Jaa


Tekeytymisen merkityksellinen Defender for Office 365

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Tekeytyminen tarkoittaa sitä, että sähköpostiviestin lähettäjä näyttää samalta kuin oikea tai odotettu lähettäjän sähköpostiosoite. Hyökkääjät käyttävät usein tekeytyneiden lähettäjien sähköpostiosoitteita tietojenkalastelussa tai muuntyyppisissä hyökkäyksissä saadakseen vastaanottajan luottamaan. Tekeytymisen perustyyppejä on kaksi:

  • Toimialue tekeytyminen: Sisältää hienovaraisia eroavaisuuksia toimialueella. Esimerkiksi lila@ćóntoso.com tekeytyy ksi lila@contoso.com.
  • Käyttäjäksi tekeytyminen: Sisältää hienovaraisia eroja sähköpostin aliaksissa. rnichell@contoso.com Esimerkiksi tekeydyt ksi michelle@contoso.com.

Toimialueen tekeytyminen eroaa toimialueen tekeytymisestä, koska tekeydytty toimialue on usein todellinen, rekisteröity toimialue, mutta tarkoituksena on pettää. Tekeytyneellä toimialueella olevien lähettäjien viestit voivat välittää tavallisia sähköpostin todennustarkistuksia, jotka muuten tunnistaisivat viestit huijausyrityksiksi (SPF, DKIM ja DMARC).

Tekeytymissuojaus on osa tietojenkalastelun vastaisia käytäntöasetuksia, jotka koskevat vain Microsoft Defender for Office 365. Lisätietoja näistä asetuksista on Microsoft Defender for Office 365 tietojenkalastelun torjuntakäytäntöjen kohdassa Tekeytymisen asetukset.

Järjestelmänvalvojat voivat Microsoft Defender portaalin tekeytymistietojen avulla tunnistaa nopeasti tietoviestejä tekeytyneiltä lähettäjiltä tai lähettäjätoimialueilta, jotka on määritetty tekeytymisen suojauksessa tietojenkalastelun vastaisissa käytännöissä.

Mitä on hyvä tietää ennen aloittamista?

Tekeytymisen merkityksellisten tietojen avaaminen Microsoft Defender portaalissa

Siirry Microsoft Defender-portaalissa osoitteeseen https://security.microsoft.comSähköposti & Yhteistyökäytännöt>& Säännöt>Uhkakäytännöt>Tietojenkalastelun torjunta Käytännöt-osiosta. Tai jos haluat siirtyä suoraan tietojenkalastelun torjuntasivulle, käytä .https://security.microsoft.com/antiphishing

Tietojenkalastelun torjunta -sivulla tekeytymisen merkitykselliset tiedot näyttävät tältä:

Tekeytymisen merkitykselliset tiedot tietojenkalastelun vastaisella käytäntösivulla Microsoft Defender portaalissa.

Merkityksellisillä tiedoilla on kaksi tilaa:

  • Merkityksellisten tietojen tila: Jos tekeytymissuojaus on käytössä ja määritetty tietojenkalastelun vastaisissa käytännöissä, merkityksellinen tieto näyttää tekeytyneiden toimialueiden ja tekeytynneiden käyttäjien (lähettäjiksi) havaittujen viestien määrän viimeisten seitsemän päivän aikana. Näytetty luku on kaikkien tietojenkalastelun torjuntakäytäntöjen havaittujen tekeytymisyritysten kokonaismäärä.
  • Entä jos -tila: Jos tekeytymisen suojausta ei ole otettu käyttöön ja määritetty missään aktiivisessa tietojenkalastelun vastaisessa käytännössä, merkitykselliset tiedot näyttävät, kuinka monta viestiä tekeytymissuojaus olisi havainnut viimeisten seitsemän päivän aikana.

Jos haluat tarkastella tekeytymistunnistuksia koskevia tietoja, siirry Tekeytymisen merkitykselliset tiedot -sivulle valitsemalla Näytä tekeytymiset tekeytymisen merkityksellisissä tiedoissa.

