Tekeytymisen merkityksellinen Defender for Office 365
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Tekeytyminen tarkoittaa sitä, että sähköpostiviestin lähettäjä näyttää samalta kuin oikea tai odotettu lähettäjän sähköpostiosoite. Hyökkääjät käyttävät usein tekeytyneiden lähettäjien sähköpostiosoitteita tietojenkalastelussa tai muuntyyppisissä hyökkäyksissä saadakseen vastaanottajan luottamaan. Tekeytymisen perustyyppejä on kaksi:
- Toimialue tekeytyminen: Sisältää hienovaraisia eroavaisuuksia toimialueella. Esimerkiksi lila@ćóntoso.com tekeytyy ksi lila@contoso.com.
- Käyttäjäksi tekeytyminen: Sisältää hienovaraisia eroja sähköpostin aliaksissa. rnichell@contoso.com Esimerkiksi tekeydyt ksi michelle@contoso.com.
Toimialueen tekeytyminen eroaa toimialueen tekeytymisestä, koska tekeydytty toimialue on usein todellinen, rekisteröity toimialue, mutta tarkoituksena on pettää. Tekeytyneellä toimialueella olevien lähettäjien viestit voivat välittää tavallisia sähköpostin todennustarkistuksia, jotka muuten tunnistaisivat viestit huijausyrityksiksi (SPF, DKIM ja DMARC).
Tekeytymissuojaus on osa tietojenkalastelun vastaisia käytäntöasetuksia, jotka koskevat vain Microsoft Defender for Office 365. Lisätietoja näistä asetuksista on Microsoft Defender for Office 365 tietojenkalastelun torjuntakäytäntöjen kohdassa Tekeytymisen asetukset.
Järjestelmänvalvojat voivat Microsoft Defender portaalin tekeytymistietojen avulla tunnistaa nopeasti tietoviestejä tekeytyneiltä lähettäjiltä tai lähettäjätoimialueilta, jotka on määritetty tekeytymisen suojauksessa tietojenkalastelun vastaisissa käytännöissä.
Mitä on hyvä tietää ennen aloittamista?
Avaat Microsoft Defender -portaalin osoitteessa https://security.microsoft.com. Jos haluat siirtyä suoraan tietojenkalastelun torjuntasivulle, käytä .https://security.microsoft.com/antiphishing Jos haluat siirtyä suoraan Tekeytymisen merkitykselliset tiedot -sivulle, käytä -toimintoa https://security.microsoft.com/impersonationinsight.
Sinulla on oltava käyttöoikeudet, ennen kuin voit suorittaa tämän artikkelin menettelyt. Voit valita seuraavat vaihtoehdot:
Microsoft Defender XDR RBAC (Unified Role Based Access Control) (If Email & collaboration>Defender for Office 365 permissions is Active. Vaikuttaa vain Defender-portaaliin, ei PowerShelliin: Valtuutus ja asetukset/Suojausasetukset/Ydinsuojausasetukset (hallinta) tai Valtuutus ja asetukset/Suojausasetukset/Ydinsuojausasetukset (lue).
Sähköposti & yhteiskäyttöoikeudet Microsoft Defender portaalissa: Jäsenyys seuraavissa rooliryhmissä:
- Organisaation hallinta
- Suojauksen järjestelmänvalvoja
- Suojauksen lukija
- Yleinen lukija
Microsoft Entra oikeudet: Yleisen järjestelmänvalvojan*, suojauksen järjestelmänvalvojan, suojauksenlukijan tai yleisen lukijan roolien jäsenyys antaa käyttäjille microsoft 365:n muiden ominaisuuksien vaaditut käyttöoikeudet.
Tärkeää
* Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Voit ottaa käyttöön ja määrittää tekeytymisen suojauksen tietojenkalastelun vastaisissa käytännöissä Microsoft Defender for Office 365. Tekeytymissuojaus ei ole oletusarvoisesti käytössä. Katso lisätietoja artikkelista Tietojenkalastelun vastaisten käytäntöjen määrittäminen Microsoft Defender for Office 365 ja käytä Microsoft Defender-portaalia vakio- ja strict-suojauskäytäntöjen määrittämiseen käyttäjille.
Lisätietoja käyttöoikeusvaatimuksista on kohdassa Käyttöoikeusehdot.
Tekeytymisen merkityksellisten tietojen avaaminen Microsoft Defender portaalissa
Siirry Microsoft Defender-portaalissa osoitteeseen https://security.microsoft.comSähköposti & Yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Tietojenkalastelun torjunta Käytännöt-osiosta. Tai jos haluat siirtyä suoraan tietojenkalastelun torjuntasivulle, käytä .https://security.microsoft.com/antiphishing
Tietojenkalastelun torjunta -sivulla tekeytymisen merkitykselliset tiedot näyttävät tältä:
Merkityksellisillä tiedoilla on kaksi tilaa:
- Merkityksellisten tietojen tila: Jos tekeytymissuojaus on käytössä ja määritetty tietojenkalastelun vastaisissa käytännöissä, merkityksellinen tieto näyttää tekeytyneiden toimialueiden ja tekeytynneiden käyttäjien (lähettäjiksi) havaittujen viestien määrän viimeisten seitsemän päivän aikana. Näytetty luku on kaikkien tietojenkalastelun torjuntakäytäntöjen havaittujen tekeytymisyritysten kokonaismäärä.
- Entä jos -tila: Jos tekeytymisen suojausta ei ole otettu käyttöön ja määritetty missään aktiivisessa tietojenkalastelun vastaisessa käytännössä, merkitykselliset tiedot näyttävät, kuinka monta viestiä tekeytymissuojaus olisi havainnut viimeisten seitsemän päivän aikana.
Jos haluat tarkastella tekeytymistunnistuksia koskevia tietoja, siirry Tekeytymisen merkitykselliset tiedot -sivulle valitsemalla Näytä tekeytymiset tekeytymisen merkityksellisissä tiedoissa.
Näytä toimialueen tekeytymistunnistuksia koskevat tiedot
Tekeytymisen merkitykselliset tiedot -https://security.microsoft.com/impersonationinsightsivu on käytettävissä, kun valitset tietojenkalastelun vastaiselta sivulta Näytä tekeytymiset tekeytymisen oivalluksista.
Varmista Tekeytymisen merkitykselliset tiedot -sivulla, että Toimialueet-välilehti on valittuna.
Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Seuraavat sarakkeet ovat käytettävissä:*
- Lähettäjän toimialue: Tekeytyvä toimialue, joka on toimialue, jota käytettiin sähköpostiviestin lähettämiseen.
- Viestien määrä: Lähettäjän toimialueksi tekeytyneiden viestien määrä viimeisten seitsemän päivän aikana.
- Tekeytymistyyppi: Tämä arvo näyttää tekeytymisen havaitun sijainnin (esimerkiksi toimialue osoitteessa).
- Tekeydytyt toimialueet: Toimialue, joka on suojattu toimialueen tekeytymissuojauksella ja jonka pitäisi muistuttaa Lähettäjä-toimialueen toimialuetta.
- Toimialuetyyppi: Tämä arvo on yrityksen toimialuehyväksytyille toimialueille tai mukautettu toimialue mukautetuille toimialueille.
- Käytäntö: Tietojenkalastelun torjuntakäytäntö, joka havaitsi tekeytyneen toimialueen.
-
Tekeytyminen sallitaan: Jokin seuraavista arvoista:
- Kyllä: Toimialue määritettiin luotetuksi toimialueeksi (poikkeus tekeytymissuojaukselle) tietojenkalastelun vastaisessa käytännössä, joka havaitsi viestin. Tekeytyneeltä toimialueelta havaittiin viestejä, mutta ne sallittiin.
- Ei: Toimialue on määritetty tekeytymissuojausta varten viestin tunnistannissa tietojenkalastelun vastaisessa käytännössä. Tietojenkalastelun torjuntakäytännön toimialue tekeytymisen tunnistuksia koskeva toiminto tehdään viestille.
* Jos haluat nähdä kaikki sarakkeet, sinun on todennäköisesti tehtävä yksi tai useampi seuraavista vaiheista:
- Vieritä selaimessa vaakasuunnassa.
- Kavenna sopivien sarakkeiden leveyttä.
- Loitonna selaimessa.
Jos haluat muuttaa toimialueen tekeytymistunnistusten luettelon normaalista tiivistetyksi välistykseen, valitse Muuta luetteloväli tiivistetyksi tai normaaliksi ja valitse sitten Järjestä luettelo.
Käytä hakuruutua ja pilkuin eroteltua arvoluetteloa etsiäksesi tiettyjä toimialueen tekeytymisen tunnistuksia.
Vie toimialueen tekeytymistunnistusten luettelo CSV-tiedostoon Vie-toiminnolla.
Näytä toimialueen tekeytymisen tunnistuksen tiedot
Valitse Tekeytymisen merkitykselliset tiedot -sivun https://security.microsoft.com/impersonationinsight?type=DomainToimialueet-välilehdeltä jokin tekeytymistunnistuksista napsauttamalla mitä tahansa muuta riviä kuin valintaruutua.
