Office 365 için Microsoft Defender'daki Email varlık sayfası
İpucu
Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.
Aboneliğine Office 365 için Microsoft Defender dahil edilmiş veya eklenti olarak satın alınmış Microsoft 365 kuruluşları Email varlık sayfasına sahiptir. Microsoft Defender portalındaki Email varlık sayfası, bir e-posta iletisi ve ilgili varlıklar hakkında çok ayrıntılı bilgiler içerir.
Bu makalede, Email varlık sayfasındaki bilgiler ve eylemler açıklanmaktadır.
Email varlık sayfası için izinler ve lisanslama
Email varlık sayfasını kullanmak için size izinler atanmalıdır. İzinler ve lisanslama, Tehdit Gezgini (Gezgin) ve Gerçek zamanlı algılamalarla aynıdır. Daha fazla bilgi için bkz. Tehdit Gezgini ve Gerçek zamanlı algılamalar için izinler ve lisanslama.
Email varlık sayfası nerede bulunur?
Defender portalının üst düzeylerinden Email varlık sayfasına doğrudan bağlantı yoktur. Bunun yerine, birçok Office 365 için Defender özelliğinde e-posta ayrıntıları açılır öğesinin en üstünde e-posta varlığı aç eylemi kullanılabilir. Bu e-posta ayrıntıları açılır öğesi Email özet paneli olarak bilinir ve Email varlık sayfasındaki bilgilerin özetlenmiş bir alt kümesini içerir. E-posta özet paneli, Office 365 için Defender özellikler arasında aynıdır. Daha fazla bilgi için bu makalenin devamında yer alan Email özet paneli bölümüne bakın.
E-posta varlığını aç eyleminin bulunduğu Email özet paneli aşağıdaki konumlarda kullanılabilir:
konumundaki Gelişmiş avcılık sayfasından https://security.microsoft.com/v2/advanced-hunting: E-postayla ilgili bir sorgunun Sonuçlar sekmesinde, tablodaki bir girdinin NetworkMessageId değerine tıklayın.
*Konumundaki Uyarılar sayfasındanhttps://security.microsoft.com/alerts: Algılama kaynağı değeri MDO veya Ürün adları değeri Office 365 için Microsoft Defender uyarılar için, Uyarı adı değerine tıklayarak girdiyi seçin. Açılan uyarı ayrıntıları sayfasında İletiler listesi bölümünden iletiyi seçin.
konumundaki Tehdit koruması durum raporundanhttps://security.microsoft.com/reports/TPSEmailPhishReportATP:
- Kimlik Avı Email > verileri görüntüle'yi ve kullanılabilir Grafik dökümü seçimlerinden herhangi birini seçin. Grafiğin altındaki ayrıntılar tablosunda, ilk sütunun yanındaki onay kutusundan farklı bir satıra tıklayarak girdiyi seçin.
- Kötü Amaçlı Yazılım Email > verileri görüntüle'yi ve kullanılabilir Grafik dökümü seçimlerinden herhangi birini seçin. Grafiğin altındaki ayrıntılar tablosunda, ilk sütunun yanındaki onay kutusundan farklı bir satıra tıklayarak girdiyi seçin.
- İstenmeyen posta Email > verileri görüntüle'yi ve kullanılabilir Grafik dökümü seçimlerinden herhangi birini seçin. Grafiğin altındaki ayrıntılar tablosunda, ilk sütunun yanındaki onay kutusundan farklı bir satıra tıklayarak girdiyi seçin.
(Tehdit Gezgini) konumundaki https://security.microsoft.com/threatexplorerv3 Gezgin sayfasından veya konumundaki https://security.microsoft.com/realtimereportsv3Gerçek zamanlı algılamalar sayfasından. Aşağıdaki yöntemlerden birini kullanın:
- Tehdit Gezgini'nde Tüm e-posta görünümünün seçili > olduğunu doğrulayın Ayrıntılar alanındaki Email sekmesinin (görünüm) seçili > olduğunu doğrulayın. Girişteki Konu değerine tıklayın.
- Tehdit Gezgini'nde veya Gerçek zamanlı algılamalarda, Kötü Amaçlı Yazılım görünümünü > seçerek ayrıntılar alanındaki Email sekmesinin (görünüm) seçili > olduğunu doğrulayın. Girişteki Konu değerine tıklayın.
- Tehdit Gezgini'nde veya Gerçek zamanlı algılamalarda Kimlik Avı görünümünü > seçin, ayrıntılar alanındaki Email sekmesinin (görünüm) seçili > olduğunu doğrulayın. Girişteki Konu değerine tıklayın.
konumundaki Olaylar sayfasındanhttps://security.microsoft.com/incidents: Ürün adları değeri Office 365 için Microsoft Defender olan olaylar için Olay adı değerine tıklayarak olayı seçin. Açılan olay ayrıntıları sayfasında Kanıt ve yanıtlar sekmesini (görünüm) seçin. Tüm kanıtlar sekmesinde ve Varlık türü değeri Email veya E-postalar sekmesinde, onay kutusundan başka bir satıra tıklayarak girdiyi seçin.
konumundaki Karantina sayfasındanhttps://security.microsoft.com/quarantine: Email sekmesinin seçili > olduğunu doğrulayın onay kutusundan başka bir satıra tıklayarak bir girdi seçin.
konumundaki Gönderimler sayfasından https://security.microsoft.com/reportsubmission:
- E-postalar sekmesini > seçin, onay kutusundan başka bir satıra tıklayarak bir girdi seçin.
- Kullanıcı tarafından bildirilen sekmesini > seçin ve onay kutusundan başka bir satıra tıklayarak bir girdi seçin.
Email varlık sayfasındakiler
Sayfanın sol tarafındaki ayrıntılar bölmesi, iletiyle ilgili ayrıntıları içeren daraltılabilir bölümler içerir. Bu bölümler, sayfada olduğunuz sürece sabit kalır. Kullanılabilir bölümler şunlardır:
Etiketler bölümü. Gönderenlere veya alıcılara atanan tüm kullanıcı etiketlerini (Öncelik hesabı dahil) gösterir. Kullanıcı etiketleri hakkında daha fazla bilgi için bkz. Office 365 için Microsoft Defender'da kullanıcı etiketleri.
Algılama ayrıntıları bölümü:
Özgün Tehditler
Orijinal teslimat konumu:
- Silinmiş Öğeler klasörü
- Düştü
- Teslim başarısız oldu
- Gelen Kutusu klasörü
- Gereksiz Email klasörü
- Dış işbirliği
- Karantina
- Unknown
En Son Tehditler
En son teslim konumu: İletideki sistem eylemlerinden sonra iletinin konumu (örneğin, ZAP) veya iletideki yönetici eylemleri (örneğin, Silinmiş Öğelere Taşı). İletideki kullanıcı eylemleri (örneğin, iletiyi silme veya arşivleme) gösterilmez, bu nedenle bu değer iletinin geçerli konumunu garanti etmez.
İpucu
Özgün teslim konumuEn son teslim konumu/ ve/veya Teslim eylemininBilinmiyor değerine sahip olduğu senaryolar vardır. Örneğin:
- İleti teslim edildi (Teslim eylemiTeslim Edildi) ancak Gelen Kutusu kuralı iletiyi Gelen Kutusu veya Gereksiz Email klasörü dışında bir varsayılan klasöre taşıdı (örneğin, Taslak veya Arşiv klasörü).
- ZAP, teslimden sonra iletiyi taşımaya çalıştı, ancak ileti bulunamadı (örneğin, kullanıcı iletiyi taşıdı veya sildi).
Algılama teknolojisi:
- Gelişmiş filtre: Makine öğrenmesini temel alan kimlik avı sinyalleri.
- Kampanya: Kampanyanınparçası olarak tanımlanan iletiler.
- Dosya patlama: Güvenli Ekler , patlama analizi sırasında kötü amaçlı bir ek algılandı.
- Dosya patlama itibarı: Daha önce diğer Microsoft 365 kuruluşlarında Güvenli Ekler patlamaları tarafından algılanan dosya ekleri.
- Dosya saygınlığı: İleti, daha önce diğer Microsoft 365 kuruluşlarında kötü amaçlı olarak tanımlanan bir dosya içeriyor.
- Parmak izi eşleştirme: İleti, daha önce algılanan kötü amaçlı bir iletiye benzer.
- Genel filtre: Analist kurallarına göre kimlik avı sinyalleri.
- Kimliğe bürünme markası: İyi bilinen markaların gönderen kimliğine bürünme.
- Kimliğe bürünme etki alanı: Kimlik avı önleme ilkelerinde koruma için sahip olduğunuz veya belirttiğiniz gönderen etki alanlarının kimliğine bürünme.
- Kimliğe bürünme kullanıcısı: Kimlik avı önleme ilkelerinde belirttiğiniz veya posta kutusu zekası aracılığıyla öğrendiğiniz korumalı gönderenlerin kimliğine bürünme.
- Posta kutusu zekası kimliğe bürünme: Kimlik avı önleme ilkelerindeki posta kutusu zekasından kimliğe bürünme algılamaları.
- Karma analiz algılama: İleti kararına birden çok filtre katkıda bulundu.
- Kimlik sahtekarı DMARC: İleti DMARC kimlik doğrulamasında başarısız oldu.
- Dış etki alanı kimlik sahtekarlığına: Kuruluşunuzun dışındaki bir etki alanını kullanarak gönderen e-posta adresi kimlik sahtekarlığına neden olur.
- Kuruluş içi kimlik sahtekarı: Kuruluşunuzun içinde yer alan bir etki alanını kullanarak gönderen e-posta adresi kimlik sahtekarlığına neden olur.
- URL patlama: Güvenli Bağlantılar , patlama analizi sırasında iletide kötü amaçlı bir URL algılandı.
- URL patlama itibarı: Daha önce diğer Microsoft 365 kuruluşlarında Güvenli Bağlantılar patlamaları tarafından algılanan URL'ler.
- URL kötü amaçlı saygınlığı: İleti, daha önce diğer Microsoft 365 kuruluşlarında kötü amaçlı olarak tanımlanan bir URL içeriyor.
Teslim eylemi:
- Teslim
- Gereksiz
- Engellenmiş
Birincil Geçersiz Kılma : Kaynak
-
Birincil geçersiz kılma değerleri:
- Kuruluş ilkesi tarafından izin verilir
- Kullanıcı ilkesi tarafından izin verilir
- Kuruluş ilkesi tarafından engellendi
- Kullanıcı ilkesi tarafından engellendi
- Hiçbiri
-
Birincil geçersiz kılma kaynağı için değerler:
- 3. Taraf Filtresi
- Yönetici başlatılan zaman yolculuğu (ZAP)
- Dosya türüne göre kötü amaçlı yazılımdan koruma ilkesi bloğu
- Antispam ilkesi ayarları
- Bağlantı ilkesi
- Exchange aktarım kuralı
- Özel kullanım modu (Kullanıcı geçersiz kılma)
- Şirket içi kuruluş nedeniyle filtreleme atlandı
- İlkeden IP bölgesi filtresi
- İlkeden dil filtresi
- Kimlik Avı Benzetimi
- Karantina sürümü
- SecOps Posta Kutusu
- Gönderen adres listesi (Yönetici Geçersiz Kılma)
- Gönderen adres listesi (Kullanıcı geçersiz kılma)
- Gönderen etki alanı listesi (Yönetici Geçersiz Kılma)
- Gönderen etki alanı listesi (Kullanıcı geçersiz kılma)
- Kiracı İzin Ver/Engelle Listesi dosya bloğu
- Kiracı İzin Ver/Engelle Listesi gönderen e-posta adresi bloğu
- Kiracı İzin Ver/Engelle Listesi kimlik sahtekarı bloğu
- Kiracı İzin Ver/Engelle Listesi URL bloğu
- Güvenilen kişi listesi (Kullanıcı geçersiz kılma)
- Güvenilen etki alanı (Kullanıcı geçersiz kılma)
- Güvenilen alıcı (Kullanıcı geçersiz kılma)
- Yalnızca güvenilir gönderenler (Kullanıcı geçersiz kılma)
-
Birincil geçersiz kılma değerleri:
Email ayrıntılar bölümü:
-
Yön:
- Gelen
- Irg içi
- Giden
- Alıcı (Son)*
- Gönderen*
- Alınan süre
-
İnternet İleti Kimliği*: İleti üst bilgisindeki İleti Kimliği üst bilgisi alanında kullanılabilir. Örnek bir değerdir
<08f1e0f6806a47b4ac103961109ae6ef@server.domain>
(açılı ayraçlara dikkat edin). - Ağ İletisi Kimliği*: İleti üst bilgisindeki X-MS-Exchange-Organization-Network-Message-Id üst bilgisi alanında bulunan bir GUID değeri.
- Küme Kimliği
- Dil
* Panoya kopyala eylemi değeri kopyalamak için kullanılabilir.
-
Yön:
Sayfanın üst kısmındaki sekmeler (görünümler), e-postayı verimli bir şekilde araştırmanıza olanak sağlar. Bu görünümler aşağıdaki alt bölümlerde açıklanmıştır.
Zaman çizelgesi görünümü
Zaman Çizelgesi görünümü, iletinin başına gelen teslim ve teslim sonrası olayları gösterir.
Görünümde aşağıdaki ileti olayı bilgileri sağlanır. Bu sütuna göre sıralamak için bir sütun başlığı seçin. Sütun eklemek veya kaldırmak için Sütunları özelleştir'i seçin. Varsayılan olarak, kullanılabilir tüm sütunlar seçilir.
- Zaman çizelgesi (olayın tarihi/saati)
- Kaynak: Örneğin: Sistem, **Yönetici veya Kullanıcı.
- Olay türleri
- Sonuç
- Tehdit
- Ayrıntılar
Teslimden sonra iletiye hiçbir şey olmadıysa, iletinin Zaman Çizelgesi görünümünde Olay türleri değeri Özgün teslim olan tek bir satırı olabilir. Örneğin:
- Sonuç değeri Gelen Kutusu klasörü - Teslim Edildi şeklindedir.
- Sonuç değeri Gereksiz e-posta klasörü - Gereksiz'e teslim edildi
- Sonuç değeri Karantina - Engellendi şeklindedir.
Kullanıcılar, yöneticiler veya Microsoft 365 tarafından iletiye yapılan sonraki eylemler görünüme daha fazla satır ekler. Örneğin:
- Olay türleri değeri ZAP, Sonuç değeri ise İleti ZAP tarafından Karantinaya Alındı olarak taşınır.
- Olay türleri değeri Karantina Sürümü'dür ve Sonuç değeri İleti Karantinadan başarıyla serbest bırakıldı şeklindedir.
Sayfadaki bilgileri bulmak için Arama kutusunu kullanın. Kutuya metin yazın ve ENTER tuşuna basın.
Görünümdeki verileri CSV dosyasına aktarmak için Dışarı Aktar'ı kullanın. Varsayılan dosya adı : Microsoft Defender.csv ve varsayılan konum İndirmeler klasörüdür. Bu ada sahip bir dosya zaten varsa, dosya adı bir sayı ile eklenir (örneğin, - Microsoft Defender(1).csv).
Analiz görünümü
Çözümleme görünümü, iletiyi derinlemesine çözümlemenize yardımcı olan bilgiler içerir. Bu görünümde aşağıdaki bilgiler sağlanır:
Tehdit algılama ayrıntıları bölümü: İletide algılanan tehditler hakkında bilgi:
- Tehditler: Birincil tehdit Birincil tehdit tarafından belirtilir.
- Güvenilirlik düzeyi: Değerler Yüksek, Orta veya Düşük'tir.
- Öncelik hesabı koruması: Değerler Evet veya Hayır'dır. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'de öncelik hesabı korumasını yapılandırma ve gözden geçirme.
Email algılama ayrıntıları bölümü: İletiyi etkileyen koruma özellikleri veya geçersiz kılmalar hakkında bilgiler:
Tüm Geçersiz Kılmalar: İletinin hedeflenen teslim konumunu değiştirme olasılığı olan tüm kuruluş veya kullanıcı ayarları. Örneğin, ileti bir posta akışı kuralıyla ve Kiracı İzin Ver/Engelle Listesi'ndeki bir blok girişiyle eşleşirse, her iki ayar da burada listelenir. Birincil Geçersiz Kılma : Kaynak özellik değeri, iletinin teslimini gerçekten etkileyen ayarı tanımlar.
Birincil Geçersiz Kılma: Kaynak: İletinin hedeflenen teslim konumunu değiştiren kuruluş veya kullanıcı ayarını gösterir (engellenmek yerine izin verilir veya izin verilir yerine engellenir). Örneğin:
- İleti bir posta akışı kuralı tarafından engellendi.
- Kullanıcının Güvenilir Gönderenler listesindeki bir girdi nedeniyle iletiye izin verildi.
Exchange aktarım kuralları (posta akışı kuralları): İleti posta akışı kurallarından etkilendiyse, kural adları ve GUID valeleri gösterilir. posta akışı kuralları tarafından iletilerde gerçekleştirilen eylemler istenmeyen posta ve kimlik avı kararlarından önce gerçekleşir.
Kural GUID'sini kopyalamak için Panoya kopyala eylemi kullanılabilir. Posta akışı kuralları hakkında daha fazla bilgi için bkz. Exchange Online'da Posta akışı kuralları (aktarım kuralları).
Exchange yönetim merkezine git bağlantısı, konumundaki yeni Exchange yönetim merkezinde https://admin.exchange.microsoft.com/#/transportrulesKurallar sayfasını açar.
Bağlayıcı: İleti bir Gelen bağlayıcısı aracılığıyla teslim edildiyse bağlayıcı adı gösterilir. Bağlayıcılar hakkında daha fazla bilgi için bkz. Exchange Online'da bağlayıcıları kullanarak posta akışını yapılandırma.
Toplu şikayet düzeyi (BCL): Daha yüksek bir BCL değeri, iletinin istenmeyen posta olma olasılığının daha yüksek olduğunu gösterir. Daha fazla bilgi için bkz. EOP'de toplu şikayet düzeyi (BCL).
İlke: Burada bir ilke türü listeleniyorsa (örneğin, İstenmeyen Posta), yapılandır'ı seçerek ilgili ilke sayfasını açın (örneğin, konumundaki https://security.microsoft.com/antispamİstenmeyen posta önleme ilkeleri sayfası).
İlke eylemi
Uyarı Kimliği: Uyarının ayrıntılar sayfasını açmak için Uyarı Kimliği değerini seçin (uyarıyı konumundaki Uyarılar sayfasından https://security.microsoft.com/alertsbulup seçmişsiniz gibi). Uyarı Kimliği değerini kopyalamak için Panoya kopyala eylemi de kullanılabilir.
İlke türü
İstemci türü: İletiyi gönderen istemci türünü gösterir (örneğin, REST)
Email boyutu
Veri kaybı önleme kuralları
Gönderen-Alıcı ayrıntıları bölümü: İletiyi gönderen hakkındaki ayrıntılar ve bazı alıcı bilgileri:
- Gönderen görünen adı
- Gönderen adresi*
- Gönderen IP'i
- Gönderen etki alanı adı*
- Etki alanı oluşturma tarihi: Yakın zamanda oluşturulan bir etki alanı ve diğer ileti sinyalleri iletiyi şüpheli olarak tanımlayabilir.
- Etki alanı sahibi
- Gönderen POSTA KIMDEN adresi*
- Gönderen MAIL FROM etki alanı adı*
- Dönüş Yolu
- Dönüş Yolu etki alanı
- Yer
- Alıcı etki alanı*
- Son: İletinin To alanındaki tüm e-posta adreslerinin ilk 5.000 karakterini gösterir.
- Bilgi: İletinin Bilgi alanındaki tüm e-posta adreslerinin ilk 5.000 karakterini gösterir.
- Dağıtım listesi: Alıcı e-postayı listenin bir üyesi olarak aldıysa dağıtım grubunu (dağıtım listesi) gösterir. İç içe dağıtım grupları için en üst düzey dağıtım grubu gösterilir.
- İletme: İletinin otomatik olarak bir dış e-posta adresine iletilip iletilmediğini gösterir. İletilen kullanıcı ve iletme türü gösterilir (posta akışı kuralları, Gelen Kutusu kuralları veya SMTP iletme).
* Panoya kopyala eylemi değeri kopyalamak için kullanılabilir.
Kimlik doğrulama bölümü: E-posta kimlik doğrulaması sonuçlarıyla ilgili ayrıntılar:
-
Etki Alanı Tabanlı İleti Kimlik Doğrulaması (DMARC)
-
Pass
: Geçirilen ileti için DMARC denetimi. -
Fail
: İleti için DMARC denetimi başarısız oldu. -
BestGuessPass
: Etki alanı için DMARC TXT kaydı yoktur, ancak varsa, ileti için DMARC denetimi geçirilirdi. - Yok: DNS'de gönderen etki alanı için DMARC TXT kaydı olmadığını gösterir.
-
-
DomainKeys tarafından tanımlanan posta (DKIM): Değerler şunlardır:
-
Pass
: Geçirilen ileti için DKIM denetimi. -
Fail (reason)
: İleti için DKIM denetimi başarısız oldu. Örneğin, ileti DKIM imzalı değildi veya DKIM imzası doğrulanmadı. -
None
: İleti DKIM imzalı değildi. Bu sonuç, etki alanının DKIM kaydı olduğunu veya DKIM kaydının bir sonuç olarak değerlendirilmediğini gösterebilir veya göstermeyebilir. Bu sonuç yalnızca bu iletinin imzalı olmadığını gösterir.
-
-
Sender Policy Framework (SPF): Değerler şunlardır:
-
Pass (IP address)
: SPF denetimi, ileti kaynağının etki alanı için geçerli olduğunu buldu. -
Fail (IP address)
: SPF denetimi, ileti kaynağının etki alanı için geçerli olmadığını ve SPF kaydındaki zorlama kuralının (sabit başarısız) olduğunu-all
buldu. -
SoftFail (reason)
: SPF denetimi, ileti kaynağının etki alanı için geçerli olmadığını ve SPF kaydındaki zorlama kuralının (geçici başarısız) olduğunu~all
buldu. -
Neutral
: SPF denetimi, ileti kaynağının etki alanı için geçerli olmadığını ve SPF kaydındaki zorlama kuralının (nötr) olduğunu?all
buldu. -
None
: Etki alanının SPF kaydı yok veya SPF kaydı bir sonuç olarak değerlendirilmez. -
TempError
: SPF denetimi geçici bir hatayla (örneğin, bir DNS hatası) karşılaştı. Aynı denetim daha sonra başarılı olabilir. -
PermError
: SPF denetimi kalıcı bir hatayla karşılaştı. Örneğin, etki alanının hatalı biçimlendirilmiş bir SPF kaydı vardır.
-
- Bileşik kimlik doğrulaması: SPF, DKIM, DMARC ve diğer bilgiler, ileti gönderenin (Kimden adresi) orijinal olup olmadığını belirler. Daha fazla bilgi için bkz . Bileşik kimlik doğrulaması.
-
Etki Alanı Tabanlı İleti Kimlik Doğrulaması (DMARC)
İlgili varlıklar bölümü: İletideki ekler ve URL'ler hakkında bilgi:
- Varlık: Ekleri veya URL'leri seçmek sizi iletinin Email varlık sayfasının Ekler görünümüne veya URL görünümüne götürür.
- Toplam sayı
- Bulunan tehditler: Değerler Evet veya Hayır'dır.
İleti ayrıntıları alanı:
- Düz metin e-posta üst bilgisi sekmesi: İleti üst bilgisinin tamamını düz metin olarak içerir. İleti üst bilgisini kopyalamak için İleti üst bilgisini kopyala'yı seçin. İleti Üst Bilgisi Çözümleyicisi'ni adresinde açmak için Microsoft İleti Üst Bilgi Çözümleyicisi'ni https://mha.azurewebsites.net/pages/mha.htmlseçin. Kopyalanan ileti üst bilgisini sayfaya yapıştırın ve ileti üst bilgileri ve değerleriyle ilgili ayrıntılar için Üst bilgileri çözümle'yi seçin.
- Sekmeye : İletinin To alanındaki tüm e-posta adreslerinin ilk 5.000 karakterini gösterir.
- Bilgi sekmesi: İletinin Bilgi alanındaki tüm e-posta adreslerinin ilk 5.000 karakterini gösterir.
Ekler görünümü
Ekler görünümü, iletideki tüm dosya ekleriyle ilgili bilgileri ve bu eklerin tarama sonuçlarını gösterir.
Aşağıdaki ek bilgileri bu görünümde sağlanır. Bu sütuna göre sıralamak için bir sütun başlığı seçin. Sütun eklemek veya kaldırmak için Sütunları özelleştir'i seçin. Varsayılan olarak, kullanılabilir tüm sütunlar seçilir.
- Ek dosya adı: Dosya adı değerine tıklarsanız
- Dosya türü
- Dosya boyutu
- Dosya uzantısı
- Tehdit
- Kötü amaçlı yazılım ailesi
- Ek SHA256: SHA256 değerini kopyalamak için Panoya kopyala eylemi kullanılabilir.
- Ayrıntılar
Sayfadaki bilgileri bulmak için Arama kutusunu kullanın. Kutuya metin yazın ve ENTER tuşuna basın.
Görünümdeki verileri CSV dosyasına aktarmak için Dışarı Aktar'ı kullanın. Varsayılan dosya adı : Microsoft Defender.csv ve varsayılan konum İndirmeler klasörüdür. Bu ada sahip bir dosya zaten varsa, dosya adı bir sayı ile eklenir (örneğin, - Microsoft Defender(1).csv).
Ek ayrıntıları
Ekler görünümünde Ek dosya adı değerine tıklayarak bir girdi seçerseniz, aşağıdaki bilgileri içeren bir ayrıntılar açılır öğesi açılır:
Ayrıntılı analiz sekmesi: Güvenli Ekler eki taradıysa (patlattıysa) bu sekmede bilgiler sağlanır. Bu iletileri Tehdit Gezgini'nde, Dosya patlama değeriyle algılama teknolojisi sorgu filtresini kullanarak tanımlayabilirsiniz.
Patlama zinciri bölümü: Tek bir dosyanın Güvenli Ekler'in patlatılması birden çok patlamayı tetikleyebilir. Patlama zinciri , karara neden olan özgün kötü amaçlı dosya ve patlamadan etkilenen diğer tüm dosyalar dahil olmak üzere patlamaların yolunu izler. Bu ekli dosyalar e-postada doğrudan mevcut olmayabilir. Ancak, analiz dahil olmak üzere dosyanın neden kötü amaçlı olarak bulunduğunu saptamak önemlidir.
Kullanılabilir bir patlama zinciri bilgisi yoksa, Patlama ağacı yok değeri gösterilir. Aksi takdirde, patlama zinciri bilgilerini csv dosyasına indirmek için Dışarı Aktar'ı seçebilirsiniz. Varsayılan dosya adı Patlama chain.csv ve varsayılan konum İndirmeler klasörüdür. Bu ada sahip bir dosya zaten varsa, dosya adı bir sayıyla eklenir (örneğin, Patlama zinciri(1).csv). CSV dosyası aşağıdaki bilgileri içerir:
- Üst: En üst düzey dosya.
- Düzey1: Sonraki düzey dosya.
- Düzey2: Sonraki düzey dosya.
- ve benzeri.
Patlama zinciri ve CSV dosyası, bağlantılı varlıkların hiçbirinin sorunlu bulunmaması veya patlatılmaması durumunda yalnızca en üst düzey öğeyi gösterebilir.
Özet bölümü: Kullanılabilir bir patlama özeti bilgisi yoksa, Patlama özeti yok değeri gösterilir. Aksi takdirde, aşağıdaki patlama özeti bilgileri kullanılabilir:
- Analiz zamanı
- Karar: Ekin kendisi hakkındaki karar.
- Daha fazla bilgi: Bayt cinsinden dosya boyutu.
- Güvenliğin aşılmasına ilişkin göstergeler
Ekran görüntüleri bölümü: Patlama sırasında yakalanan tüm ekran görüntülerini gösterir. Zip veya RAR gibi başka dosyalar içeren kapsayıcı dosyaları için hiçbir ekran görüntüsü yakalanmaz.
Patlama ekran görüntüsü yoksa Görüntülenecek ekran görüntüsü yok değeri gösterilir. Aksi takdirde, ekran görüntüsünü görüntülemek için bağlantıyı seçin.
Davranış ayrıntıları bölümü: Patlama sırasında gerçekleşen olayları ve patlama sırasında bulunan URL'leri, IP'leri, etki alanlarını ve dosyaları içeren sorunlu veya zararsız gözlemleri gösterir. ZIP veya RAR gibi başka dosyalar içeren kapsayıcı dosyaları için herhangi bir davranış ayrıntısı olmayabilir.
Kullanılabilir davranış ayrıntıları bilgisi yoksa, Patlama davranışı yok değeri gösterilir. Aksi takdirde, davranış ayrıntıları bilgilerini csv dosyasına indirmek için Dışarı Aktar'ı seçebilirsiniz. Varsayılan dosya adı Davranış details.csv ve varsayılan konum İndirmeler klasörüdür. Bu ada sahip bir dosya zaten varsa, dosya adı bir sayıyla eklenir (örneğin, Davranış ayrıntıları(1).csv). CSV dosyası aşağıdaki bilgileri içerir:
- Saat
- Davranış
- Behavior özelliği
- İşlem (PID)
- İşlem
- Hedef
- Ayrıntılar
- Sonuç
Dosya bilgileri sekmesi: Dosya ayrıntıları bölümü aşağıdaki bilgileri içerir:
- Dosya adı
- SHA256
- Dosya boyutu (bayt cinsinden)
Dosya ayrıntıları açılır öğesinde işiniz bittiğinde Kapat'ı seçin.
Ekler görünümünden ekleri engelleme
Ekler görünümünde dosya adının yanındaki onay kutusunu seçerek bir girdi seçerseniz Engelle eylemi kullanılabilir. Bu eylem, dosyayı Kiracı İzin Ver/Engelle Listesi'ne blok girdisi olarak ekler. Engelle'yi seçtiğinizde Eylem gerçekleştirme sihirbazı başlatılır:
Eylemleri seçin sayfasında, Dosyayı engelle bölümünde aşağıdaki ayarlardan birini yapılandırın:
- Hiçbir zaman tarihinde sona ermez : Bu varsayılan değerdir .
- Hiçbir zaman sona erme : İki durumlu düğmeyi kapalı konuma getirin ve kaldırılacak yer kutusundan bir tarih seçin.
Eylemleri seçin sayfasında işiniz bittiğinde İleri'yi seçin.
Hedef varlıkları seçin sayfasında, engellemek istediğiniz dosyanın seçili olduğunu doğrulayın ve ardından İleri'yi seçin.
Gözden geçir ve gönder sayfasında aşağıdaki ayarları yapılandırın:
- Düzeltme adı: İşlem merkezindeki durumu izlemek için benzersiz bir ad girin.
- Açıklama: İsteğe bağlı bir açıklama girin.
Gözden geçir ve gönder sayfasında işiniz bittiğinde Gönder'i seçin.
URL görünümü
URL görünümü, iletideki tüm URL'ler hakkındaki bilgileri ve bu URL'lerin tarama sonuçlarını gösterir.
Aşağıdaki ek bilgileri bu görünümde sağlanır. Bu sütuna göre sıralamak için bir sütun başlığı seçin. Sütun eklemek veya kaldırmak için Sütunları özelleştir'i seçin. Varsayılan olarak, kullanılabilir tüm sütunlar seçilir.
- URL
- Tehdit
- Kaynak
- Ayrıntılar
Sayfadaki bilgileri bulmak için Arama kutusunu kullanın. Kutuya metin yazın ve ENTER tuşuna basın.
Görünümdeki verileri CSV dosyasına aktarmak için Dışarı Aktar'ı kullanın. Varsayılan dosya adı : Microsoft Defender.csv ve varsayılan konum İndirmeler klasörüdür. Bu ada sahip bir dosya zaten varsa, dosya adı bir sayı ile eklenir (örneğin, - Microsoft Defender(1).csv).
URL ayrıntıları
URL görünümünde URLdeğerine tıklayarak bir girdi seçerseniz, aşağıdaki bilgileri içeren bir ayrıntılar açılır öğesi açılır:
Ayrıntılı analiz sekmesi: Güvenli Bağlantılar URL'yi taradıysa (patlattıysa) bu sekmede bilgiler sağlanır. Bu iletileri Tehdit Gezgini'nde, değer URL'si patlamasıylaalgılama teknolojisi sorgu filtresini kullanarak tanımlayabilirsiniz.
Patlama zinciri bölümü: Tek bir URL'nin Güvenli Bağlantılar'ın patlatılması birden çok patlamayı tetikleyebilir. Patlama zinciri , karara neden olan özgün kötü amaçlı URL ve patlamadan etkilenen diğer tüm URL'ler de dahil olmak üzere patlamaların yolunu izler. Bu URL'ler e-postada doğrudan mevcut olmayabilir. Ancak analiz dahil olmak üzere URL'nin neden kötü amaçlı olarak bulunduğunu saptamak önemlidir.
Kullanılabilir bir patlama zinciri bilgisi yoksa, Patlama ağacı yok değeri gösterilir. Aksi takdirde, patlama zinciri bilgilerini csv dosyasına indirmek için Dışarı Aktar'ı seçebilirsiniz. Varsayılan dosya adı Patlama chain.csv ve varsayılan konum İndirmeler klasörüdür. Bu ada sahip bir dosya zaten varsa, dosya adı bir sayıyla eklenir (örneğin, Patlama zinciri(1).csv). CSV dosyası aşağıdaki bilgileri içerir:
- Üst: En üst düzey dosya.
- Düzey1: Sonraki düzey dosya.
- Düzey2: Sonraki düzey dosya.
- ve benzeri.
Patlama zinciri ve CSV dosyası, bağlantılı varlıkların hiçbirinin sorunlu bulunmaması veya patlatılmaması durumunda yalnızca en üst düzey öğeyi gösterebilir.
Özet bölümü: Kullanılabilir bir patlama özeti bilgisi yoksa, Patlama özeti yok değeri gösterilir. Aksi takdirde, aşağıdaki patlama özeti bilgileri kullanılabilir:
- Analiz zamanı
- Karar: URL'nin kendisiyle ilgili karar.
Ekran görüntüleri bölümü: Patlama sırasında yakalanan tüm ekran görüntülerini gösterir. URL doğrudan bir dosyayı indiren bir bağlantıda açılırsa hiçbir ekran görüntüsü yakalanmaz. Ancak indirilen dosyayı patlama zincirinde görürsünüz.
Patlama ekran görüntüsü yoksa Görüntülenecek ekran görüntüsü yok değeri gösterilir. Aksi takdirde, ekran görüntüsünü görüntülemek için bağlantıyı seçin.
Davranış ayrıntıları bölümü: Patlama sırasında gerçekleşen olayları ve patlama sırasında bulunan URL'leri, IP'leri, etki alanlarını ve dosyaları içeren sorunlu veya zararsız gözlemleri gösterir.
Kullanılabilir davranış ayrıntıları bilgisi yoksa, Patlama davranışı yok değeri gösterilir. Aksi takdirde, davranış ayrıntıları bilgilerini csv dosyasına indirmek için Dışarı Aktar'ı seçebilirsiniz. Varsayılan dosya adı Davranış details.csv ve varsayılan konum İndirmeler klasörüdür. Bu ada sahip bir dosya zaten varsa, dosya adı bir sayıyla eklenir (örneğin, Davranış ayrıntıları(1).csv). CSV dosyası aşağıdaki bilgileri içerir:
- Saat
- Davranış
- Behavior özelliği
- İşlem (PID)
- İşlem
- Hedef
- Ayrıntılar
- Sonuç
URL bilgileri sekmesi: URL ayrıntıları bölümü aşağıdaki bilgileri içerir:
- URL
- Tehdit
Dosya ayrıntıları açılır öğesinde işiniz bittiğinde Kapat'ı seçin.
URL görünümünden URL'leri engelleme
URL görünümünde dosya adının yanındaki onay kutusunu seçerek bir girdi seçerseniz Engelle eylemi kullanılabilir. Bu eylem, URL'yi Kiracı İzin Ver/Engelle Listesi'ne blok girişi olarak ekler. Engelle'yi seçtiğinizde Eylem gerçekleştirme sihirbazı başlatılır:
Eylemleri seçin sayfasında URL'yi engelle bölümünde aşağıdaki ayarlardan birini yapılandırın:
- Hiçbir zaman tarihinde sona ermez : Bu varsayılan değerdir .
- Hiçbir zaman sona erme : İki durumlu düğmeyi kapalı konuma getirin ve kaldırılacak yer kutusundan bir tarih seçin.
Eylemleri seçin sayfasında işiniz bittiğinde İleri'yi seçin.
Hedef varlıkları seçin sayfasında, engellemek istediğiniz URL'nin seçili olduğunu doğrulayın ve ardından İleri'yi seçin.
Gözden geçir ve gönder sayfasında aşağıdaki ayarları yapılandırın:
- Düzeltme adı: İşlem merkezindeki durumu izlemek için benzersiz bir ad girin.
- Açıklama: İsteğe bağlı bir açıklama girin.
Gözden geçir ve gönder sayfasında işiniz bittiğinde Gönder'i seçin.
Benzer e-postalar görünümü
Benzer e-postalar görünümü, bu iletiyle aynı ileti gövdesi parmak izine sahip diğer e-posta iletilerini gösterir. Diğer iletilerde eşleşen ölçütler bu görünüm için geçerli değildir (örneğin, dosya eki parmak izleri).
Aşağıdaki ek bilgileri bu görünümde sağlanır. Bu sütuna göre sıralamak için bir sütun başlığı seçin. Sütun eklemek veya kaldırmak için Sütunları özelleştir'i seçin. Varsayılan olarak, kullanılabilir tüm sütunlar seçilir.
- Tarih
- Konu
- Alıcı
- Gönderen
- Gönderen IP'i
- Geçersiz kılmak
- Teslim eylemi
- Teslimat konumu
Girişleri Başlangıç tarihine ve Bitiş tarihine göre filtrelemek için Filtre'yi kullanın.
Sayfadaki bilgileri bulmak için Arama kutusunu kullanın. Kutuya metin yazın ve ENTER tuşuna basın.
Görünümdeki verileri CSV dosyasına aktarmak için Dışarı Aktar'ı kullanın. Varsayılan dosya adı : Microsoft Defender.csv ve varsayılan konum İndirmeler klasörüdür. Bu ada sahip bir dosya zaten varsa, dosya adı bir sayı ile eklenir (örneğin, - Microsoft Defender(1).csv).
