Megszemélyesítési megállapítás az Office 365-höz készült Defenderben

• A következőre érvényes::

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Megszemélyesítés akkor történik, ha egy e-mail feladója egy valódi vagy várt feladó e-mail-címéhez hasonlít. A támadók gyakran megszemélyesített feladói e-mail-címeket használnak adathalászatban vagy más típusú támadásokban a címzett bizalmának elnyeréséhez. A megszemélyesítésnek két alapvető típusa van:

• Tartomány megszemélyesítése: A tartomány apró különbségeit tartalmazza. Például lila@ćóntoso.com megszemélyesíti.lila@contoso.com
• Felhasználói megszemélyesítés: Az e-mail-alias apró különbségeit tartalmazza. Például megszemélyesíti rnichell@contoso.com a következőt michelle@contoso.com: .

A tartomány megszemélyesítése eltér a tartományhamisítástól, mivel a megszemélyesített tartomány gyakran valódi, regisztrált tartomány, de megtévesztési szándékkal. A megszemélyesített tartományban lévő feladóktól érkező üzenetek rendszeres e-mail-hitelesítési ellenőrzéseket végezhetnek, amelyek egyébként hamisítási kísérletként azonosítják az üzeneteket (SPF, DKIM és DMARC).

A megszemélyesítés elleni védelem az adathalászat elleni szabályzat azon beállításainak része, amelyek kizárólag az Office 365-höz készült Microsoft Defenderre terjednek ki. További információ ezekről a beállításokról: Megszemélyesítési beállítások az Adathalászat elleni szabályzatokban az Office 365-höz készült Microsoft Defenderben.

A rendszergazdák a Microsoft Defender portál megszemélyesítési megállapításával gyorsan azonosíthatják a megszemélyesített feladóktól vagy feladói tartományoktól érkező üzeneteket, amelyek az adathalászat elleni szabályzatokban a megszemélyesítés elleni védelemben vannak megadva.

Mit kell tudnia a kezdés előtt?

• A Microsoft Defender portált a címen nyithatja meg https://security.microsoft.com. Ha közvetlenül az Adathalászat elleni lapra szeretne lépni, használja a következőt https://security.microsoft.com/antiphishing: . Ha közvetlenül a Megszemélyesítési megállapítás oldalra szeretne lépni, használja a következőt https://security.microsoft.com/impersonationinsight: .

• Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. A következő lehetőségek közül választhat:

  • Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha az e-mail & együttműködéshez>Az Office 365-höz készült Defender engedélyei aktívak. Csak a Defender portált érinti, a PowerShellt nem: Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (kezelés) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).

  • E-mail & együttműködési engedélyek a Microsoft Defender portálon: Tagság az alábbi szerepkörcsoportok bármelyikében:

    • Szervezetfelügyelet
    • Biztonsági rendszergazda
    • Biztonsági olvasó
    • Globális olvasó

  • Microsoft Entra-engedélyek: A globális rendszergazdai, biztonsági rendszergazdai^*, biztonsági olvasói vagy globális olvasói szerepkörökben való tagság biztosítja a felhasználóknak a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.

    Fontos

    ^* A Microsoft azt javasolja, hogy a legkevesebb engedélyekkel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

• Engedélyezheti és konfigurálhatja a megszemélyesítés elleni védelmet az adathalászat elleni szabályzatokban az Office 365-höz készült Microsoft Defenderben. A megszemélyesítés elleni védelem alapértelmezés szerint nincs engedélyezve. További információ: Adathalászat elleni házirendek konfigurálása az Office 365-höz készült Microsoft Defenderben és A Microsoft Defender portál használata standard és szigorú előre beállított biztonsági szabályzatok felhasználókhoz való hozzárendeléséhez.

• További információ a licencelési követelményekről: Licencelési feltételek.

Nyissa meg a megszemélyesítési megállapítást a Microsoft Defender portálon

A Microsoft Defender portálján https://security.microsoft.coma Házirendek szakaszban lépjen az E-mail & együttműködési>szabályzatok & Szabályok>Fenyegetésvédelmi szabályzatok>adathalászat elleni szakaszára. Vagy ha közvetlenül az Adathalászat elleni oldalra szeretne lépni, használja a következőt https://security.microsoft.com/antiphishing: .

Az Adathalászat elleni oldalon a megszemélyesítési megállapítás a következőképpen néz ki:

A megállapításnak két módja van:

• Megállapítás mód: Ha a megszemélyesítés elleni védelem engedélyezve van és konfigurálva van bármely adathalászat elleni házirendben, az elemzés megjeleníti a megszemélyesített tartományokból és megszemélyesített felhasználóktól (feladóktól) származó üzenetek számát az elmúlt hét napban. A megjelenített szám az összes adathalászati szabályzat által észlelt megszemélyesítési kísérletek teljes száma.
• Mi a teendő, ha a megszemélyesítés elleni védelem nincs engedélyezve és konfigurálva az aktív adathalászat-ellenes szabályzatokban, a megállapítás megmutatja, hogy hány üzenetet észlelt volna a megszemélyesítés elleni védelem az elmúlt hét napban.

A megszemélyesítések észlelésére vonatkozó információk megtekintéséhez válassza a Megszemélyesítések megtekintése lehetőséget a megszemélyesítési megállapításban a Megszemélyesítési megállapítás lap megjelenítéséhez.

A tartomány megszemélyesítésének észlelésére vonatkozó információk megtekintése

A megszemélyesítési megállapítás lapja https://security.microsoft.com/impersonationinsight akkor érhető el, ha az Adathalászat elleni oldalon a Megszemélyesítések megtekintése lehetőséget választja.

A Megszemélyesítési megállapítás lapon ellenőrizze, hogy a Tartományok lap van-e kiválasztva.

A bejegyzéseket egy elérhető oszlopfejlécre kattintva rendezheti. A következő oszlopok érhetők el:^*

• Feladó tartománya: A megszemélyesítő tartomány, amely az e-mail küldéséhez használt tartomány.
• Üzenetek száma: A megszemélyesítő feladó tartományából érkező üzenetek száma az elmúlt hét napban.
• Megszemélyesítés típusa: Ez az érték a megszemélyesítés észlelt helyét jeleníti meg (például Tartomány a címben).
• Megszemélyesített tartomány(ok): A tartomány megszemélyesítés elleni védelemmel ellátott tartomány, amelynek a Feladó tartományhoz hasonlónak kell lennie.
• Tartomány típusa: Ez az érték azelfogadott tartományok vállalati tartománya , egyéni tartományok esetében pedig egyéni tartomány .
• Házirend: Az adathalászat elleni szabályzat, amely a megszemélyesített tartományt észlelte.
• Megszemélyesítés engedélyezett: Az alábbi értékek egyike:
  • Igen: A tartomány megbízható tartományként (a megszemélyesítés elleni védelem alóli kivételként) lett konfigurálva az üzenetet észlelő adathalászat elleni szabályzatban. A megszemélyesített tartomány üzenetei észlelve lettek, de engedélyezve voltak.
  • Nem: A tartomány megszemélyesítés elleni védelemre lett konfigurálva az adathalászat elleni szabályzatban, amely észlelte az üzenetet. Az adathalászat elleni szabályzatban a tartomány megszemélyesítésének észlelésére irányuló művelet az üzenetre történik.

^* Az összes oszlop megtekintéséhez valószínűleg el kell végeznie egy vagy több alábbi lépést:

• Görgetés vízszintesen a webböngészőben.
• Szűkítse a megfelelő oszlopok szélességét.
• Kicsinyítse a böngészőt.

Ha a tartomány megszemélyesítésének észlelését normálről kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.

A Keresés mező és az értékek vesszővel tagolt listája segítségével megkeresheti a tartomány megszemélyesítésének észlelését.

Az Exportálás paranccsel exportálhatja a tartománymegszemélyesítési észlelések listáját egy CSV-fájlba.

Tartomány megszemélyesítésének észlelésével kapcsolatos részletek megtekintése

A Megszemélyesítési megállapítás lap https://security.microsoft.com/impersonationinsight?type=DomainTartományok lapján jelölje ki a megszemélyesítési észlelések egyikét, ha a jelölőnégyzeten kívül bárhová kattint.

