Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Tidigare har tillåtna listor aktiverats Exchange Online Protection ignorera signalerna som indikerar att ett e-postmeddelande är skadligt. Det är vanligt att leverantörer begär IP-adresser, domäner och avsändaradresser i onödan. Angripare är kända för att dra nytta av det här misstaget och det är ett trängande säkerhetshål att ha onödiga tillåtna poster. Den här stegvisa guiden vägleder dig genom att använda avancerad jakt för att identifiera dessa felkonfigurerade åsidosättningar och ta bort dem, så att du kan öka organisationens säkerhetsstatus.
Vad du behöver
- Microsoft Defender för Office 365 plan 2 (ingår i E5-abonnemang eller utvärderingsversion tillgänglig på aka.ms/trymdo)
- Tillräcklig behörighet (rollen Säkerhetsläsare)
- 5–10 minuter för att utföra följande procedurer.
Vanliga steg för alla nedanstående frågor
- Logga in på säkerhetsportalen och gå till avancerad jakt
- Ange KQL-frågan i frågerutan och tryck på Kör fråga.
- Om du trycker på hyperlänken NetworkMessageId för enskilda e-postmeddelanden när det visas i resultatet läses en utfälld utfälld utfällning in, vilket ger enkel åtkomst till sidan för e-postentitet, där analysfliken innehåller ytterligare information, till exempel transportreglerna som e-post matchade.
- Resultaten kan också exporteras genom att trycka på Exportera för manipulation/analys offline.
Tips
Om du ändrar OrgLevelAction till UserLevelAction kan du söka efter e-postvarningar som åsidosätts av användare i stället för administratörer, och det kan också vara en användbar insikt.
Frågor
Övre åsidosättningskälla
Använd den här frågan för att ta reda på var de mest onödiga åsidosättningarna finns. Den här frågan letar efter e-postmeddelanden som åsidosätts utan någon identifiering som behövde en åsidosättning.
EmailEvents
| where OrgLevelAction == "Allow"
| summarize count() by OrgLevelPolicy, ThreatTypes
Överst åsidosatt hottyp
Använd den här frågan för att hitta de mest åsidosatta typerna av hot som identifierats. Den här frågan söker efter e-postmeddelanden där det identifierade hotet åsidosätts, DMARC eller förfalskning anger problem med e-postautentisering som kan åtgärdas för att ta bort behovet av åsidosättningen.
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by DetectionMethods
Överst åsidosatta IP-adresser
Den här frågan söker efter e-postmeddelanden som åsidosätts av IP,utan någon identifiering som anropade för en åsidosättning.
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderIPv4
| top 10 by count_
Överst åsidosatta domäner
Den här frågan söker efter e-postmeddelanden som åsidosätts genom att skicka domän utan identifiering som anropade en åsidosättning. (Ändra till SenderMailFromDomain för att kontrollera 5321.MailFrom)
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromDomain
| top 10 by count_
De främsta åsidosatta avsändare
Den här frågan söker efter e-postmeddelanden som åsidosätts genom att skicka en adress utan identifiering som kräver en åsidosättning. (Ändra till SenderMailFromAddress för att kontrollera 5321.MailFrom)
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromAddress
| top 10 by count_
Läs mer
Förhoppningsvis tyckte du att den här artikeln var användbar, med några grundläggande frågor för att komma igång med avancerad jakt, för att lära dig mer kolla in artiklarna nedan:
Läs mer om avancerad jakt: Översikt – Avancerad jakt.
Läs mer om autentisering: Email-autentisering i Exchange Online Protection.