纹无效。 修改“邮箱设置”页面上的证书指纹,然后再次检查连接。 |
|
输入了错误的证书指纹,或者上传了无效或不正确的证书私钥。 核实:
|
请求的用户 <电子邮件地址> 无效 |
输入的电子邮件地址不正确或与邮箱设置不匹配。请输入有效的电子邮件地址或修改邮箱设置,然后再次检查连接。 |
邮箱补救信息发布到下列日志:
邮件日志 (mail_logs)。邮箱补救过程启动的时间发布到此日志。
问题
您收到一个信息级别警报,指示设备和 Office 365 服务之间存在连接问题,而设备无法执行配置的修复操作。
解决方案
执行以下操作:
问题
从 AMP 服务器收到追溯警报后,没有对 Office 365 邮箱中的恶意邮件执行配置的补救操作。
解决方案
执行以下操作: