Tömeges feladók elemzése az Exchange Online Protectionben
Megjegyzés:
A cikkben ismertetett funkciók jelenleg előzetes verzióban érhetők el, nem minden szervezetben érhetők el, és változhatnak.
Az Exchange Online-ban postaládákkal rendelkező Microsoft 365-szervezetekben vagy az Exchange Online-postaládákat nem tartalmazó különálló Exchange Online Védelmi (EOP) szervezetekben a Microsoft Defender portál tömeges feladói megállapításaival megtekintheti, hogy a levélszemét-ellenes szabályzatok jelenlegi tömeges küszöbértéke szerint mennyi e-mailt azonosítottak tömegesként, és szimulálhatja az azonosított és az engedélyezett tömeges e-maileket a tömeges feladó küszöbértékének változásai és a tömeges feladó minősége alapján.
Az EOP tömeges panaszszintet (BCL) rendel a tömeges feladóktól érkező bejövő üzenetekhez. A magasabb BCL-érték azt jelzi, hogy egy tömeges üzenet nagyobb valószínűséggel levélszemét. A levélszemét-ellenes házirendek tömeges e-mail-küszöbértéke egy megadott BCL-értéket használ az üzenetek tömeges azonosításához és azok végrehajtásához. További információ a BCL-ről: Tömeges panaszszint (BCL) az EOP-ban.
A tömeges feladókra vonatkozó megállapítás a következő képességekkel rendelkezik:
- Megtekintheti, hogy az elmúlt 60 napban mennyi levél van tömegesen azonosítva minden BCL-szinten (1–9).
- Szimulálja a tömeges e-mail-küszöbérték változásait, és tekintse meg azokat az eredményeket, amelyeket az alapértelmezett levélszemét-ellenes vagy egyéni levélszemét-ellenes házirendek tömegesként azonosítottak, és ahol megadhatja a BCL küszöbértékét. A BCL küszöbértéke nem állítható be a Standard vagy a Szigorú előre beállított biztonsági szabályzatokban.
- Megtekintheti a tömeges e-mail-küszöbérték által érintett üzenetküldők adatait, beleértve a feladó minősége alapján történő szűrést is.
Ez a cikk bemutatja, hogyan használhatja a tömeges feladókra vonatkozó megállapításokat a Microsoft Defender portálon.
Mit kell tudnia a kezdés előtt?
A Microsoft Defender portált a címen nyithatja meg https://security.microsoft.com. Ha közvetlenül a Tömeges feladók megállapítási lapra szeretne lépni, használja a következőt https://security.microsoft.com/senderinsights: .
Előfordulhat, hogy a tömeges szimuláció és az észlelés nem működik megfelelően, ha a Microsoft 365-tartomány MX rekordja egy külső szolgáltatásra vagy eszközre mutat.
Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. Az alábbi lehetőségek közül választhat:
Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha az e-mail & együttműködéshez>Az Office 365-höz készült Defender engedélyei aktívak. Csak a Defender portált érinti, a PowerShellt nem: Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (kezelés) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).
-
- Szabályzatok hozzáadása, módosítása és törlése: Tagság a Szervezetkezelés vagy a Biztonsági rendszergazda szerepkörcsoportban.
- Csak olvasási hozzáférés a szabályzatokhoz: Tagság a globális olvasó, a biztonsági olvasó vagy a csak megtekintési jogosultsággal rendelkező szervezetfelügyeleti szerepkörcsoportokban.
Microsoft Entra-engedélyek: A következő szerepkörök tagsága biztosítja a felhasználóknak a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket:
- Szabályzatok hozzáadása, módosítása és törlése: Tagság a Szervezetkezelés* vagy a Biztonsági rendszergazda szerepkörben.
- Csak olvasási hozzáférés a szabályzatokhoz: Tagság a Globális olvasó vagy a Biztonsági olvasó szerepkörben.
Fontos
* A Microsoft azt javasolja, hogy a legkevesebb engedélyekkel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
A levélszemét-ellenes szabályzatok ajánlott beállításaiért lásd: Az EOP levélszemét-ellenes házirendjének beállításai.
Tipp
Az alapértelmezett vagy egyéni levélszemét-ellenes házirendek beállításait a rendszer figyelmen kívül hagyja, ha a címzettet a Standard vagy a Szigorú előre beállított biztonsági házirendek is tartalmazzák. További információ: Az e-mailek védelmének sorrendje és elsőbbségi sorrendje.
