Delen via


Inleiding

In het verleden konden acceptatielijsten Exchange Online Protection de signalen negeren die aangeven dat een e-mailbericht schadelijk is. Het is gebruikelijk dat leveranciers vragen dat IP-adressen, domeinen en adressen van afzenders onnodig worden overschreven. Het is bekend dat aanvallers misbruik maken van deze fout en het is een dringend beveiligingsgat om onnodige vermeldingen op de acceptatielijst te hebben. Deze stapsgewijze handleiding begeleidt u bij het gebruik van geavanceerde opsporing om deze onjuist geconfigureerde overschrijvingen te identificeren en te verwijderen, zodat u de beveiligingspostuur van uw organisatie kunt verhogen.

Wat u nodig hebt

  • Microsoft Defender voor Office 365 Abonnement 2 (Inbegrepen in E5-abonnementen of proefversie beschikbaar op aka.ms/trymdo)
  • Voldoende machtigingen (rol beveiligingslezer)
  • 5-10 minuten om de volgende procedures uit te voeren.

Algemene stappen voor alle onderstaande query's

  1. Meld u aan bij de beveiligingsportal en navigeer naar geavanceerde opsporing
  2. Voer de KQL-query in het queryvak in en druk op Query uitvoeren.
  3. Als u op de NetworkMessageId-hyperlink drukt voor afzonderlijke e-mailberichten wanneer deze in de resultaten wordt weergegeven, wordt een flyout geladen, zodat u gemakkelijk toegang hebt tot de pagina van de e-mailentiteit, waar het tabblad Analyse meer details bevat, zoals de transportregels die overeenkomen met de e-mail.
  4. De resultaten kunnen ook worden geƫxporteerd door op Exporteren te drukken voor manipulatie/analyse offline.

Tip

Als u OrgLevelAction wijzigt in UserLevelAction , kunt u zoeken naar e-mailwaarschuwingen die zijn overschreven door gebruikers in plaats van beheerders. Dit kan ook een nuttig inzicht zijn.

Query's

Bovenste onderdrukkingsbron

Gebruik deze query om te vinden waar de meest onnodige onderdrukkingen zich bevinden. Met deze query wordt gezocht naar e-mailberichten die zijn overschreven zonder detectie waarvoor een overschrijving is vereist.

EmailEvents
| where OrgLevelAction == "Allow"
| summarize count() by OrgLevelPolicy, ThreatTypes

Bovenste overschreven bedreigingstype

Gebruik deze query om de meest overschreven typen bedreigingen te vinden die zijn gedetecteerd. Met deze query wordt gezocht naar e-mailberichten waarbij de gedetecteerde bedreiging is overschreven, DMARC of Spoof wordt aangegeven dat problemen met e-mailverificatie kunnen worden opgelost om de noodzaak van de onderdrukking te verwijderen.

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by DetectionMethods

Belangrijkste overschreven IP-adressen

Met deze query wordt gezocht naar e-mailberichten die zijn overschreven door IP, zonder detectie die een overschrijving aanriep.

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderIPv4
| top 10 by count_

Belangrijkste overschreven domeinen

Met deze query wordt gezocht naar e-mailberichten die zijn overschreven door een domein te verzenden zonder detectie die een onderdrukking aanriep. (Wijzig in SenderMailFromDomain om 5321.MailFrom te controleren)

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromDomain
| top 10 by count_

Belangrijkste overschreven afzenders

Met deze query wordt gezocht naar e-mailberichten die zijn overschreven door een adres te verzenden zonder detectie waarvoor een onderdrukking is vereist. (Wijzig in SenderMailFromAddress om 5321.MailFrom te controleren)

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromAddress
| top 10 by count_

Meer informatie

Hopelijk vond u dit artikel nuttig, met enkele basisquery's om u op weg te helpen met geavanceerde opsporing, voor meer informatie over de onderstaande artikelen:

Meer informatie over geavanceerde opsporing: Overzicht - Geavanceerde opsporing.

Meer informatie over verificatie: Email Verificatie in Exchange Online Protection.