Aracılığıyla paylaş


Tehdit Gezgini'nde tehdit avcılığı ve Office 365 için Microsoft Defender'da gerçek zamanlı algılamalar

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Aboneliğine Office 365 için Microsoft Defender'ı dahil eden veya eklenti olarak satın alınan Microsoft 365 kuruluşlarının Gezgini (Tehdit Gezgini olarak da bilinir) veya Gerçek zamanlı algılamaları vardır. Bu özellikler, Güvenlik İşlemleri (SecOps) ekiplerinin tehditleri araştırmasına ve yanıtlamasına yardımcı olan güçlü ve neredeyse gerçek zamanlı araçlardır. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'da Tehdit Gezgini ve Gerçek zamanlı algılamalar hakkında.

Tehdit Gezgini veya Gerçek zamanlı algılamalar aşağıdaki eylemleri gerçekleştirmenizi sağlar:

  • Bkz. Microsoft 365 güvenlik özellikleri tarafından algılanan kötü amaçlı yazılım.
  • Kimlik avı URL'sini görüntüleyin ve karar verilerine tıklayın.
  • Otomatik bir araştırma ve yanıt işlemi başlatın (yalnızca Tehdit Gezgini).
  • Kötü amaçlı e-postayı araştırın.
  • Ve daha fazlası.

Office 365 için Defender'ı kullanarak e-posta ve işbirliği tabanlı tehditleri nasıl avlayıp araştıracağınızı öğrenmek için bu kısa videoyu izleyin.

İpucu

Microsoft Defender XDR'de gelişmiş avcılık, Kusto Sorgu Dili'ni (KQL) kullanmayan kullanımı kolay bir sorgu oluşturucuyu destekler. Daha fazla bilgi için bkz. Kılavuzlu modu kullanarak sorgu oluşturma.

Bu makalede aşağıdaki bilgilere yer verilmiştir:

İpucu

Tehdit Gezgini ve Gerçek zamanlı algılamaları kullanan e-posta senaryoları için aşağıdaki makalelere bakın:

QR kodlarına eklenmiş kötü amaçlı URL'leri temel alan saldırıları arıyorsanız, Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerindeki URL Kaynağı filtre değeri QR kodu veya Gerçek zamanlı algılamalar QR kodlarından ayıklanan URL'lerle e-posta iletisini aramanıza olanak tanır.

Başlamadan önce bilmeniz gerekenler

Tehdit Gezgini ve Gerçek zamanlı algılamalar kılavuzu

Tehdit Gezgini veya Gerçek zamanlı algılamalar, Microsoft Defender portalının https://security.microsoft.comE-posta & işbirliği bölümünde bulunabilir:

Tehdit Gezgini, Gerçek zamanlı algılamalarla aynı bilgileri ve özellikleri içerir, ancak aşağıdaki ek özelliklere sahiptir:

  • Diğer görünümler.
  • Sorguları kaydetme seçeneği de dahil olmak üzere daha fazla özellik filtreleme seçeneği.
  • Tehdit avcılığı ve düzeltme eylemleri.

Office 365 için Defender Plan 1 ile Plan 2 arasındaki farklar hakkında daha fazla bilgi için bkz . Office 365 için Defender Plan 1 ile Plan 2 için Defender bilgi sayfası.

Araştırmanıza başlamak için sayfanın üst kısmındaki sekmeleri (görünümleri) kullanın.

Tehdit Gezgini'ndeki ve Gerçek zamanlı algılamalardaki kullanılabilir görünümler aşağıdaki tabloda açıklanmıştır:

Görünüm Tehdit
Gezgin
Gerçek zamanlı
algılamalar
Açıklama
Tüm e-postalar Tehdit Gezgini için varsayılan görünüm. Dış kullanıcılar tarafından kuruluşunuza gönderilen tüm e-posta iletileri veya kuruluşunuzdaki iç kullanıcılar arasında gönderilen e-postalar hakkında bilgi.
Kötü amaçlı yazılım Gerçek zamanlı algılamalar için varsayılan görünüm. Kötü amaçlı yazılım içeren e-posta iletileri hakkında bilgi.
Kimlik avı Kimlik avı tehditleri içeren e-posta iletileri hakkında bilgi.
Kampanya Office 365 Plan 2 için Defender'ın eşgüdümlü kimlik avı veya kötü amaçlı yazılım kampanyası kapsamında tanımlamış olduğu kötü amaçlı e-postalar hakkında bilgi.
İçerik kötü amaçlı yazılımı Aşağıdaki özellikler tarafından algılanan kötü amaçlı dosyalar hakkında bilgi:
URL tıklamaları Kullanıcının e-posta iletileri, Teams iletileri, SharePoint dosyaları ve OneDrive dosyalarındaki URL'lere tıklaması hakkında bilgi.

Sonuçları daraltmak için görünümde tarih/saat filtresini ve kullanılabilir filtre özelliklerini kullanın:

İpucu

Filtreyi oluşturduktan veya güncelleştirdikten sonra Yenile'yi seçmeyi unutmayın. Filtreler grafikteki bilgileri ve görünümün ayrıntılar alanını etkiler.

Tehdit Gezgini'nde veya Gerçek zamanlı algılamalarda odağı iyileştirmeyi, adımlarınızı geri çekmeyi kolaylaştırmak için katmanlar olarak düşünebilirsiniz:

  • İlk katman, kullandığınız görünümdür.
  • İkincisi, bu görünümde kullandığınız filtrelerdir.

Örneğin, kararlarınızı şu şekilde kaydederek tehdit bulmak için uyguladığınız adımları yeniden izleyebilirsiniz: Tehdit Gezgini'nde sorunu bulmak için Kötü Amaçlı Yazılım görünümünü kullandım ve Alıcı filtresi odağını kullandım.

Ayrıca, görüntü seçeneklerinizi test etmeye de özen gösterin. Farklı hedef kitleler (örneğin, yönetim) aynı verilerin farklı sunularına daha iyi veya daha kötü tepki verebilir.

Örneğin, Tehdit Gezgini'nde Tüm e-posta görünümü, E-posta kaynağı ve Kampanyalar görünümleri (sekmeler) sayfanın altındaki ayrıntılar alanında bulunur:

  • Bazı hedef kitleler için , E-posta kaynağı sekmesindeki dünya haritası algılanan tehditlerin ne kadar yaygın olduğunu göstermek için daha iyi bir iş yapabilir.

    Tehdit Gezgini'ndeki Tüm e-posta görünümünün ayrıntılar alanındaki E-posta kaynağı görünümünde dünya haritasının ekran görüntüsü.

  • Diğerleri, Kampanyalar sekmesindeki tabloda yer alan ayrıntılı bilgileri iletmek için daha yararlı bulabilir.

    Tehdit Gezgini'ndeki Tüm e-posta görünümündeki Kampanya sekmesindeki ayrıntılar tablosunun ekran görüntüsü.

Aşağıdaki sonuçlar için bu bilgileri kullanabilirsiniz:

  • Güvenlik ve koruma gereksinimini göstermek için.
  • Daha sonra herhangi bir eylemin etkinliğini göstermek için.

E-posta araştırması

Tehdit Gezgini'ndeki veya Gerçek zamanlı algılamalardaki Tüm e-posta, Kötü Amaçlı Yazılım veya Kimlik Avı görünümlerinde, e-posta iletisi sonuçları grafiğin altındaki ayrıntılar alanının E-posta sekmesindeki (görünüm) bir tabloda gösterilir.

Şüpheli bir e-posta iletisi gördüğünüzde, tablodaki bir girdinin Konu değerine tıklayın. Açılan ayrıntılar açılır öğesi, açılır listenin üst kısmındaki E-postayı aç varlığını içerir.

Tüm e-posta görünümündeki ayrıntılar alanının E-posta sekmesinde bir Konu değeri seçtikten sonra e-posta ayrıntıları açılır öğesinde bulunan eylemlerin ekran görüntüsü.

E-posta varlığı sayfası, ileti ve içeriği hakkında bilmeniz gereken her şeyi bir araya getirerek iletinin bir tehdit olup olmadığını saptayabilirsiniz. Daha fazla bilgi için bkz . E-posta varlığına genel bakış.

E-posta düzeltme

E-posta iletisinin bir tehdit olduğunu belirledikten sonra, sonraki adım tehdidi düzeltmektir. Eylem gerçekleştir'i kullanarak Tehdit Gezgini'nde veya Gerçek zamanlı algılamalarda tehdidi düzeltebilirsiniz.

Eylem gerçekleştirme , Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım veya Kimlik Avı görünümlerinde veya grafiğin altındaki ayrıntılar alanının E-posta sekmesinde (görünüm) gerçek zamanlı algılamalarda kullanılabilir:

  • İlk sütunun yanındaki onay kutusunu seçerek tablodaki bir veya daha fazla girdiyi seçin. Eylem gerçekleştirme özelliği doğrudan sekmede kullanılabilir.

    Ayrıntılar tablosunun e-posta görünümünün (sekme) ekran görüntüsü ve bir ileti seçili ve Eylem gerçekleştir etkin.

    İpucu

    Eylem gerçekleştirme , İleti eylemleri açılan listesinin yerini alır.

    100 veya daha az girdi seçerseniz, eylem gerçekleştirme sihirbazındaki iletilerde birden çok eylem gerçekleştirebilirsiniz.

    101 ile 200.000 girdiyi seçerseniz, Eylem gerçekleştirme sihirbazında yalnızca aşağıdaki eylemler kullanılabilir:

    • Tehdit Gezgini: Posta kutusuna gitme ve Düzeltme teklif etme kullanılabilir, ancak bunlar birbirini dışlar (birini veya diğerini seçebilirsiniz).
    • Gerçek zamanlı algılamalar: Kiracı İzin Ver/Engelle listesinde yalnızca gözden geçirmek ve ilgili izin/engelleme girdilerini oluşturmak için Microsoft'a gönderin .
  • Tablodaki bir girdinin Konu değerine tıklayın. Açılan ayrıntılar açılır öğesi, açılır listenin üst kısmında Eylem gerçekleştir'i içerir.

    Tüm e-posta görünümündeki ayrıntılar alanının E-posta sekmesinde bir Konu değeri seçtikten sonra ayrıntılar sekmesindeki eylemler.

Eylem gerçekleştirme sihirbazı

Eylem gerçekleştir'in seçilmesi, eylem gerçekleştirme sihirbazını açılır öğede açar. Office 365 Için Defender Plan 2 ve Office 365 Plan 1 için Defender'da eylem gerçekleştirme sihirbazındaki kullanılabilir eylemler aşağıdaki tabloda listelenmiştir:

Eylem Için Defender
Office 365 Plan 2
Için Defender
Office 365 Plan 1
Posta kutusu klasörüne taşıma ✔¹
  Karantinaya alınan iletileri özgün alıcıların bir kısmına veya tümüne serbest bırakma²
Gözden geçirme için Microsoft'a gönderin
   Kiracı İzin Ver/Engelle Listesindeki girdilere izin ver veya engelle³
Otomatik araştırma başlatma
Düzeltme önerme

¹ Bu eylem, E-posta & işbirliği izinlerindeArama ve Temizleme rolünü gerektirir. Varsayılan olarak, bu rol yalnızca Veri Araştırmacısı ve Kuruluş Yönetimi rol gruplarına atanır. Bu rol gruplarına kullanıcı ekleyebilir veya Arama ve Temizlemerolünün atandığı yeni bir rol grubu oluşturabilir ve kullanıcıları özel rol grubuna ekleyebilirsiniz.