Email varlık sayfasındaki eylemler
Email varlık sayfasının üst kısmında aşağıdaki eylemler kullanılabilir:
- Eylem gerçekleştirme: Bilgi için bkz. Tehdit avcılığı: Eylem gerçekleştirme sihirbazı.
- Email önizleme¹ ²
-
Diğer seçenekler:
Karantinaya alınmış e-postaya git: Yalnızca ileti karantinaya alınmışsa kullanılabilir. Bu eylemin seçilmesi, konumundaki Karantina sayfasındahttps://security.microsoft.com/quarantine, iletinin benzersiz İleti Kimliği değerine göre filtrelenmiş Email sekmesini açar. Daha fazla bilgi için bkz. Karantinaya alınmış e-postayı görüntüleme.
E-postayı indirin¹ ²
İpucu
Karantinaya alınan iletiler için indirme e-postası kullanılamaz. Bunun yerine, karantinadan iletinin parola korumalı bir kopyasını indirin.
¹ Email önizlemesi ve E-postayı indir eylemleri Için Önizleme rolü gerekir. Bu rolü aşağıdaki konumlarda atayabilirsiniz:
- Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC) (İşbirliği Email &>Office 365 için Defender izinleri Etkin olur. PowerShell'i değil yalnızca Defender portalını etkiler: Güvenlik işlemleri/Ham veriler (e-posta & işbirliği)/Email & işbirliği içeriği (okuma).
- Microsoft Defender portalında işbirliği izinlerini Email &: Veri Araştırmacısı veya eBulma Yöneticisi rol gruplarında üyelik. Alternatif olarak, Önizlemerolü atanmış yeni bir rol grubu oluşturabilir ve kullanıcıları özel rol grubuna ekleyebilirsiniz.
² Microsoft 365 posta kutularında bulunan e-posta iletilerini önizleyebilir veya indirebilirsiniz. İletilerin posta kutularında artık kullanılamama örnekleri şunlardır:
- İleti teslim veya teslim başarısız olmadan önce bırakıldı.
- İleti sabit olarak silindi.
- İletinin teslim konumu Şirket İçi/Dış'tır.
- ZAP iletiyi karantinaya taşıdı.
Email özet paneli
Email özet paneli, Exchange Online Protection (EOP) ve Office 365 için Defender birçok özellikte kullanılabilen e-posta ayrıntıları açılır öğesidir. Email özet paneli, Office 365 için Defender'daki Email varlık sayfasında bulunan tüm ayrıntılardan alınan e-posta iletisiyle ilgili standart özet bilgileri içerir.
Email özet panelinin nerede bulunacağı, bu makalenin önceki bölümlerinde yer alan Email varlık sayfası nerede bulunur bölümünde açıklanmıştır. Bu bölümün geri kalanında, tüm özellikler arasında Email özet panelinde bulunan bilgiler açıklanmaktadır.
İpucu
Email özet paneli, Bekleyen veya Geçmiş sekmelerindeki İşlem merkezi sayfasından https://security.microsoft.com/action-center/ kullanılabilir. Onay kutusu veya Araştırma Kimliği değeri dışında satırda herhangi bir yere tıklayarak Varlık türü değeri Email bir eylem seçin. Açılan ayrıntılar açılır Email özet panelidir, ancak Açılır listenin üst kısmında E-postayı aç varlığı kullanılamaz.
Aşağıdaki ileti bilgileri, Email özet panelinin en üstünde bulunur:
- Açılır öğe başlığı Konu değeri iletisidir.
- İletideki eklerin ve bağlantıların sayısı (tüm özelliklerde mevcut değildir).
- İletinin alıcılarına atanan tüm kullanıcı etiketleri (Öncelik hesabı etiketi dahil). Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'de kullanıcı etiketleri
- Açılır listenin en üstünde bulunan eylemler, Email özet panelini nerede açtığınıza bağlıdır. Kullanılabilir eylemler tek tek özellik makalelerinde açıklanmıştır.
İpucu
Geçerli iletinin Email özet panelinden çıkmadan diğer iletilerle ilgili ayrıntıları görmek için açılır öğenin üst kısmındaki Önceki öğe ve Sonraki öğe'yi kullanın.
Tüm özellikler için Email özet panelinde aşağıdaki bölümler bulunur (Email özet panelini nereden açtığınız önemli değildir):
Teslimat ayrıntıları bölümü:
- Özgün tehditler
- En son tehditler
- Özgün konum
- En son teslimat konumu
- Teslim eylemi
- Algılama teknolojileri
- Birincil geçersiz kılma: Kaynak
Email ayrıntılar bölümü:
- Gönderen görünen adı
- Gönderen adresi
- Adresten gönderen e-postası
- Adına gönderildi
- Dönüş yolu
- Gönderen IP'i
- Yer
- Alıcılar
- Alınan süre
- Yön
- Ağ iletisi kimliği
- İnternet ileti kimliği
- Kampanya Kimliği
- DMARC
- DKIM
- SPF
- Bileşik kimlik doğrulaması
URL'ler bölümü: İletideki tüm URL'ler hakkında ayrıntılar:
- URL
- Tehdit durumu
İletinin üçten fazla URL'si varsa tümünü görmek için Tüm URL'leri görüntüle'yi seçin.
Ekler bölümü: İletideki tüm dosya ekleriyle ilgili ayrıntılar:
- Ek adı
- Tehdit
- Algılama teknolojisi / Kötü amaçlı yazılım ailesi
İletide üçten fazla ek varsa, tümünü görmek için Tüm ekleri görüntüle'yi seçin.