Johdanto
Historiallisesti sallivat luettelot, jotka on otettu käyttöön Exchange Online Protection ohittamaan signaalit, jotka ilmaisevat sähköpostin olevan haitallinen. Toimittajat voivat usein pyytää IP-osoitteita, toimialueita ja lähettäjän osoitteita tarpeettomasti. Hyökkääjien tiedetään hyödyntävän tätä virhettä, ja on kiireellinen tietoturvan porsaanreikä, jotta heillä on tarpeettomia sallittujen luetteloon lisäämistä. Tässä vaiheittaisessa oppaassa opas opastetaan sinua kehittyneen metsästyksen avulla tunnistamaan nämä väärin määritetyt ohitukset ja poistamaan ne, jotta voit kasvattaa organisaatiosi suojausasentoja.
Mitä tarvitset
- Microsoft Defender for Office 365 palvelupaketti 2 (sisältyy E5-palvelupaketteihin tai kokeiluversioon osoitteessa aka.ms/trymdo)
- Riittävät käyttöoikeudet (suojauksen lukijan rooli)
- 5–10 minuuttia seuraavien ohjeiden suorittamiseen.
Yleiset vaiheet kaikille alla oleville kyselyille
- Kirjaudu sisään suojausportaaliin ja siirry kehittyneeseen metsästykseen
- Kirjoita KQL-kysely kyselyruutuun ja paina Suorita kysely.
- Kun painat NetworkMessageId-hyperlinkkiä yksittäisille sähköposteille, kun ne näkyvät tuloksissa, saat pikaikkunan, jolloin pääset helposti sähköpostientiteettisivulle, jossa analyysivälilehti sisältää lisätietoja, kuten vastaavat sähköpostin siirtosäännöt.
- Tulokset voidaan viedä myös painamalla Vie käsittelyä/analyysia varten offline-tilassa.
Vihje
Kun vaihdat OrgLevelAction-arvoksiUserLevelAction , voit etsiä sähköpostivaroituksia, jotka ovat järjestelmänvalvojien sijaan ohittaneet, ja se voi olla myös hyödyllinen merkityksellinen tieto.
Kyselyt
Ylin ohituslähde
Tämän kyselyn avulla voit selvittää, missä tarpeettomimmat ohitukset sijaitsevat. Tämä kysely etsii sähköpostiviestejä, jotka ohitettiin ilman, että ohitusta tarvittiin millään tunnistuksella.
EmailEvents
| where OrgLevelAction == "Allow"
| summarize count() by OrgLevelPolicy, ThreatTypes
Ylin ohitin uhkatyyppi
Tämän kyselyn avulla voit etsiä useimmin havaitut uhkatyypit. Tämä kysely etsii sähköpostiviestejä, joiden havaittu uhka ohitettiin, DMARC tai Spoof ilmaisee sähköpostin todennusongelmia, jotka voidaan korjata ohituksen tarpeen poistamiseksi.
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by DetectionMethods
Ylimmät ohitin-IPS:t
Tämä kysely etsii ip-osoitteen ohittamia sähköpostiviestejä ilman tunnistusta, joka vaati ohitusta.
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderIPv4
| top 10 by count_
Ylimmät ohitteet
Tämä kysely etsii sähköpostiviestejä, jotka ohitettiin lähettämällä toimialue ilman tunnistusta, joka vaati ohitusta. (Muuta arvoksi SenderMailFromDomain tarkistaaksesi kohteen 5321.MailFrom)
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromDomain
| top 10 by count_
Ylin ohitin lähettäjä
Tämä kysely etsii sähköpostiviestejä, jotka ohitettiin lähettämällä osoite ilman tunnistusta, joka edellyttää ohitusta. (Muuta arvoksi SenderMailFromAddress tarkistaaksesi kohteen 5321.MailFrom)
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromAddress
| top 10 by count_
Lisätietoja
Toivottavasti tämä artikkeli on mielestäsi hyödyllinen ja sisältää joitakin peruskyselyitä, joiden avulla pääset alkuun kehittyneen metsästyksen käytössä. Lisätietoja on alla olevia artikkeleita:
Lue lisätietoja kehittyneestä metsästyksestä: Yleiskatsaus – Kehittynyt metsästys.
Lisätietoja todennuksesta: sähköpostitodennus Exchange Online Protection.