Näytä toimialueen tekeytymistunnistuksia koskevat tiedot

Tekeytymisen merkitykselliset tiedot -https://security.microsoft.com/impersonationinsightsivu on käytettävissä, kun valitset tietojenkalastelun vastaiselta sivulta Näytä tekeytymiset tekeytymisen oivalluksista.

Varmista Tekeytymisen merkitykselliset tiedot -sivulla, että Toimialueet-välilehti on valittuna.

Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Seuraavat sarakkeet ovat käytettävissä:*

  • Lähettäjän toimialue: Tekeytyvä toimialue, joka on toimialue, jota käytettiin sähköpostiviestin lähettämiseen.
  • Viestien määrä: Lähettäjän toimialueksi tekeytyneiden viestien määrä viimeisten seitsemän päivän aikana.
  • Tekeytymistyyppi: Tämä arvo näyttää tekeytymisen havaitun sijainnin (esimerkiksi toimialue osoitteessa).
  • Tekeydytyt toimialueet: Toimialue, joka on suojattu toimialueen tekeytymissuojauksella ja jonka pitäisi muistuttaa Lähettäjä-toimialueen toimialuetta.
  • Toimialuetyyppi: Tämä arvo on yrityksen toimialuehyväksytyille toimialueille tai mukautettu toimialue mukautetuille toimialueille.
  • Käytäntö: Tietojenkalastelun torjuntakäytäntö, joka havaitsi tekeytyneen toimialueen.
  • Tekeytyminen sallitaan: Jokin seuraavista arvoista:
    • Kyllä: Toimialue määritettiin luotetuksi toimialueeksi (poikkeus tekeytymissuojaukselle) tietojenkalastelun vastaisessa käytännössä, joka havaitsi viestin. Tekeytyneeltä toimialueelta havaittiin viestejä, mutta ne sallittiin.
    • Ei: Toimialue on määritetty tekeytymissuojausta varten viestin tunnistannissa tietojenkalastelun vastaisessa käytännössä. Tietojenkalastelun torjuntakäytännön toimialue tekeytymisen tunnistuksia koskeva toiminto tehdään viestille.

* Jos haluat nähdä kaikki sarakkeet, sinun on todennäköisesti tehtävä yksi tai useampi seuraavista vaiheista:

  • Vieritä selaimessa vaakasuunnassa.
  • Kavenna sopivien sarakkeiden leveyttä.
  • Loitonna selaimessa.

Jos haluat muuttaa toimialueen tekeytymistunnistusten luettelon normaalista tiivistetyksi välistykseen, valitse Muuta luetteloväli tiivistetyksi tai normaaliksi ja valitse sitten Järjestä luettelo.

Käytä hakuruutua ja pilkuin eroteltua arvoluetteloa etsiäksesi tiettyjä toimialueen tekeytymisen tunnistuksia.

Vie toimialueen tekeytymistunnistusten luettelo CSV-tiedostoon Vie-toiminnolla.

Näytä toimialueen tekeytymisen tunnistuksen tiedot

Valitse Tekeytymisen merkitykselliset tiedot -sivun https://security.microsoft.com/impersonationinsight?type=DomainToimialueet-välilehdeltä jokin tekeytymistunnistuksista napsauttamalla mitä tahansa muuta riviä kuin valintaruutua.

Seuraavat tiedot ovat saatavilla tiedot-pikaikkunassa:

  • Miksi saimme tämän kiinni?

  • Mitä sinun pitää tehdä?

  • Toimialueen yhteenveto: Toimialue, joka tunnistettiin tekeytymiseksi.

  • Whois-tiedot: Sisältää tietoja toimialueesta:

    • Lähettäjän sijainti
    • Toimialueen luontipäivämäärä
    • Toimialueen vanhentumispäivämäärä
    • Rekisteröijän
  • Explorerin tutkinta: Avaa Threat Explorer- tai Reaaliaikaiset tunnistuksia valitsemalla linkki, niin saat lisätietoja lähettäjästä.