Seuraavat tiedot ovat saatavilla tiedot-pikaikkunassa:
Miksi saimme tämän kiinni?
Mitä sinun pitää tehdä?
Toimialueen yhteenveto: Toimialue, joka tunnistettiin tekeytymiseksi.
Whois-tiedot: Sisältää tietoja toimialueesta:
- Lähettäjän sijainti
- Toimialueen luontipäivämäärä
- Toimialueen vanhentumispäivämäärä
- Rekisteröijän
Explorerin tutkinta: Avaa Threat Explorer- tai Reaaliaikaiset tunnistuksia valitsemalla linkki, niin saat lisätietoja lähettäjästä.
Lähettäjän lähettämä sähköpostiviesti: Tässä osiossa näkyvät seuraavat tiedot samankaltaisista toimialueen lähettäjien viesteistä:
- Päiväys
- Vastaanottaja
- Aihe
- Lähettäjä
- Lähettäjän IP
- Toimitustoiminto
Vihje
Jos haluat nähdä tietoja muista toimialueen tekeytymismerkinnöistä poistumatta tietojen pikaikkunasta, käytä Previous item - ja Next-kohteita pikaikkunan yläosassa.
Jos haluat estää tunnistetun toimialueen lähettäjien tunnistamisen toimialueeksi tekeytymisen, katso seuraavaa aliosaa.
Vapauta tunnistetun toimialueen lähettäjät tulevista toimialue-tekeytymistarkistuksista
Toimialueet-välilehdellä Tekeytymisen merkitykselliset tiedot -sivulla osoitteessa https://security.microsoft.com/impersonationinsight?type=Domainvoit vapauttaa tunnistetun toimialueen lähettäjät toimialueiksi tekeytymisestä seuraavien ohjeiden avulla:
Valitse merkintä luettelosta napsauttamalla mitä tahansa muuta riviä kuin valintaruutua.
Käytä avautuvassa Tiedot-pikaikkunassa Valitse tekeytyminen -käytäntöä muokkaamaan ja Lisää sallittu tekeytyminen -luettelon asetuksiin pikaikkunan yläosassa. Nämä asetukset toimivat yhdessä, jos haluat lisätä toimialueen käytännön luotettujen lähettäjien ja toimialueiden luetteloon, joka on virheellisesti tunnistanut viestin toimialue-tekeytymiseksi:
Valitse tietojenkalastelun torjuntakäytäntö avattavasta luettelosta. Viestin tunnistamisesta vastuussa ollut tietojenkalastelun torjuntakäytäntö näkyy Toimialue-välilehdenKäytäntö-arvossa.
Siirrä valitsin kohtaan Käytössä: jos haluat lisätä toimialueen valitun käytännön luotettujen lähettäjien ja toimialueiden luetteloon.
Jos haluat poistaa toimialueen luotettujen lähettäjien ja toimialueiden luettelosta, siirrä vaihtopainike takaisin
Kun olet valmis tiedot-pikaikkunassa, valitse Sulje.
Näytä käyttäjäksi tekeytymisen tunnistuksia koskevat tiedot
Tekeytymisen merkitykselliset tiedot -https://security.microsoft.com/impersonationinsightsivu on käytettävissä, kun valitset tietojenkalastelun vastaiselta sivulta Näytä tekeytymiset tekeytymisen oivalluksista.
Valitse Tekeytymisen merkitykselliset tiedot -sivulla Käyttäjät-välilehti .
Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Seuraavat sarakkeet ovat käytettävissä:*
- Lähettäjä: Sähköpostiviestin lähettäneeksi tekeytyväksi lähettäjäksi tekeytyneen lähettäjän sähköpostiosoite.
- Viestien määrä: Lähettäjäksi tekeytyvien viestien määrä viimeisten seitsemän päivän aikana.
- Tekeytymistyyppi: Esimerkiksi Käyttäjä näyttönimessä.
- Tekeydytyt käyttäjät: Tekeytymissuojauksella suojatun lähettäjän näyttönimi ja sähköpostiosoite, joka muistuttaa lähettäjän sähköpostiosoitetta.
- Käyttäjätyyppi: Suojauksen tyyppi (esimerkiksi suojatun käyttäjän tai postilaatikon tiedot).
- Käytäntö: Tietojenkalastelun torjuntakäytäntö, joka havaitsi tekeytyneen lähettäjän.
-
Tekeytyminen sallitaan: Jokin seuraavista arvoista:
- Kyllä: Lähettäjä määritettiin luotetuksi käyttäjäksi (poikkeus tekeytymisen suojaamiseksi) tietojenkalastelun vastaisessa käytännössä, joka havaitsi viestin. Tekeytyneeltä lähettäjältä lähetetyt viestit havaittiin, mutta ne sallittiin.
- Ei: Lähettäjä on määritetty tekeytymisen suojaamiseksi tietojenkalastelun vastaisessa käytännössä, joka havaitsi viestin. Tietojenkalastelun torjuntakäytännön käyttäjän tekeytymisen tunnistuksia koskeva toiminto tehdään viestille.
* Jos haluat nähdä kaikki sarakkeet, sinun on todennäköisesti tehtävä yksi tai useampi seuraavista vaiheista:
- Vieritä selaimessa vaakasuunnassa.
- Kavenna sopivien sarakkeiden leveyttä.
- Loitonna selaimessa.
Jos haluat muuttaa käyttäjän tekeytymistunnistusten luettelon normaalista tiivistetyksi välistykseen, valitse Muuta luetteloväli tiivistetyksi tai normaaliksi ja valitse sitten Järjestä luettelo.
Etsi tietyt käyttäjäksi tekeytymisen tunnistuksia hakuruudun ja pilkuin eroteltujen arvojen luettelon avulla.
Vie käyttäjän tekeytymistunnistusten luettelo CSV-tiedostoon Vie-toiminnolla.
Näytä käyttäjäksi tekeytymisen tunnistuksen tiedot
Valitse Tekeytymisen merkitykselliset tiedot -sivun https://security.microsoft.com/impersonationinsight?type=UserKäyttäjät-välilehdeltä jokin tekeytymistunnistuksista napsauttamalla mitä tahansa muuta riviä kuin valintaruutua.
Seuraavat tiedot ovat saatavilla tiedot-pikaikkunassa:
Miksi saimme tämän kiinni?
Mitä sinun pitää tehdä?
Lähettäjän yhteenveto: Lähettäjä, joka tunnistettiin tekeytymiseksi.
Explorerin tutkinta: Avaa Threat Explorer- tai Reaaliaikaiset tunnistuksia valitsemalla linkki, niin saat lisätietoja lähettäjästä.
Lähettäjän lähettämä sähköpostiviesti: Tässä osiossa on seuraavia tietoja vastaavista lähettäjän viesteistä:
- Päiväys
- Vastaanottaja
- Aihe
- Lähettäjä
- Lähettäjän IP
- Toimitustoiminto
Vihje
Jos haluat nähdä tietoja muista käyttäjäksi tekeytymismerkinnöistä poistumatta tietojen pikaikkunasta, käytä Previous item - ja Next-kohteita pikaikkunan yläosassa.
Jos haluat estää sen, että tunnistettua lähettäjää ei tunnisteta käyttäjän tekeytymiseksi, katso seuraavaa aliosaa.
Vapauta tunnistettu lähettäjä tulevista käyttäjän tekeytymistarkistuksista
Voit vapauttaa tunnistetut lähettäjät käyttäjäksi tekeytymisistä Tekeytymisen merkitykselliset tiedot -sivun Käyttäjät-välilehdellä osoitteessa https://security.microsoft.com/impersonationinsight?type=Userseuraavien ohjeiden avulla:
Valitse merkintä luettelosta napsauttamalla mitä tahansa muuta riviä kuin valintaruutua.
Käytä avautuvassa Tiedot-pikaikkunassa Valitse tekeytyminen -käytäntöä muokkaamaan ja Lisää sallittu tekeytyminen -luettelon asetuksiin pikaikkunan yläosassa. Nämä asetukset toimivat yhdessä, jos haluat lisätä lähettäjän käytännön luotettujen lähettäjien ja toimialueiden luetteloon, joka on virheellisesti tunnistanut viestin käyttäjäksi tekeytymiseksi:
Valitse tietojenkalastelun torjuntakäytäntö avattavasta luettelosta. Viestin tunnistamisesta vastuussa ollut tietojenkalastelun torjuntakäytäntö näkyy Toimialue-välilehdenKäytäntö-arvossa.
Siirrä valitsin kohtaan Käytössä: voit lisätä lähettäjän valitun käytännön luotettujen lähettäjien ja toimialueiden luetteloon.
Jos haluat poistaa lähettäjän luotettujen lähettäjien ja toimialueiden luettelosta, siirrä vaihtopainike takaisin
Kun olet valmis tiedot-pikaikkunassa, valitse Sulje.