Tömeges feladók elemzése az Exchange Online Protectionben

• A következőre érvényes::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Megjegyzés:

A cikkben ismertetett funkciók jelenleg előzetes verzióban érhetők el, nem minden szervezetben érhetők el, és változhatnak.

Az Exchange Online-ban postaládákkal rendelkező Microsoft 365-szervezetekben vagy az Exchange Online-postaládákat nem tartalmazó különálló Exchange Online Védelmi (EOP) szervezetekben a Microsoft Defender portál tömeges feladói megállapításaival megtekintheti, hogy a levélszemét-ellenes szabályzatok jelenlegi tömeges küszöbértéke szerint mennyi e-mailt azonosítottak tömegesként, és szimulálhatja az azonosított és az engedélyezett tömeges e-maileket a tömeges feladó küszöbértékének változásai és a tömeges feladó minősége alapján.

Az EOP tömeges panaszszintet (BCL) rendel a tömeges feladóktól érkező bejövő üzenetekhez. A magasabb BCL-érték azt jelzi, hogy egy tömeges üzenet nagyobb valószínűséggel levélszemét. A levélszemét-ellenes házirendek tömeges e-mail-küszöbértéke egy megadott BCL-értéket használ az üzenetek tömeges azonosításához és azok végrehajtásához. További információ a BCL-ről: Tömeges panaszszint (BCL) az EOP-ban.

A tömeges feladókra vonatkozó megállapítás a következő képességekkel rendelkezik:

• Megtekintheti, hogy az elmúlt 60 napban mennyi levél van tömegesen azonosítva minden BCL-szinten (1–9).
• Szimulálja a tömeges e-mail-küszöbérték változásait, és tekintse meg azokat az eredményeket, amelyeket az alapértelmezett levélszemét-ellenes vagy egyéni levélszemét-ellenes házirendek tömegesként azonosítottak, és ahol megadhatja a BCL küszöbértékét. A BCL küszöbértéke nem állítható be a Standard vagy a Szigorú előre beállított biztonsági szabályzatokban.
• Megtekintheti a tömeges e-mail-küszöbérték által érintett üzenetküldők adatait, beleértve a feladó minősége alapján történő szűrést is.

Ez a cikk bemutatja, hogyan használhatja a tömeges feladókra vonatkozó megállapításokat a Microsoft Defender portálon.

Mit kell tudnia a kezdés előtt?

• A Microsoft Defender portált a címen nyithatja meg https://security.microsoft.com. Ha közvetlenül a Tömeges feladók megállapítási lapra szeretne lépni, használja a következőt https://security.microsoft.com/senderinsights: .

• Előfordulhat, hogy a tömeges szimuláció és az észlelés nem működik megfelelően, ha a Microsoft 365-tartomány MX rekordja egy külső szolgáltatásra vagy eszközre mutat.

• Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. Az alábbi lehetőségek közül választhat:

  • Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha az e-mail & együttműködéshez>Az Office 365-höz készült Defender engedélyei aktívak. Csak a Defender portált érinti, a PowerShellt nem: Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (kezelés) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).

  • Exchange Online-engedélyek:

    • Szabályzatok hozzáadása, módosítása és törlése: Tagság a Szervezetkezelés vagy a Biztonsági rendszergazda szerepkörcsoportban.
    • Csak olvasási hozzáférés a szabályzatokhoz: Tagság a globális olvasó, a biztonsági olvasó vagy a csak megtekintési jogosultsággal rendelkező szervezetfelügyeleti szerepkörcsoportokban.

  • Microsoft Entra-engedélyek: A következő szerepkörök tagsága biztosítja a felhasználóknak a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket:

    • Szabályzatok hozzáadása, módosítása és törlése: Tagság a Szervezetkezelés^* vagy a Biztonsági rendszergazda szerepkörben.
    • Csak olvasási hozzáférés a szabályzatokhoz: Tagság a Globális olvasó vagy a Biztonsági olvasó szerepkörben.

    Fontos

    ^* A Microsoft azt javasolja, hogy a legkevesebb engedélyekkel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

• A levélszemét-ellenes szabályzatok ajánlott beállításaiért lásd: Az EOP levélszemét-ellenes házirendjének beállításai.

Tipp

Az alapértelmezett vagy egyéni levélszemét-ellenes házirendek beállításait a rendszer figyelmen kívül hagyja, ha a címzettet a Standard vagy a Szigorú előre beállított biztonsági házirendek is tartalmazzák. További információ: Az e-mailek védelmének sorrendje és elsőbbségi sorrendje.