  • Lähettäjän lähettämä sähköpostiviesti: Tässä osiossa näkyvät seuraavat tiedot samankaltaisista toimialueen lähettäjien viesteistä:

    • Päiväys
    • Vastaanottaja
    • Aihe
    • Lähettäjä
    • Lähettäjän IP
    • Toimitustoiminto

Vihje

Jos haluat nähdä tietoja muista toimialueen tekeytymismerkinnöistä poistumatta tietojen pikaikkunasta, käytä Previous item - ja Next-kohteita pikaikkunan yläosassa.

Jos haluat estää tunnistetun toimialueen lähettäjien tunnistamisen toimialueeksi tekeytymisen, katso seuraavaa aliosaa.

Vapauta tunnistetun toimialueen lähettäjät tulevista toimialue-tekeytymistarkistuksista

Toimialueet-välilehdellä Tekeytymisen merkitykselliset tiedot -sivulla osoitteessa https://security.microsoft.com/impersonationinsight?type=Domainvoit vapauttaa tunnistetun toimialueen lähettäjät toimialueiksi tekeytymisestä seuraavien ohjeiden avulla:

Valitse merkintä luettelosta napsauttamalla mitä tahansa muuta riviä kuin valintaruutua.

Käytä avautuvassa Tiedot-pikaikkunassa Valitse tekeytyminen -käytäntöä muokkaamaan ja Lisää sallittu tekeytyminen -luettelon asetuksiin pikaikkunan yläosassa. Nämä asetukset toimivat yhdessä, jos haluat lisätä toimialueen käytännön luotettujen lähettäjien ja toimialueiden luetteloon, joka on virheellisesti tunnistanut viestin toimialue-tekeytymiseksi:

  • Valitse tietojenkalastelun torjuntakäytäntö avattavasta luettelosta. Viestin tunnistamisesta vastuussa ollut tietojenkalastelun torjuntakäytäntö näkyy Toimialue-välilehdenKäytäntö-arvossa.

  • Siirrä valitsin kohtaan Käytössä: jos haluat lisätä toimialueen valitun käytännön luotettujen lähettäjien ja toimialueiden luetteloon.

    Jos haluat poistaa toimialueen luotettujen lähettäjien ja toimialueiden luettelosta, siirrä vaihtopainike takaisin

Kun olet valmis tiedot-pikaikkunassa, valitse Sulje.

Näytä käyttäjäksi tekeytymisen tunnistuksia koskevat tiedot

Tekeytymisen merkitykselliset tiedot -https://security.microsoft.com/impersonationinsightsivu on käytettävissä, kun valitset tietojenkalastelun vastaiselta sivulta Näytä tekeytymiset tekeytymisen oivalluksista.

Valitse Tekeytymisen merkitykselliset tiedot -sivulla Käyttäjät-välilehti .

Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Seuraavat sarakkeet ovat käytettävissä:*

  • Lähettäjä: Sähköpostiviestin lähettäneeksi tekeytyväksi lähettäjäksi tekeytyneen lähettäjän sähköpostiosoite.
  • Viestien määrä: Lähettäjäksi tekeytyvien viestien määrä viimeisten seitsemän päivän aikana.
  • Tekeytymistyyppi: Esimerkiksi Käyttäjä näyttönimessä.
  • Tekeydytyt käyttäjät: Tekeytymissuojauksella suojatun lähettäjän näyttönimi ja sähköpostiosoite, joka muistuttaa lähettäjän sähköpostiosoitetta.
  • Käyttäjätyyppi: Suojauksen tyyppi (esimerkiksi suojatun käyttäjän tai postilaatikon tiedot).
  • Käytäntö: Tietojenkalastelun torjuntakäytäntö, joka havaitsi tekeytyneen lähettäjän.
  • Tekeytyminen sallitaan: Jokin seuraavista arvoista:
    • Kyllä: Lähettäjä määritettiin luotetuksi käyttäjäksi (poikkeus tekeytymisen suojaamiseksi) tietojenkalastelun vastaisessa käytännössä, joka havaitsi viestin. Tekeytyneeltä lähettäjältä lähetetyt viestit havaittiin, mutta ne sallittiin.
    • Ei: Lähettäjä on määritetty tekeytymisen suojaamiseksi tietojenkalastelun vastaisessa käytännössä, joka havaitsi viestin. Tietojenkalastelun torjuntakäytännön käyttäjän tekeytymisen tunnistuksia koskeva toiminto tehdään viestille.