A részleteket tartalmazó úszó panelen a következő információk érhetők el:

• Miért kaptuk el ezt?

• Mit kell tennie?

• Tartomány összefoglalása: A megszemélyesítésként észlelt tartomány.

• Whois-adatok: A tartományra vonatkozó információkat tartalmazza:

  • Feladó helye
  • Tartomány létrehozásának dátuma
  • Tartomány lejárati dátuma
  • Regisztráló

• Explorer-vizsgálat: A hivatkozásra kattintva megnyithatja a Fenyegetéskezelőt vagy a valós idejű észleléseket a feladóval kapcsolatos további részletekért.

• Feladótól érkező e-mail: Ez a szakasz a következő információkat jeleníti meg a tartomány feladóitól érkező hasonló üzenetekről:

  • Date
  • Címzett
  • Tárgy
  • Feladó
  • Feladó IP-címe
  • Kézbesítési művelet

Tipp

Ha a többi tartományi megszemélyesítési bejegyzés részleteit a részletek úszó paneljének elhagyása nélkül szeretné megtekinteni, használja az Előző elem és a Következő elemet az úszó panel tetején.

Ha meg szeretné akadályozni, hogy egy észlelt tartomány feladói tartományszemélyként legyenek azonosítva, tekintse meg a következő alszakaszt.

Az észlelt tartomány feladóinak mentesítése a jövőbeli tartományszemélyesítési ellenőrzések alól

A Megszemélyesítési megállapítás lap Tartományok lapján https://security.microsoft.com/impersonationinsight?type=Domainaz alábbi lépésekkel mentesítheti az észlelt tartomány feladóit a tartományszemélyesítés alól:

Jelölje ki a bejegyzést a listából úgy, hogy a jelölőnégyzettől eltérő sorban bárhová kattint.

A megnyíló részletes úszó panelen módosítsa a Megszemélyesítés kiválasztása szabályzatot , és adja hozzá a hozzáadást az úszó panel tetején található megszemélyesítési lista beállításaihoz. Ezek a beállítások együttműködve hozzáadják a tartományt a megbízható feladók és tartományok listájához a szabályzatban, amely helytelenül azonosította az üzenetet tartományszemélyesítésként:

• Válassza ki az adathalászat elleni szabályzatot a legördülő listában. Az üzenet észleléséért felelős adathalászat elleni szabályzat a Tartomány lap Házirend értékében jelenik meg.

• Húzza a kapcsolót bekapcsolva: értékre, ha a tartományt hozzá szeretné adni a kiválasztott házirend Megbízható feladók és tartományok listájához.

  Ha el szeretné távolítani a tartományt a Megbízható feladók és tartományok listáról, húzza vissza a kapcsolót a következőre:

Ha befejezte a részleteket tartalmazó úszó panelt, válassza a Bezárás lehetőséget.

A felhasználói megszemélyesítés észlelésére vonatkozó információk megtekintése

A megszemélyesítési megállapítás lapja https://security.microsoft.com/impersonationinsight akkor érhető el, ha az Adathalászat elleni oldalon a Megszemélyesítések megtekintése lehetőséget választja.

A Megszemélyesítési megállapítás lapon válassza a Felhasználók lapot.

A bejegyzéseket egy elérhető oszlopfejlécre kattintva rendezheti. A következő oszlopok érhetők el:^*

• Feladó: Az e-mailt küldő megszemélyesítő feladó e-mail-címe.
• Üzenetek száma: A megszemélyesítő feladótól érkező üzenetek száma az elmúlt hét napban.
• Megszemélyesítés típusa: Például a megjelenítendő névben szereplő felhasználó.
• Megszemélyesített felhasználó(k):A megszemélyesítés elleni védelemmel ellátott feladó megjelenítendő neve és e-mail-címe, amely hasonlít a Feladó e-mail-címére.
• Felhasználó típusa: Az alkalmazott védelem típusa (például Védett felhasználó vagy Postaláda-intelligencia).
• Házirend: Az adathalászat elleni szabályzat, amely a megszemélyesített feladót észlelte.
• Megszemélyesítés engedélyezett: Az alábbi értékek egyike:
  • Igen: A feladó megbízható felhasználóként (a megszemélyesítés elleni védelem alóli kivételként) lett konfigurálva az üzenetet észlelő adathalászat elleni szabályzatban. A megszemélyesített feladó üzenetei észlelve lettek, de engedélyezve voltak.
  • Nem: A feladó megszemélyesítés elleni védelemre lett konfigurálva az adathalászat elleni szabályzatban, amely észlelte az üzenetet. A felhasználó megszemélyesítésének észlelésére szolgáló művelet az adathalászat elleni szabályzatban az üzenetre történik.