A levélszemét-ellenes szabályzat tömeges küszöbértéke határozza meg az üzenet tömeges azonosításához használt BCL-küszöbértéket. A 7 . tömeges küszöbérték például azt jelenti, hogy a 7, 8 vagy 9 BCL-értékkel rendelkező üzenetek tömegesként vannak azonosítva. A tömeges üzenetküldést a levélszemét-ellenes szabályzatban (például Üzenet áthelyezése levélszemét mappába, Karantén vagy Törlés) a tömegesen megfelelő szint (BCL) által meghatározott vagy túllépett művelet határozza meg. Az egyszerűség kedvéért az üzenetek tömeges azonosítását és a rajta való műveletet letiltottnak nevezzük a tömeges feladók elemzésében.

A tömeges feladók elemzésének megnyitása a Microsoft Defender portálon

A tömeges feladókra vonatkozó megállapítás a következő helyeken érhető el:

• Az alapértelmezett levélszemét-ellenes házirend vagy egyéni levélszemét-ellenes házirend tulajdonságaiban:

  1. A Microsoft Defender portálján https://security.microsoft.coma Házirendek szakaszban lépjen az E-mail & együttműködési>szabályzatok & Szabályok>Veszélyforrások elleni házirendek>Levélszemét elleni szakaszára. Vagy ha közvetlenül a Levélszemét elleni házirendek lapra szeretne lépni, használja a parancsot https://security.microsoft.com/antispam.

  2. A Levélszemét elleni házirendek lapon válasszon ki egy egyéni levélszemét-ellenes házirendet (a Típus érték egyéni levélszemét-ellenes házirend) vagy az alapértelmezett levélszemét-ellenes házirendet Levélszemét elleni bejövő házirend (Alapértelmezett) néven. Ehhez kattintson az első oszlop melletti jelölőnégyzeten kívül bárhová.

  3. A megnyíló részletes úszó panelen válassza a Levélszemét küszöbértékének és tulajdonságainak szerkesztése lehetőséget a Tömeges e-mail-küszöbérték & levélszemét tulajdonságai szakasz alján.

  4. A megnyíló Levélszemét küszöbérték és tulajdonságok úszó panelen a tömeges feladók megállapítás a következő információkat tartalmazza a szervezet összes levélszemét-ellenes házirendje által az elmúlt 60 napban észlelt összes tömeges e-mailről:

     • A megállapítás alapértelmezés szerint az aktuális BCL-küszöbértéknél letiltott és engedélyezett tömeges üzenetek számát jeleníti meg:

       

     • Ha csökkenti a BCL küszöbértékét, hogy több tömeges e-mailt tiltson le, az elemzés az új BCL-küszöbértéknél letiltott és engedélyezett tömeges üzenetek számát jeleníti meg:

       

     • Ha növeli a BCL küszöbértékét, hogy több tömeges e-mailt engedélyezzen, az elemzés az új BCL-küszöbértéknél letiltott és engedélyezett tömeges üzenetek számát jeleníti meg:

       

• Az E-mail & együttműködési jelentések és elemzések oldalon:

  1. A Microsoft Defender portálján https://security.microsoft.comlépjen a Jelentések>E-mail & együttműködés című szakaszRa, & együttműködési jelentések és elemzések e-mail-&.> Vagy ha közvetlenül az E-mail & együttműködési jelentések és elemzések lapra szeretne lépni, használja a következőt https://security.microsoft.com/emailandcollabreport: .

  2. Az E-mail & együttműködési jelentések és elemzések lapon lépjen az E-mail & együttműködési elemzések szakaszra, és keresse meg a Tömeges feladók megállapítást.

  

A tömeges észlelésekkel és a küldőkkel kapcsolatos részletes információk megtekintéséhez válassza a Tömeges feladók elemzésének megtekintése vagy a Részletek megtekintése lehetőséget a Tömeges feladók elemzési lap megnyitásához.

A Tömeges feladók elemzési oldal megtekintése

A Tömeges feladók megállapítás oldal az alábbi módszerekkel érhető el:

• Közvetlenül a címen https://security.microsoft.com/senderinsights.
• Ha a Levélszemét küszöbről a Tömeges feladók megtekintése megállapítást választja , és a tulajdonságok úszó panelen egy egyéni levélszemét-ellenes házirend részleteiben, vagy az alapértelmezett levélszemét-ellenes szabályzatot választja a levélszemét-ellenes házirendek oldalán a címen https://security.microsoft.com/antispam.
• Ha a Tömeges feladók elemzési kártyán a Részletek megtekintése lehetőséget választja az E-mail & együttműködési jelentések és elemzések oldalon.https://security.microsoft.com/emailandcollabreport

Szimuláció futtatása előtt az oldal közepén található táblázatban szereplő értékek a következő értékeket jelölik:

• Tömeges panaszszint (BCL): A lehetséges BCL-értékek tartománya (1–9).
• Minden e-mail: Az egyes BCL-értékeken azonosított üzenetek teljes száma (amelyek némelyike 0 lehet).
• Kézbesítve az aktuális BCL-küszöbértéknél: Az egyes BCL-értékekhez kézbesített (nem tömegesként azonosított) üzenetek száma:
  • Ha a BCL értéke kisebb, mint az Aktuális tömeges e-mail küszöbértéke , az üzenet kézbesítése megtörtént (nem lett tömegesként azonosítva):
    • A Kézbesítve az aktuális BCL-küszöbérték és az Összes e-mail érték megegyezik.
    • A Kézbesítve az aktuális BCL-hez küszöbérték megegyezik az aktuális konfigurációs értéken kézbesített e-mail értékével.
  • Ha a BCL értéke nagyobb vagy egyenlő az Aktuális tömeges e-mail küszöbértéknél , az üzenet tömegesként lett azonosítva, és blokkolva lett.
    • A Kézbesítve az aktuális BCL-küszöbértéknél a BCL értéke 0.
    • A Minden e-mail érték megegyezik az aktuális BCL-küszöbértéknél azonosított e-mail-cím értékével.
• Kézbesítés új BCL-küszöbértéknél: Azoknak az üzeneteknek a száma, amelyeket nem azonosítottak tömeges e-mailként a szimuláció futtatása után . A szimuláció futtatása előtt az érték értelmetlen.

Szimuláció futtatásához használja a következő elemeket az oldalon:

• A nem módosítható Current bulk email threshold (Aktuális tömeges e-mail-küszöbérték ) csúszka az aktuális BCL-küszöbértéket jeleníti meg az alapján, hogy hogyan jutott el a Tömeges feladók megállapítási lapra:
  • Közvetlenül: A BCL küszöbértéke 7.
  • Levélszemét-ellenes házirend tulajdonságaiból: A BCL küszöbértéke a levélszemét-ellenes szabályzat aktuális értéke.
• Az Új tömeges e-mail-küszöbérték csúszkával szimulálhatja a BCL-küszöbértéknek a kézbesített vagy letiltott üzenetekre való növelésének és csökkentésének hatását.
• A Szimuláció feladói minőségére vonatkozó küszöbérték csúszka egy jó/rossz feladó megbízhatósági küszöbértéket határoz meg, amelyet a BCL frissítési szimulációjában használni kell. A magasabb érték a megbízhatóbb feladók alapján szimulált BCL-küszöbértékeket jelzi. A küldők szimulációs feladói minőségi küszöbértéke a következő tényezőkön alapul:
  • Korábbi interakciók a feladóval.
  • Üzenet gyakorisága a feladótól.
  • Rendszergazdai vagy felhasználói visszajelzés a feladótól érkező üzenetekről.

Miután kiválasztotta az Új tömeges e-mail küszöbértéket és a Szimulációs feladó minőségi küszöbértékét , válassza a Szimulálás lehetőséget:

• Az oldal frissül a letiltott üzenetek és az engedélyezett üzenetek számával az aktuális és az új szimulált BCL küszöbértékeihez.
• A lap alján a tömegesen azonosított feladók adatai frissülnek.

A tömeges feladók adatainak megtekintése a Tömeges feladók elemzési oldalon

A lap alján található tömeges feladó részleteit tartalmazó táblázat azokról a tömeges feladókról tartalmaz adatokat, akiknek az üzeneteit tömegesként azonosították.

A táblázat tartalmazhat feladói adatokat a Tömeges feladók megállapítási oldal első megnyitásakor, ha az Aktuális tömeges e-mail-küszöbérték és a Szimuláció feladói minőségi küszöbértéke már a szimulációk futtatása előtt tömeges e-mail-azonosítást eredményezett.

Ellenkező esetben a feladók a jelenlegi tömeges e-mail-küszöbérték és a Szimulációs feladó minőségi küszöbértéke alapján kerülnek bele a feladók adatainak táblázatába a szimuláció futtatása után.

A feladó adatait tartalmazó táblában szereplő bejegyzések esetében a következő oszlopok mindig elérhetők:

• Feladó: A feladó e-mail-címe.
• BCL
• Szimuláció feladói minőségére vonatkozó küszöbérték

A küldő adatait tartalmazó táblázat többi oszlopa a jelenlegi tömeges e-mail-küszöbérték és az Új tömeges e-mail küszöbérték közötti kapcsolattól függ a szimuláció futtatása után:

• Az új tömeges e-mail küszöbértéke az Aktuális tömeges e-mail-küszöbérték:

  • Lehetséges hamis pozitív
  • Lehetséges hamis negatív

  Az eredmények szűréséhez válassza a Minden feladó lehetőséget, majd válasszon az alábbi értékek közül:

  • Lehetséges hamis pozitív: Csak azok a feladók jelennek meg, ahol a Lehetséges hamis pozitívérték Igaz .
  • Lehetséges hamis negatív: Csak azok a feladók jelennek meg, ahol a Lehetséges hamis negatívérték Igaz .

  

• Az új tömeges e-mail-küszöbérték kisebb, mint a jelenlegi tömeges e-mail-küszöbérték:

  • Új feladó letiltva
  • Lehetséges hamis pozitív

  Az eredmények szűréséhez válassza a Minden feladó lehetőséget, majd válasszon az alábbi értékek közül:

  • Új feladó letiltva: Csak azok a feladók jelennek meg, amelyeknél az Új feladó letiltvaigaz .
  • Lehetséges hamis pozitív: Csak azok a feladók jelennek meg, ahol a Lehetséges hamis pozitívérték Igaz .

  

• Az új tömeges e-mail-küszöbérték nagyobb, mint a jelenlegi tömeges e-mail-küszöbérték:

  • Új feladó engedélyezve
  • Lehetséges hamis negatív

  Az eredmények szűréséhez válassza a Minden feladó lehetőséget, majd válasszon az alábbi értékek közül:

  • Új feladó engedélyezett: Csak azok a feladók jelennek meg, amelyeknél az Új feladó engedélyezveértéke Igaz .
  • Lehetséges hamis negatív: Csak azok a feladók jelennek meg, ahol a Lehetséges hamis negatívérték Igaz .

  

Ha a bejegyzések listáját normálről kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.

A Keresés mező és a megfelelő érték segítségével megkeresheti a megadott feladókat a táblában.

Az Exportálás paranccsel mentheti az aktuálisan megjelenített feladók listáját egy CSV-fájlba. Az alapértelmezett fájlnév a Tömeges feladói megállapítások – Microsoft Defender.csv, az alapértelmezett hely pedig a helyi Letöltések mappa. Ha egy exportált fájl már létezik ezen a helyen, a fájlnév növekszik (például Tömeges feladói megállapítások – Microsoft Defender(1).csv).

A tömeges feladók részletes információinak megtekintése a Tömeges feladók elemzési oldalon

Ha meg szeretné tekinteni egy adott feladó adatait a Feladó részletei táblázatból a Tömeges feladók megállapítás oldal alján, kattintson bárhová az első oszlop melletti jelölőnégyzettől eltérő sorban. A megnyíló Feladó részletei úszó panel a következő információkat tartalmazza a feladóról:

• Feladó: A feladó e-mail-címe.
• Üzenetek: A feladótól érkező üzenetek száma.
• Üzenetek a Beérkezett üzenetek mappában: A feladótól érkező üzenetek száma, amelyeket a felhasználói postaládákba kézbesítettek.
• Karanténban vagy levélszemétben lévő üzenetek: A felhasználó levélszemétmappáiba vagy karanténba helyezett feladótól érkező üzenetek száma.
• Rendszergazdai beállítás: Azt határozza meg, hogy a feladót engedélyezi vagy blokkolja-e a Kezelés engedélyezése és blokkok a bérlői engedélyezési/tiltólistánÉrvényes értékek:
  • Engedélyezés: Az üzenet feladójának van engedélyezési bejegyzése.
  • Blokk: Az üzenet feladójának van egy blokkbejegyzése.
• Felhasználó által engedélyezett üzenetek: Azon feladótól érkező üzenetek száma, amelyek fel lettek véve a Megbízható feladók listára a felhasználói postaládákban.
• Felhasználó által letiltott üzenetek: Azon feladótól érkező üzenetek száma, amelyek hozzáadták a Letiltott feladók listát a felhasználói postaládákban.
• Téves pozitív beküldések: A feladótól érkező, jó e-mailként elküldött üzenetek száma véletlenül blokkolva lett.
• Hamis negatív beküldések: A feladótól érkező, hibásként küldött üzenetek száma, véletlenül kézbesítve.
• A felhasználó átkerült a Levélszemét mappából a Beérkezett üzenetek mappába
• A felhasználó átkerült a Beérkezett üzenetek mappából a Levélszemét mappába
• Felhasználó által törölt üzenetek
• Rendszergazda által karanténba helyezett üzenetek
• A rendszergazda áthelyezte az e-maileket a Beérkezett üzenetek mappából a Levélszemét mappába
• Rendszergazda által törölt üzenetek