² Bu seçenek, taşıma konumu olarak Gelen Kutusu'nu seçtiğinizde karantinaya alınan iletiler için kullanılabilir.

³ Bu eylem , gözden geçirmek üzere Microsoft'a gönder altında kullanılabilir.

Eylem gerçekleştirme sihirbazı aşağıdaki listede açıklanmıştır:

  1. Yanıt eylemlerini seçin sayfasında aşağıdaki seçenekler kullanılabilir:

    • Tüm yanıt eylemlerini göster: Bu seçenek yalnızca Tehdit Gezgini'nde kullanılabilir.

      Varsayılan olarak, iletinin en son teslim konumu değerine bağlı olarak bazı eylemler kullanılamaz/gri görünür. Tüm kullanılabilir yanıt eylemlerini göstermek için iki durumlu düğmeyi Açık konuma getirin.

    • Posta kutusu klasörüne taşı: Görüntülenen kullanılabilir değerlerden birini seçin:

      • Gereksiz: İletiyi Gereksiz E-posta klasörüne taşıyın.

      • Gelen Kutusu: İletiyi Gelen Kutusu'na taşıyın. Bu değerin seçilmesi aşağıdaki seçenekleri de gösterebilir:

        • Gönderilmiş Öğeler klasörüne geri gitme: İleti bir iç gönderen tarafından gönderilmişse ve ileti geçici olarak silinmişse (Kurtarılabilir Öğeler\Silmeler klasörüne taşındıysa), bu seçeneğin seçilmesi iletiyi Gönderilmiş Öğeler klasörüne geri taşımayı dener. Bu seçenek, daha önce Posta kutusu klasörüne> taşıGeçici olarak silinen öğeler'i ve ayrıca iletide gönderenin kopyasını sil'i seçtiyseniz geri alma eylemidir.

        • En son teslim konumu özelliği için Karantina değerine sahip iletiler için Gelen Kutusu seçildiğinde ileti karantinadan çıkar, böylece aşağıdaki seçenekler de kullanılabilir:

          • E-postanın bir veya daha fazla özgün alıcısına bırakın: Bu değeri seçerseniz, karantinaya alınan iletinin özgün alıcılarını seçebileceğiniz veya seçimini kaldırabileceğiniz bir kutu görüntülenir.
          • Tüm alıcılara serbest bırakma
      • Silinmiş öğeler: İletiyi Silinmiş öğeler klasörüne taşıyın.

      • Geçici olarak silinen öğeler: İletiyi Kurtarılabilir Öğeler\Silmeler klasörüne taşıyın; bu, iletiyi Silinmiş öğeler klasöründen silmeye eşdeğerdir. İleti, kullanıcı ve yöneticiler tarafından kurtarılabilir.

        Gönderenin kopyasını silme: İleti bir iç gönderen tarafından gönderildiyse, iletiyi gönderenin Gönderilmiş Öğeler klasöründen geçici olarak silmeyi de deneyin.

      • Sabit silinmiş öğeler: Silinen iletiyi temizleme. Yöneticiler, tek öğeli kurtarmayı kullanarak sabit silinmiş öğeleri kurtarabilir. Sabit olarak silinen ve geçici olarak silinen öğeler hakkında daha fazla bilgi için bkz . Geçici olarak silinen ve sabit silinen öğeler.

    • Gözden geçirme için Microsoft'a gönderin: Görüntülenen kullanılabilir değerlerden birini seçin:

      • Temiz olduğunu doğruladım: İletinin temiz olduğundan eminseniz bu değeri seçin. Aşağıdaki seçenekler görüntülenir:

        • Bunun gibi iletilere izin ver: Bu değeri seçerseniz, gönderen ve iletideki ilgili URL'ler veya ekler için Kiracı İzin Ver/Engelle Listesine izin ver girdileri eklenir. Aşağıdaki seçenekler de görüntülenir:
          • Şu tarihten sonra girdiyi kaldır: Varsayılan değer 1 gündür, ancak 7 gün, 30 gün veya 30 günden kısa bir Belirli tarih de seçebilirsiniz.
          • Giriş notuna izin ver: Ek bilgiler içeren isteğe bağlı bir not girin.
      • Temiz görünüyor veya Şüpheli görünüyor: Emin değilseniz ve Microsoft'tan bir karar almak istiyorsanız bu değerlerden birini seçin.

      • Bunun bir tehdit olduğunu doğruladım: Öğenin kötü amaçlı olduğundan eminseniz bu değeri seçin ve ardından görüntülenen Kategori seçin bölümünde aşağıdaki değerlerden birini seçin:

        • Kimlik avı
        • Kötü amaçlı yazılım
        • Spam

        Bu değerlerden birini seçtikten sonra, Kiracı İzin Ver/Engelle listesine blok girdileri olarak eklemek üzere iletiyle ilişkili bir veya daha fazla varlığı (gönderen adresi, gönderen etki alanı, URL'ler veya dosya ekleri) seçebileceğiniz Engelleyecek varlıkları seçin açılır.

        Engelleyecek öğeleri seçtikten sonra, Blok kuralı ekle'yi seçerek Açılır öğeyi engellemek için varlıkları seçin seçeneğini kapatın. Alternatif olarak, öğe seçmeden İptal'i de seçebilirsiniz.

        Yanıt eylemlerini seçin sayfasına geri dönüp blok girişleri için bir süre sonu seçeneği belirleyin:

        • Süre sonu: Blok girişlerinin süresinin dolmak üzere bir tarih seçin.
        • Hiçbir zaman süresi dolmaz

        Engellenen varlık sayısı gösterilir (örneğin, engellenecek 4/4 varlık). Engelleye ekle kuralını yeniden açmak ve değişiklik yapmak için Düzenle'yi seçin.

    • Otomatik araştırma başlatma: Yalnızca Tehdit Gezgini. Görüntülenen aşağıdaki değerlerden birini seçin:

      • E-postayı araştırma
      • Alıcıyı araştırma
      • Göndereni araştır: Bu değer yalnızca kuruluşunuzdaki gönderenler için geçerlidir.
      • Kişi alıcıları
    • Düzeltme önerin: Görüntülenen aşağıdaki değerlerden birini seçin:

      • Yeni oluştur: Bu değer, İşlem merkezindeki bir yönetici tarafından onaylanması gereken geçici silme e-postası beklemede eylemini tetikler. Bu sonuç, diğer durumlarda iki aşamalı onay olarak bilinir.

      • Var olana ekle: Var olan bir düzeltmeden bu e-posta iletisine eylem uygulamak için bu değeri kullanın. Aşağıdaki düzeltmelere e-posta gönder kutusunda var olan düzeltmeyi seçin.

        İpucu

        Yeterli izne sahip olmayan SecOps personeli düzeltme oluşturmak için bu seçeneği kullanabilir, ancak izinleri olan birinin İşlem merkezinde eylemi onaylaması gerekir.

    Yanıt eylemlerini seçin sayfasında işiniz bittiğinde İleri'yi seçin.

  2. Hedef varlıkları seçin sayfasında aşağıdaki seçenekleri yapılandırın:

    • Ad ve Açıklama: Seçili eylemi izlemek ve tanımlamak için benzersiz, açıklayıcı bir ad ve isteğe bağlı bir açıklama girin.

