Coming soon to Microsoft Defender XDR: We will enhance email remediation capabilities with new Sender’s copy clean-up features in Threat Explorer, email entity, Summary Panel, and Advanced hunting. These new features will streamline the process of managing Sent items, particularly for admins who use Soft delete and Move to inbox actions.

Key Features

• Integration with Soft delete: Sender’s copy clean-up will be incorporated as part of the Soft delete action.
• Wide support: This action will be supported across various Defender XDR platforms including Threat Explorer, Take Action wizard from the email entity, Summary Panel, Advanced hunting, and through Microsoft Graph API.
• Undo capability: An undo action will be available, allowing you to reverse the clean-up by moving items back to the Sent folder.

Note: Sender’s copy clean-up will apply to intra-organization emails and outbound emails, ensuring that only the sender’s copy is soft deleted for these emails and inbound messages are out of scope.

[When this will happen:]

General Availability (Worldwide): We will begin rolling out end of May 2024 and expect to complete by late July 2024.

[How this will affect your organization:]

Before this rollout, admins did not have a way to remove harmful emails from a sender’s Sent items.

After rollout: This step-by-step scenario explains the functionality of Sender’s copy clean-up:

You as the admin have already investigated in Threat Explorer, email entity, or Advanced hunting and have selected entities to remediate.

1. Create remediation: After your entity selection, you choose an action and create the remediation. For the Soft delete action, these items will be visible in the Take action wizard:

• Checkbox for Sender’s copy. Select this option to clean the messages from sender’s Sent folder.
• Email count: Displays the number of emails submitted. This count will reflect sender’s copy as well.
• Sender’s entities in a separate tab.

2. As the remediation begins, the approval ID to track the action is displayed (Note: This is the same as before the rollout.)

3. Track the remediation status: The Unified Action Center (Actions & submissions > Action center > History) contains all the approved actions. You can open any manual remediation action entry in Action center to:

• View the email count: This count will be same as submitted email count.
• Review the action logs: The email count and action logs will reflect the status of remediable, non-remediable, failed, and timed-out emails, including the sender’s copy.
• Export action logs: The export feature will include the new column IsSendersCopy to capture the sender entities and corresponding action status.

4. Undo sent items. The undo capability ensures that you have greater control and flexibility when managing email remediation, providing a safety net for actions taken in error or needing revision. Select the checkbox for Move to Inbox to trigger undo for the recipient copy and previously deleted sender’s copy of a message.

From Advanced hunting: The Delete sender’s copy option under Delete email > Soft delete:

From Threat Explorer: The Delete sender’s copy option under Move to mailbox folder > Soft delete:

From Threat Explorer: The Undo sender’s copy option under Move to mailbox folder > Inbox:

[What you need to do to prepare:]

This rollout will happen automatically by the specified date with no admin action required before the rollout. You may want to notify your admins about this change and update any relevant documentation as appropriate.

Learn more: Threat hunting in Threat Explorer and Real-time detections – Microsoft Defender for Office 365 | Microsoft Learn

Before rollout, we will update this post with revised documentation.

Microsoft Defender XDR に近日公開予定: 脅威エクスプローラー、電子メール エンティティ、概要パネル、高度な捜索の新しい送信者のコピー クリーンアップ機能を使用して、電子メール修復機能を強化します。これらの新機能により、特に論理 的な削除 と受信 トレイに移動 アクションを使用する管理者にとって、送信済みアイテムの管理プロセスが合理化されます。

主な機能

• 論理的な削除との統合: 送信者のコピーのクリーンアップは、論理的な削除アクションの一部として組み込まれます。
• 幅広いサポート: このアクションは、脅威エクスプローラー、電子メール エンティティからのアクションの実行ウィザード、概要パネル、高度な捜索、Microsoft Graph API など、さまざまな Defender XDR プラットフォームでサポートされます。
• 元に戻す機能: 元に戻すアクションが使用可能になり、アイテムを送信済みフォルダーに戻すことでクリーンアップを元に戻すことができます。

注: 送信者のコピーのクリーンアップは、組織内のメールと送信メールに適用され、これらのメールの送信者のコピーのみが論理的に削除され、受信メッセージが範囲外になります。

[これがいつ起こるか:]

一般提供 (全世界): 2024 年 5 月末にロールアウトを開始し、2024 年 7 月下旬までに完了する予定です。

[これが組織に及ぼす影響:]

このロールアウト以前は、管理者は送信者の送信済みアイテムから有害なメールを削除する方法がありませんでした。

ロールアウト後: このシナリオでは、送信者のコピーのクリーンアップの機能について説明します。

管理者は、脅威エクスプローラー、電子メール エンティティ、または高度なハンティングで既に調査し、修復するエンティティを選択しています。

1. 修復の作成: エンティティの選択後、アクションを選択し、修復を作成します。 論理的な削除 アクションの場合、次の項目が アクションの実行 ウィザードに表示されます。

• 差出人コピーのチェックボックス。送信者の [送信済み] フォルダーからメッセージを消去するには、このオプションを選択します。
• メール数: 送信されたメールの数を表示します。このカウントには、送信者のコピーも反映されます。
• 送信者のエンティティを別のタブに表示します。

2. 修復が開始されると、アクションを追跡するための承認 ID が表示されます (注: これはロールアウト前と同じです)。

3. 修復状態を追跡する: 統合アクション センター (アクション センター > 履歴>アクション センター) には、承認されたすべてのアクションが含まれています。アクション センターで手動修復アクション エントリを開いて、次のことができます。

• メール数を表示する: この数は、送信されたメール数と同じになります。
• アクション ログを確認する: メール数とアクション ログには、送信者のコピーを含む、修復可能、修復不可能な、失敗した、タイムアウトしたメールのステータスが反映されます。
• アクション ログのエクスポート: エクスポート機能には、送信者エンティティと対応するアクションの状態をキャプチャするための新しい列 IsSendersCopy が含まれます。

4.送信したアイテムを元に戻します。元に戻す機能により、電子メールの修復を管理する際の制御と柔軟性が向上し、誤って実行されたアクションや修正が必要なアクションに対するセーフティネットが提供されます。[ 受信トレイに移動 ] のチェックボックスをオンにして、受信者のコピーと以前に削除された送信者のメッセージのコピーの取り消しをトリガーします。

高度なハンティングから: [メールの削除] > [論理的な削除] の [ 送信者のコピーの削除 ] オプション:

脅威エクスプローラーから: [メールボックス フォルダーに移動] > [論理的な削除] の [ 送信者のコピーの削除 ] オプション:

脅威エクスプローラーから: [受信トレイのメールボックス フォルダーに移動] の [ 送信者のコピーを元に戻す ] オプション>:

[準備に必要なこと:]

このロールアウトは、指定された日付までに自動的に行われ、ロールアウト前に管理者のアクションは必要ありません。この変更について管理者に通知し、必要に応じて関連ドキュメントを更新することをお勧めします。

詳細情報: 脅威エクスプローラーでの脅威ハンティングとリアルタイム検出 – Microsoft Defender for Office 365 |Microsoft Learn (英語)

ロールアウト前に、この投稿を更新し、ドキュメントを改訂します。