A levélszemét-ellenes szabályzat tömeges küszöbértéke határozza meg az üzenet tömeges azonosításához használt BCL-küszöbértéket. A 7 . tömeges küszöbérték például azt jelenti, hogy a 7, 8 vagy 9 BCL-értékkel rendelkező üzenetek tömegesként vannak azonosítva. A tömeges üzenetküldést a levélszemét-ellenes szabályzatban (például Üzenet áthelyezése levélszemét mappába, Karantén vagy Törlés) a tömegesen megfelelő szint (BCL) által meghatározott vagy túllépett művelet határozza meg. Az egyszerűség kedvéért az üzenetek tömeges azonosítását és a rajta való műveletet letiltottnak nevezzük a tömeges feladók elemzésében.
A tömeges feladók elemzésének megnyitása a Microsoft Defender portálon
A tömeges feladókra vonatkozó megállapítás a következő helyeken érhető el:
Az alapértelmezett levélszemét-ellenes házirend vagy egyéni levélszemét-ellenes házirend tulajdonságaiban:
A Microsoft Defender portálján https://security.microsoft.coma Házirendek szakaszban lépjen az E-mail & együttműködési>szabályzatok & Szabályok>Veszélyforrások elleni házirendek>Levélszemét elleni szakaszára. Vagy ha közvetlenül a Levélszemét elleni házirendek lapra szeretne lépni, használja a parancsot https://security.microsoft.com/antispam.
A Levélszemét elleni házirendek lapon válasszon ki egy egyéni levélszemét-ellenes házirendet (a Típus érték egyéni levélszemét-ellenes házirend) vagy az alapértelmezett levélszemét-ellenes házirendet Levélszemét elleni bejövő házirend (Alapértelmezett) néven. Ehhez kattintson az első oszlop melletti jelölőnégyzeten kívül bárhová.
A megnyíló részletes úszó panelen válassza a Levélszemét küszöbértékének és tulajdonságainak szerkesztése lehetőséget a Tömeges e-mail-küszöbérték & levélszemét tulajdonságai szakasz alján.
A megnyíló Levélszemét küszöbérték és tulajdonságok úszó panelen a tömeges feladók megállapítás a következő információkat tartalmazza a szervezet összes levélszemét-ellenes házirendje által az elmúlt 60 napban észlelt összes tömeges e-mailről:
A megállapítás alapértelmezés szerint az aktuális BCL-küszöbértéknél letiltott és engedélyezett tömeges üzenetek számát jeleníti meg:
Ha csökkenti a BCL küszöbértékét, hogy több tömeges e-mailt tiltson le, az elemzés az új BCL-küszöbértéknél letiltott és engedélyezett tömeges üzenetek számát jeleníti meg:
Ha növeli a BCL küszöbértékét, hogy több tömeges e-mailt engedélyezzen, az elemzés az új BCL-küszöbértéknél letiltott és engedélyezett tömeges üzenetek számát jeleníti meg:
Az E-mail & együttműködési jelentések és elemzések oldalon:
A Microsoft Defender portálján https://security.microsoft.comlépjen a Jelentések>E-mail & együttműködés című szakaszRa, & együttműködési jelentések és elemzések e-mail-&.> Vagy ha közvetlenül az E-mail & együttműködési jelentések és elemzések lapra szeretne lépni, használja a következőt https://security.microsoft.com/emailandcollabreport: .
Az E-mail & együttműködési jelentések és elemzések lapon lépjen az E-mail & együttműködési elemzések szakaszra, és keresse meg a Tömeges feladók megállapítást.
A tömeges észlelésekkel és a küldőkkel kapcsolatos részletes információk megtekintéséhez válassza a Tömeges feladók elemzésének megtekintése vagy a Részletek megtekintése lehetőséget a Tömeges feladók elemzési lap megnyitásához.
A Tömeges feladók elemzési oldal megtekintése
A Tömeges feladók megállapítás oldal az alábbi módszerekkel érhető el:
- Közvetlenül a címen https://security.microsoft.com/senderinsights.
- Ha a Levélszemét küszöbről a Tömeges feladók megtekintése megállapítást választja , és a tulajdonságok úszó panelen egy egyéni levélszemét-ellenes házirend részleteiben, vagy az alapértelmezett levélszemét-ellenes szabályzatot választja a levélszemét-ellenes házirendek oldalán a címen https://security.microsoft.com/antispam.
- Ha a Tömeges feladók elemzési kártyán a Részletek megtekintése lehetőséget választja az E-mail & együttműködési jelentések és elemzések oldalon.https://security.microsoft.com/emailandcollabreport
Szimuláció futtatása előtt az oldal közepén található táblázatban szereplő értékek a következő értékeket jelölik:
- Tömeges panaszszint (BCL): A lehetséges BCL-értékek tartománya (1–9).
- Minden e-mail: Az egyes BCL-értékeken azonosított üzenetek teljes száma (amelyek némelyike 0 lehet).
-
Kézbesítve az aktuális BCL-küszöbértéknél: Az egyes BCL-értékekhez kézbesített (nem tömegesként azonosított) üzenetek száma:
- Ha a BCL értéke kisebb, mint az Aktuális tömeges e-mail küszöbértéke , az üzenet kézbesítése megtörtént (nem lett tömegesként azonosítva):
- A Kézbesítve az aktuális BCL-küszöbérték és az Összes e-mail érték megegyezik.
- A Kézbesítve az aktuális BCL-hez küszöbérték megegyezik az aktuális konfigurációs értéken kézbesített e-mail értékével.
- Ha a BCL értéke nagyobb vagy egyenlő az Aktuális tömeges e-mail küszöbértéknél , az üzenet tömegesként lett azonosítva, és blokkolva lett.
- A Kézbesítve az aktuális BCL-küszöbértéknél a BCL értéke 0.
- A Minden e-mail érték megegyezik az aktuális BCL-küszöbértéknél azonosított e-mail-cím értékével.
- Ha a BCL értéke kisebb, mint az Aktuális tömeges e-mail küszöbértéke , az üzenet kézbesítése megtörtént (nem lett tömegesként azonosítva):
- Kézbesítés új BCL-küszöbértéknél: Azoknak az üzeneteknek a száma, amelyeket nem azonosítottak tömeges e-mailként a szimuláció futtatása után . A szimuláció futtatása előtt az érték értelmetlen.
Szimuláció futtatásához használja a következő elemeket az oldalon:
- A nem módosítható Current bulk email threshold (Aktuális tömeges e-mail-küszöbérték ) csúszka az aktuális BCL-küszöbértéket jeleníti meg az alapján, hogy hogyan jutott el a Tömeges feladók megállapítási lapra:
- Közvetlenül: A BCL küszöbértéke 7.
- Levélszemét-ellenes házirend tulajdonságaiból: A BCL küszöbértéke a levélszemét-ellenes szabályzat aktuális értéke.
- Az Új tömeges e-mail-küszöbérték csúszkával szimulálhatja a BCL-küszöbértéknek a kézbesített vagy letiltott üzenetekre való növelésének és csökkentésének hatását.
- A Szimuláció feladói minőségére vonatkozó küszöbérték csúszka egy jó/rossz feladó megbízhatósági küszöbértéket határoz meg, amelyet a BCL frissítési szimulációjában használni kell. A magasabb érték a megbízhatóbb feladók alapján szimulált BCL-küszöbértékeket jelzi. A küldők szimulációs feladói minőségi küszöbértéke a következő tényezőkön alapul:
- Korábbi interakciók a feladóval.
- Üzenet gyakorisága a feladótól.
- Rendszergazdai vagy felhasználói visszajelzés a feladótól érkező üzenetekről.
Miután kiválasztotta az Új tömeges e-mail küszöbértéket és a Szimulációs feladó minőségi küszöbértékét , válassza a Szimulálás lehetőséget:
- Az oldal frissül a letiltott üzenetek és az engedélyezett üzenetek számával az aktuális és az új szimulált BCL küszöbértékeihez.
- A lap alján a tömegesen azonosított feladók adatai frissülnek.
A tömeges feladók adatainak megtekintése a Tömeges feladók elemzési oldalon
A lap alján található tömeges feladó részleteit tartalmazó táblázat azokról a tömeges feladókról tartalmaz adatokat, akiknek az üzeneteit tömegesként azonosították.
A táblázat tartalmazhat feladói adatokat a Tömeges feladók megállapítási oldal első megnyitásakor, ha az Aktuális tömeges e-mail-küszöbérték és a Szimuláció feladói minőségi küszöbértéke már a szimulációk futtatása előtt tömeges e-mail-azonosítást eredményezett.
Ellenkező esetben a feladók a jelenlegi tömeges e-mail-küszöbérték és a Szimulációs feladó minőségi küszöbértéke alapján kerülnek bele a feladók adatainak táblázatába a szimuláció futtatása után.
A feladó adatait tartalmazó táblában szereplő bejegyzések esetében a következő oszlopok mindig elérhetők:
- Feladó: A feladó e-mail-címe.
- BCL
- Szimuláció feladói minőségére vonatkozó küszöbérték
A küldő adatait tartalmazó táblázat többi oszlopa a jelenlegi tömeges e-mail-küszöbérték és az Új tömeges e-mail küszöbérték közötti kapcsolattól függ a szimuláció futtatása után:
Az új tömeges e-mail küszöbértéke az Aktuális tömeges e-mail-küszöbérték:
- Lehetséges hamis pozitív
- Lehetséges hamis negatív
Az eredmények szűréséhez válassza a Minden feladó lehetőséget, majd válasszon az alábbi értékek közül:
- Lehetséges hamis pozitív: Csak azok a feladók jelennek meg, ahol a Lehetséges hamis pozitívérték Igaz .
- Lehetséges hamis negatív: Csak azok a feladók jelennek meg, ahol a Lehetséges hamis negatívérték Igaz .
Az új tömeges e-mail-küszöbérték kisebb, mint a jelenlegi tömeges e-mail-küszöbérték:
- Új feladó letiltva
- Lehetséges hamis pozitív
Az eredmények szűréséhez válassza a Minden feladó lehetőséget, majd válasszon az alábbi értékek közül:
- Új feladó letiltva: Csak azok a feladók jelennek meg, amelyeknél az Új feladó letiltvaigaz .
- Lehetséges hamis pozitív: Csak azok a feladók jelennek meg, ahol a Lehetséges hamis pozitívérték Igaz .
Az új tömeges e-mail-küszöbérték nagyobb, mint a jelenlegi tömeges e-mail-küszöbérték:
- Új feladó engedélyezve
- Lehetséges hamis negatív
Az eredmények szűréséhez válassza a Minden feladó lehetőséget, majd válasszon az alábbi értékek közül:
- Új feladó engedélyezett: Csak azok a feladók jelennek meg, amelyeknél az Új feladó engedélyezveértéke Igaz .
- Lehetséges hamis negatív: Csak azok a feladók jelennek meg, ahol a Lehetséges hamis negatívérték Igaz .
Ha a bejegyzések listáját normálről kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.
A Keresés mező és a megfelelő érték segítségével megkeresheti a megadott feladókat a táblában.
Az Exportálás paranccsel mentheti az aktuálisan megjelenített feladók listáját egy CSV-fájlba. Az alapértelmezett fájlnév a Tömeges feladói megállapítások – Microsoft Defender.csv, az alapértelmezett hely pedig a helyi Letöltések mappa. Ha egy exportált fájl már létezik ezen a helyen, a fájlnév növekszik (például Tömeges feladói megállapítások – Microsoft Defender(1).csv).
A tömeges feladók részletes információinak megtekintése a Tömeges feladók elemzési oldalon
Ha meg szeretné tekinteni egy adott feladó adatait a Feladó részletei táblázatból a Tömeges feladók megállapítás oldal alján, kattintson bárhová az első oszlop melletti jelölőnégyzettől eltérő sorban. A megnyíló Feladó részletei úszó panel a következő információkat tartalmazza a feladóról:
- Feladó: A feladó e-mail-címe.
- Üzenetek: A feladótól érkező üzenetek száma.
- Üzenetek a Beérkezett üzenetek mappában: A feladótól érkező üzenetek száma, amelyeket a felhasználói postaládákba kézbesítettek.
- Karanténban vagy levélszemétben lévő üzenetek: A felhasználó levélszemétmappáiba vagy karanténba helyezett feladótól érkező üzenetek száma.
-
Rendszergazdai beállítás: Azt határozza meg, hogy a feladót engedélyezi vagy blokkolja-e a Kezelés engedélyezése és blokkok a bérlői engedélyezési/tiltólistánÉrvényes értékek:
- Engedélyezés: Az üzenet feladójának van engedélyezési bejegyzése.
- Blokk: Az üzenet feladójának van egy blokkbejegyzése.
- Felhasználó által engedélyezett üzenetek: Azon feladótól érkező üzenetek száma, amelyek fel lettek véve a Megbízható feladók listára a felhasználói postaládákban.
- Felhasználó által letiltott üzenetek: Azon feladótól érkező üzenetek száma, amelyek hozzáadták a Letiltott feladók listát a felhasználói postaládákban.
- Téves pozitív beküldések: A feladótól érkező, jó e-mailként elküldött üzenetek száma véletlenül blokkolva lett.
- Hamis negatív beküldések: A feladótól érkező, hibásként küldött üzenetek száma, véletlenül kézbesítve.
- A felhasználó átkerült a Levélszemét mappából a Beérkezett üzenetek mappába
- A felhasználó átkerült a Beérkezett üzenetek mappából a Levélszemét mappába
- Felhasználó által törölt üzenetek
- Rendszergazda által karanténba helyezett üzenetek
- A rendszergazda áthelyezte az e-maileket a Beérkezett üzenetek mappából a Levélszemét mappába
- Rendszergazda által törölt üzenetek