^* Az összes oszlop megtekintéséhez valószínűleg el kell végeznie egy vagy több alábbi lépést:

• Görgetés vízszintesen a webböngészőben.
• Szűkítse a megfelelő oszlopok szélességét.
• Kicsinyítse a böngészőt.

Ha a felhasználói megszemélyesítési észlelések listáját normálről kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.

A Keresés mező és az értékek vesszővel tagolt listája segítségével megkeresheti a felhasználók megszemélyesítésének észlelését.

Az Exportálás paranccsel exportálhatja a felhasználói megszemélyesítés észlelésének listáját egy CSV-fájlba.

Felhasználói megszemélyesítés észlelésének részleteinek megtekintése

A Megszemélyesítési megállapításlapJának Felhasználók lapján https://security.microsoft.com/impersonationinsight?type=Userjelölje ki a megszemélyesítés észlelésének egyikét úgy, hogy a jelölőnégyzeten kívül bárhová kattint.

A részleteket tartalmazó úszó panelen a következő információk érhetők el:

• Miért kaptuk el ezt?

• Mit kell tennie?

• Feladó összegzése: A megszemélyesítésként észlelt feladó.

• Explorer-vizsgálat: A hivatkozásra kattintva megnyithatja a Fenyegetéskezelőt vagy a valós idejű észleléseket a feladóval kapcsolatos további részletekért.

• Feladótól érkező e-mail: Ebben a szakaszban a feladótól érkező hasonló üzenetekre vonatkozó alábbi információk láthatók:

  • Date
  • Címzett
  • Tárgy
  • Feladó
  • Feladó IP-címe
  • Kézbesítési művelet

Tipp

Ha a többi felhasználói megszemélyesítési bejegyzés részleteit a részletek úszó paneljének elhagyása nélkül szeretné megtekinteni, használja az Előző elem és a Következő elemet az úszó panel tetején.

Ha meg szeretné akadályozni, hogy egy észlelt feladót felhasználói megszemélyesítésként azonosítsunk, tekintse meg a következő alszakaszt.

Az észlelt feladó kivétele a jövőbeli felhasználói megszemélyesítési ellenőrzések alól

A Megszemélyesítési megállapításlapJánakhttps://security.microsoft.com/impersonationinsight?type=UserFelhasználók lapján az alábbi lépésekkel mentesítheti az észlelt feladókat a felhasználói megszemélyesítésből:

Jelölje ki a bejegyzést a listából úgy, hogy a jelölőnégyzettől eltérő sorban bárhová kattint.

A megnyíló részletes úszó panelen módosítsa a Megszemélyesítés kiválasztása szabályzatot , és adja hozzá a hozzáadást az úszó panel tetején található megszemélyesítési lista beállításaihoz. Ezek a beállítások együttműködve hozzáadják a feladót a megbízható feladók és tartományok listájához a szabályzatban, amely helytelenül azonosította az üzenetet felhasználói megszemélyesítésként:

• Válassza ki az adathalászat elleni szabályzatot a legördülő listában. Az üzenet észleléséért felelős adathalászat elleni szabályzat a Tartomány lap Házirend értékében jelenik meg.

• Húzza a kapcsolót a be állásba: értékre, ha hozzá szeretné adni a feladót a kiválasztott házirend Megbízható feladók és tartományok listájához.

  Ha el szeretné távolítani a feladót a Megbízható feladók és tartományok listáról, húzza vissza a kapcsolót a következőre:

Ha befejezte a részleteket tartalmazó úszó panelt, válassza a Bezárás lehetőséget.