* Jos haluat nähdä kaikki sarakkeet, sinun on todennäköisesti tehtävä yksi tai useampi seuraavista vaiheista:

  • Vieritä selaimessa vaakasuunnassa.
  • Kavenna sopivien sarakkeiden leveyttä.
  • Loitonna selaimessa.

Jos haluat muuttaa käyttäjän tekeytymistunnistusten luettelon normaalista tiivistetyksi välistykseen, valitse Muuta luetteloväli tiivistetyksi tai normaaliksi ja valitse sitten Järjestä luettelo.

Etsi tietyt käyttäjäksi tekeytymisen tunnistuksia hakuruudun ja pilkuin eroteltujen arvojen luettelon avulla.

Vie käyttäjän tekeytymistunnistusten luettelo CSV-tiedostoon Vie-toiminnolla.

Näytä käyttäjäksi tekeytymisen tunnistuksen tiedot

Valitse Tekeytymisen merkitykselliset tiedot -sivun https://security.microsoft.com/impersonationinsight?type=UserKäyttäjät-välilehdeltä jokin tekeytymistunnistuksista napsauttamalla mitä tahansa muuta riviä kuin valintaruutua.

Seuraavat tiedot ovat saatavilla tiedot-pikaikkunassa:

  • Miksi saimme tämän kiinni?

  • Mitä sinun pitää tehdä?

  • Lähettäjän yhteenveto: Lähettäjä, joka tunnistettiin tekeytymiseksi.

  • Explorerin tutkinta: Avaa Threat Explorer- tai Reaaliaikaiset tunnistuksia valitsemalla linkki, niin saat lisätietoja lähettäjästä.

  • Lähettäjän lähettämä sähköpostiviesti: Tässä osiossa on seuraavia tietoja vastaavista lähettäjän viesteistä:

    • Päiväys
    • Vastaanottaja
    • Aihe
    • Lähettäjä
    • Lähettäjän IP
    • Toimitustoiminto

Vihje

Jos haluat nähdä tietoja muista käyttäjäksi tekeytymismerkinnöistä poistumatta tietojen pikaikkunasta, käytä Previous item - ja Next-kohteita pikaikkunan yläosassa.

Jos haluat estää sen, että tunnistettua lähettäjää ei tunnisteta käyttäjän tekeytymiseksi, katso seuraavaa aliosaa.

Vapauta tunnistettu lähettäjä tulevista käyttäjän tekeytymistarkistuksista

Voit vapauttaa tunnistetut lähettäjät käyttäjäksi tekeytymisistä Tekeytymisen merkitykselliset tiedot -sivun Käyttäjät-välilehdellä osoitteessa https://security.microsoft.com/impersonationinsight?type=Userseuraavien ohjeiden avulla:

Valitse merkintä luettelosta napsauttamalla mitä tahansa muuta riviä kuin valintaruutua.

Käytä avautuvassa Tiedot-pikaikkunassa Valitse tekeytyminen -käytäntöä muokkaamaan ja Lisää sallittu tekeytyminen -luettelon asetuksiin pikaikkunan yläosassa. Nämä asetukset toimivat yhdessä, jos haluat lisätä lähettäjän käytännön luotettujen lähettäjien ja toimialueiden luetteloon, joka on virheellisesti tunnistanut viestin käyttäjäksi tekeytymiseksi:

  • Valitse tietojenkalastelun torjuntakäytäntö avattavasta luettelosta. Viestin tunnistamisesta vastuussa ollut tietojenkalastelun torjuntakäytäntö näkyy Toimialue-välilehdenKäytäntö-arvossa.

  • Siirrä valitsin kohtaan Käytössä: voit lisätä lähettäjän valitun käytännön luotettujen lähettäjien ja toimialueiden luetteloon.

    Jos haluat poistaa lähettäjän luotettujen lähettäjien ja toimialueiden luettelosta, siirrä vaihtopainike takaisin

Kun olet valmis tiedot-pikaikkunassa, valitse Sulje.