    Sayfanın geri kalanı, etkilenen varlıkları listeleyen bir tablodur. Tablo aşağıdaki sütunlara göre düzenlenmiştir:

    • Etkilenen varlık: Önceki sayfadan etkilenen varlıklar. Örneğin:
      • Alıcı e-posta adresi
      • Kiracının tamamı
    • Eylem: Önceki sayfadan varlıklar için seçilen eylemler. Örneğin:
      • Gözden geçirme için Microsoft'a Gönder'den değerler:
        • Temiz olarak bildir
        • Rapor
        • Kötü amaçlı yazılım olarak bildir, İstenmeyen posta olarak bildir veya Kimlik avı olarak bildir
        • Göndereni engelle
        • Gönderen etki alanını engelle
        • URL'yi engelle
        • Eki engelle
      • Otomatik araştırma başlatma'dan değerler:
        • E-postayı araştırma
        • Alıcıyı araştırma
        • Göndereni araştırma
        • Kişi alıcıları
      • Düzeltme teklifindeki değerler:
        • Yeni düzeltme oluşturma
        • Var olan düzeltmeye ekle
    • Hedef varlık: Örneğin:
      • E-posta iletisinin Ağ İletisi Kimliği değeri .
      • Engellenen gönderen e-posta adresi.
      • Engellenen gönderen etki alanı.
      • Engellenen URL.
      • Engellenen ek.
    • Süre sonu tarihi: Değerler yalnızca Kiracı/İzin Ver Engelleme Listesi'ndeki izin ver veya engelle girdileri için vardır. Örneğin:
      • Blok girişleri için hiçbir zaman süresi dolmaz.
      • İzin verme veya engelleme girdileri için son kullanma tarihi.
    • Kapsam: Genellikle bu değer MDO'dur.

    Bu aşamada, bazı eylemleri de geri alabilirsiniz. Örneğin, varlığı Microsoft'a göndermeden yalnızca Kiracı İzin Ver/Engelle Listesinde bir blok girdisi oluşturmak istiyorsanız, bunu burada yapabilirsiniz.

    Hedef varlıkları seçin sayfasında işiniz bittiğinde İleri'yi seçin.

  3. Gözden geçir ve gönder sayfasında önceki seçimlerinizi gözden geçirin.

    Etkilenen varlıkları csv dosyasına aktarmak için Dışarı Aktar'ı seçin. Varsayılan olarak, dosya adı İndirilenler klasöründe bulunan Etkilenen assets.csv'dir.

    Geri dönmek ve seçimlerinizi değiştirmek için Geri'yi seçin.

    Gözden geçir ve gönder sayfasında işiniz bittiğinde Gönder'i seçin.

İpucu

Eylemlerin ilgili sayfalarda görünmesi zaman alabilir, ancak düzeltmenin hızı etkilenmez.

Tehdit Gezgini ve Gerçek zamanlı algılamaları kullanarak tehdit avcılığı deneyimi

Tehdit Gezgini veya Gerçek zamanlı algılamalar, güvenlik operasyonları ekibinizin tehditleri verimli bir şekilde araştırmasına ve yanıtlamasına yardımcı olur. Aşağıdaki alt bölümlerde Tehdit Gezgini ve Gerçek zamanlı algılamaların tehditleri bulmanıza nasıl yardımcı olabileceği açıklanmaktadır.

Uyarılardan tehdit avcılığı

Uyarılar sayfası, Defender portalında Olaylar & Uyarılar'da> veya doğrudan adresindehttps://security.microsoft.com/alerts bulunabilir.

Algılama kaynağı değeri MDO olan birçok uyarı, uyarı ayrıntıları açılır öğesinin üst kısmında İletileri Gezgin'de görüntüle eylemine sahiptir.

Uyarının üzerinde ilk sütunun yanındaki onay kutusundan başka bir yere tıkladığınızda uyarı ayrıntıları açılır öğesi açılır. Örneğin:

  • Kötü amaçlı olabilecek bir URL tıklaması algılandı
  • Yönetici gönderimi sonucu tamamlandı
  • Kötü amaçlı URL içeren e-posta iletileri teslimden sonra kaldırıldı
  • Teslimden sonra e-posta iletileri kaldırıldı
  • Teslimden sonra kaldırılmayan kötü amaçlı varlık içeren iletiler
  • ZAP devre dışı bırakıldığından kimlik avı engellenmedi

Defender portalındaki Uyarılar sayfasından Algılamalar kaynak değeri MDO ile bir uyarının uyarı ayrıntıları açılır öğesindeki kullanılabilir eylemlerin ekran görüntüsü.

Gezgin'de İletileri görüntüle'yi seçtiğinizde Tehdit Gezgini Tüm e-posta görünümünde açılır ve uyarı için Uyarı Kimliği özellik filtresi seçilidir. Uyarı Kimliği değeri, uyarı için benzersiz bir GUID değeridir (örneğin, 89e00cdc-4312-7774-6000-08dc33a24419).

Uyarı Kimliği , Tehdit Gezgini ve Gerçek zamanlı algılamalarda aşağıdaki görünümlerde filtrelenebilir bir özelliktir:

Bu görünümlerde Uyarı Kimliği , aşağıdaki sekmelerde (görünümler) grafiğin altındaki ayrıntılar alanında seçilebilir bir sütun olarak kullanılabilir:

Girdilerden birinden Konu değerine tıkladığınızda açılan e-posta ayrıntıları açılır öğesinde Uyarı Kimliği bağlantısı, açılır sayfanın E-posta ayrıntıları bölümünde bulunur. Uyarı Kimliği bağlantısı seçildiğinde uyarı seçili durumdayken uyarıları görüntüle sayfası https://security.microsoft.com/viewalertsv2 açılır ve uyarı için ayrıntılar açılır öğesi açılır.

Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım veya Kimlik Avı görünümlerinden E-posta sekmesindeki bir girdinin e-posta ayrıntıları açılır öğesinden bir Uyarı Kimliği seçtikten sonra Uyarıları görüntüle sayfasındaki uyarı ayrıntıları açılır öğesinin ekran görüntüsü veya Gerçek zamanlı algılamalar.

Tehdit Gezgini'ndeki etiketler

Office 365 için Defender Plan 2'de, yüksek değerli hedef hesaplarını (örneğin, Öncelik hesabı etiketi) işaretlemek için kullanıcı etiketleri kullanırsanız, bu etiketleri filtre olarak kullanabilirsiniz. Bu yöntem, belirli bir zaman aralığında yüksek değerli hedef hesaplara yönlendirilen kimlik avı girişimlerini gösterir. Kullanıcı etiketleri hakkında daha fazla bilgi için bkz. Kullanıcı etiketleri.

Kullanıcı etiketleri Tehdit Gezgini'nde aşağıdaki konumlarda bulunur:

E-posta iletileri için tehdit bilgileri

E-posta iletilerinde ön teslim ve teslim sonrası eylemler, iletiyi etkileyen farklı teslim sonrası olaylarından bağımsız olarak tek bir kayıtta birleştirilir. Örneğin:

Tüm e-posta, Kötü Amaçlı Yazılım veya Kimlik Avı görünümlerindeki E-posta sekmesindeki (görünüm) e-posta ayrıntıları açılır öğesi, ilişkili tehditleri ve e-posta iletisiyle ilişkili ilgili algılama teknolojilerini gösterir. İletide sıfır, bir veya birden çok tehdit olabilir.

  • Teslim ayrıntıları bölümünde Algılama teknolojisi özelliği, tehdidi tanımlayan algılama teknolojisini gösterir. Algılama teknolojisi , Tehdit Gezgini'ndeki birçok görünüm ve Gerçek zamanlı algılamalar için ayrıntılar tablosunda grafik özeti veya sütun olarak da kullanılabilir.

  • URL'ler bölümünde iletideki tüm URL'ler için belirli Tehdit bilgileri gösterilir. Örneğin, Kötü Amaçlı Yazılım, Kimlik Avı, **İstenmeyen Posta veya Hiçbiri.

İpucu

Karar çözümlemesi varlıklara bağlı olmayabilir. Filtreler, bir karar atamadan önce e-posta iletisinin içeriğini ve diğer ayrıntılarını değerlendirir. Örneğin, bir e-posta iletisi kimlik avı veya istenmeyen posta olarak sınıflandırılabilir, ancak iletideki hiçbir URL kimlik avı veya istenmeyen posta kararıyla damgalanmamıştır.

E-posta iletisiyle ilgili ayrıntılı ayrıntıları görmek için açılır listenin üst kısmındaki E-posta varlığını aç'ı seçin. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'da E-posta varlığı sayfası.

Tüm e-posta görünümünde ayrıntılar alanının E-posta sekmesinde bir Konu değeri seçtikten sonra e-posta ayrıntıları açılır öğesinin ekran görüntüsü.

Tehdit Gezgini'ndeki genişletilmiş özellikler

Aşağıdaki alt bölümlerde Tehdit Gezgini'ne özel filtreler açıklanmaktadır.

Exchange posta akışı kuralları (aktarım kuralları)

Exchange posta akışı kurallarından (aktarım kuralları olarak da bilinir) etkilenen iletileri bulmak için, Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerinde (gerçek zamanlı algılamalarda değil) aşağıdaki seçeneklere sahip olursunuz:

  • Exchange aktarım kuralıBirincil geçersiz kılma kaynağı, Geçersiz kılma kaynağı ve İlke türü filtrelenebilir özellikleri için seçilebilir bir değerdir.
  • Exchange aktarım kuralı filtrelenebilir bir özelliktir. Kuralın adı için kısmi bir metin değeri girersiniz.

Daha fazla bilgi için şu bağlantılara bakın:

Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerinin ayrıntılar alanı için E-posta sekmesi (görünüm), varsayılan olarak seçili olmayan kullanılabilir bir sütun olarak Exchange aktarım kuralına da sahiptir. Bu sütun, aktarım kuralının adını gösterir. Daha fazla bilgi için şu bağlantılara bakın:

İpucu

Tehdit Gezgini'nde posta akışı kurallarını ada göre aramak için gereken izinler için bkz. Tehdit Gezgini ve Gerçek zamanlı algılamalar için izinler ve lisanslama. E-posta ayrıntıları açılır listelerinde, ayrıntı tablolarında ve dışarı aktarılan sonuçlarda kural adlarını görmek için özel izinler gerekmez.

Gelen bağlayıcılar

Gelen bağlayıcılar, Microsoft 365 için e-posta kaynakları için belirli ayarları belirtir. Daha fazla bilgi için bkz. Exchange Online'da bağlayıcıları kullanarak posta akışını yapılandırma.

Gelen bağlayıcılardan etkilenen iletileri bulmak için Bağlayıcı filtrelenebilir özelliğini kullanarak Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerinde (gerçek zamanlı algılamalarda değil) bağlayıcıları ada göre arayabilirsiniz. Bağlayıcının adı için kısmi bir metin değeri girersiniz. Daha fazla bilgi için şu bağlantılara bakın:

Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerinin ayrıntılar alanı için E-posta sekmesi (görünüm), varsayılan olarak seçilmemiş kullanılabilir bir sütun olarak Bağlayıcı'ya da sahiptir. Bu sütun bağlayıcının adını gösterir. Daha fazla bilgi için şu bağlantılara bakın:

Tehdit Gezgini ve Gerçek zamanlı algılamalarda e-posta güvenlik senaryoları

Belirli senaryolar için aşağıdaki makalelere bakın:

Tehdit Gezgini'ni ve Gerçek zamanlı algılamaları kullanmanın diğer yolları

Bu makalede açıklanan senaryolara ek olarak, Gezgin veya Gerçek zamanlı algılamalarda daha fazla seçeneğiniz vardır. Daha fazla bilgi için aşağıdaki makalelere bakın: