Office 365 için Defender'de kimliğe bürünme içgörüleri

• Şunlara uygulanır:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Kimliğe bürünme , e-posta iletisini gönderenin gerçek veya beklenen bir gönderenin e-posta adresine benzemesidir. Saldırganlar genellikle kimlik avında veya diğer saldırı türlerinde kimliğe bürünülen gönderen e-posta adreslerini kullanarak alıcının güvenini kazanır. İki temel kimliğe bürünme türü vardır:

• Etki alanı kimliğe bürünme: Etki alanında küçük farklılıklar içerir. Örneğin, lila@ćóntoso.com kimliğine bürüner lila@contoso.com.
• Kullanıcı kimliğe bürünme: E-posta diğer adında küçük farklılıklar içerir. Örneğin, rnichell@contoso.com kimliğine bürünülir michelle@contoso.com.

Kimliğine bürünülen etki alanı genellikle gerçek, kayıtlı bir etki alanı olduğundan ancak aldatma amacına sahip olduğundan etki alanı kimliğe bürünme özelliği etki alanı kimlik sahtekarlığından farklıdır. Kimliğine bürünülen etki alanındaki gönderenlerden gelen iletiler, iletileri kimlik sahtekarlık girişimleri (SPF, DKIM ve DMARC) olarak tanımlayan normal e-posta kimlik doğrulama denetimleri geçirebilir.

Kimliğe bürünme koruması, Office 365 için Microsoft Defender özel kimlik avı önleme ilkesi ayarlarının bir parçasıdır. Bu ayarlar hakkında daha fazla bilgi için bkz. Office 365 için Microsoft Defender kimlik avı önleme ilkelerindeki kimliğe bürünme ayarları.

Yöneticiler, kimlik avı önleme ilkelerindeki kimliğe bürünme korumasında belirtilen kimliğe bürünülen gönderenlerden veya gönderen etki alanlarından gelen iletileri hızla tanımlamak için Microsoft Defender portalındaki kimliğe bürünme içgörülerini kullanabilir.

Başlamadan önce bilmeniz gerekenler

• Microsoft Defender portalını adresinde https://security.microsoft.comaçarsınız. Doğrudan Kimlik avı önleme sayfasına gitmek için kullanın https://security.microsoft.com/antiphishing. Kimliğe Bürünme içgörü sayfasına doğrudan gitmek için kullanınhttps://security.microsoft.com/impersonationinsight.

• Bu makaledeki yordamları gerçekleştirmeden önce size izinler atanmalıdır. Aşağıdaki seçeneklere sahipsiniz:

  • Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC) (İşbirliği Email &>Office 365 için Defender izinleri Etkin olur. PowerShell'i değil yalnızca Defender portalını etkiler: Yetkilendirme ve ayarlar/Güvenlik ayarları/Çekirdek Güvenlik ayarları (yönet) veya Yetkilendirme ve ayarlar/Güvenlik ayarları/Çekirdek Güvenlik ayarları (okuma).
  • Microsoft Defender portalında işbirliği izinlerini Email &: Aşağıdaki rol gruplarından herhangi birinde üyelik:
    • Kuruluş Yönetimi
    • Güvenlik Yöneticisi
    • Güvenlik Okuyucusu
    • Genel Okuyucu
  • Microsoft Entra izinleri: Genel Yönetici, Güvenlik Yöneticisi, Güvenlik Okuyucusu veya Genel Okuyucu rollerindeki üyelik, kullanıcılara Microsoft 365'teki diğer özellikler için gerekli izinleri ve izinleri verir.

• Office 365 için Microsoft Defender kimlik avı önleme ilkelerinde kimliğe bürünme korumasını etkinleştirir ve yapılandırabilirsiniz. Kimliğe bürünme koruması varsayılan olarak etkin değildir. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'de kimlik avı önleme ilkelerini yapılandırma ve Kullanıcılara Standart ve Katı ön ayarlı güvenlik ilkeleri atamak için Microsoft Defender portalını kullanma.

• Lisanslama gereksinimleri hakkında daha fazla bilgi için bkz . Lisanslama koşulları.

Microsoft Defender portalında kimliğe bürünme içgörülerini açma

konumundaki Microsoft Defender portalındahttps://security.microsoft.com, İlkeler bölümündeEmail & İşbirliği>İlkeleri & Kuralları>Tehdit tehdit ilkeleri>kimlik avı önleme bölümüne gidin. Ya da doğrudan Kimlik avı önleme sayfasına gitmek için kullanın https://security.microsoft.com/antiphishing.

Kimlik avı önleme sayfasında kimliğe bürünme içgörüleri şöyle görünür:

İçgörü iki moda sahiptir:

• İçgörü modu: Kimlik avı önleme ilkelerinde kimliğe bürünme koruması etkinleştirilir ve yapılandırılırsa içgörü, son yedi gün içinde kimliğine bürünülen etki alanlarından ve kimliğine bürünülen kullanıcılardan (gönderenler) gelen algılanan iletilerin sayısını gösterir. Gösterilen sayı, tüm kimlik avı önleme ilkelerinden algılanan tüm kimliğe bürünme girişimlerinin toplamıdır.
• Durum modu: Kimliğe bürünme koruması etkin kimlik avı önleme ilkelerinde etkinleştirilmemiş ve yapılandırılmamışsa içgörü, son yedi gün içinde kimliğe bürünme koruması tarafından kaç ileti algılandığını gösterir.

Kimliğe bürünme algılamaları hakkındaki bilgileri görüntülemek için kimliğe bürünme içgörülerinde Kimliğe bürünme içgörülerini görüntüle'yi seçerek Kimliğe bürünme içgörüleri sayfasına gidin.

Etki alanı kimliğe bürünme algılamaları hakkındaki bilgileri görüntüleme

konumundaki Kimliğe Bürünme içgörüleri sayfasıhttps://security.microsoft.com/impersonationinsight, Kimlik avı önleme sayfasındaki kimliğe bürünme içgörüsüsünde Kimliğe bürünmeleri görüntüle'yi seçtiğinizde kullanılabilir.

Kimliğe Bürünme içgörüleri sayfasında Etki Alanları sekmesinin seçili olduğunu doğrulayın.

Kullanılabilir bir sütun üst bilgisine tıklayarak girişleri sıralayabilirsiniz. Aşağıdaki sütunlar kullanılabilir:^*:

• Gönderen Etki Alanı: E-posta iletisini göndermek için kullanılan etki alanı olan kimliğe bürünen etki alanı.
• İleti sayısı: Son yedi gün içinde gönderen etki alanının kimliğine bürünen ileti sayısı.
• Kimliğe bürünme türü: Bu değer kimliğe bürünme işleminin algılanan konumunu gösterir (örneğin, Adresteki etki alanı).
• Kimliğine bürünülen etki alanları: Etki alanı kimliğe bürünme koruması tarafından korunan etki alanı, Gönderen etki alanındaki etki alanına benzemelidir.
• Etki alanı türü: Bu değer, kabul edilen etki alanları için Şirket etki alanı veya özel etki alanları için özel etki alanıdır.
• İlke: Kimliğine bürünülen etki alanını algılayan kimlik avı önleme ilkesi.
• Kimliğine bürünme izni verildi: Aşağıdaki değerlerden biri:
  • Evet: Etki alanı, iletiyi algılayan kimlik avı önleme ilkesinde güvenilen etki alanı (kimliğe bürünme koruması için özel durum) olarak yapılandırıldı. Kimliğine bürünülen etki alanından iletiler algılandı, ancak izin verildi.
  • Hayır: Etki alanı, iletiyi algılayan kimlik avı önleme ilkesinde kimliğe bürünme koruması için yapılandırıldı. Kimlik avı önleme ilkesindeki etki alanı kimliğe bürünme algılamaları eylemi iletiye yapılır.

^* Tüm sütunları görmek için büyük olasılıkla aşağıdaki adımlardan birini veya daha fazlasını yapmanız gerekir:

• Web tarayıcınızda yatay olarak kaydırın.
• Uygun sütunların genişliğini daraltın.
• Web tarayıcınızda uzaklaştırın.

Etki alanı kimliğe bürünme algılamalarının listesini normalden sıkıştırma aralığına değiştirmek için Liste aralığını sıkıştır veya normal olarak değiştir'i ve ardından Listeyi sıkıştır'ı seçin.

Belirli etki alanı kimliğe bürünme algılamalarını bulmak için Arama kutusunu ve virgülle ayrılmış değerler listesini kullanın.

Etki alanı kimliğe bürünme algılamalarının listesini csv dosyasına aktarmak için Dışarı Aktar'ı kullanın.

Etki alanı kimliğe bürünme algılaması hakkındaki ayrıntıları görüntüleme

konumundaki Kimliğe Bürünme içgörüleri sayfasındaki https://security.microsoft.com/impersonationinsight?type=DomainEtki Alanları sekmesinde, onay kutusundan başka bir satıra tıklayarak kimliğe bürünme algılamalarından birini seçin.

Ayrıntılar açılır öğesinde aşağıdaki bilgileri bulabilirsiniz:

• Bunu neden yakaladık?

• Ne yapmanız gerekiyor?

• Etki alanı özeti: Kimliğe bürünme olarak algılanan etki alanı.

• Whois verileri: Etki alanı hakkında bilgi içerir:

  • Gönderen konumu
  • Etki alanı oluşturma tarihi
  • Etki alanı sona erme tarihi
  • Registrant

• Gezgin araştırması: Gönderen hakkında ek ayrıntılar için Tehdit Gezgini'ni veya Gerçek zamanlı algılamaları açmak için bağlantıyı seçin.

• Gönderenden Email: Bu bölümde, etki alanındaki gönderenlerden gelen benzer iletiler hakkında aşağıdaki bilgiler gösterilir:

  • Tarih
  • Alıcı
  • Konu
  • Gönderen
  • Gönderen IP'i
  • Teslim eylemi

İpucu

Ayrıntılar açılır öğesinden çıkmadan diğer etki alanı kimliğe bürünme girdileriyle ilgili ayrıntıları görmek için, açılır öğenin üst kısmındaki Önceki öğe ve Sonraki öğe'yi kullanın.

Algılanan bir etki alanındaki gönderenlerin etki alanı kimliğe bürünme olarak tanımlanmasını önlemek için sonraki alt bölüme bakın.

Algılanan bir etki alanındaki gönderenlerin gelecekteki etki alanı kimliğe bürünme denetimlerinden muaf tutulması

konumundaki Kimliğe Bürünme içgörü sayfasının https://security.microsoft.com/impersonationinsight?type=DomainEtki Alanları sekmesinde, algılanan bir etki alanındaki gönderenlerin etki alanı kimliğe bürünme olarak tanımlanmasını muaf tutmaları için aşağıdaki adımları kullanın:

Onay kutusundan başka bir satıra tıklayarak listeden girdiyi seçin.

Açılan ayrıntılar açılır öğesinde, değiştirmek için Kimliğe bürünme seç ilkesini kullanın ve açılır listenin en üstündeki Kimliğe bürünme listesi ayarlarına ekleyin . Bu ayarlar birlikte çalışarak etki alanını ilkedeki Güvenilen gönderenler ve etki alanları listesine iletiyi yanlış bir şekilde etki alanı kimliğe bürünme olarak tanımladı:

• Açılan listeden kimlik avı önleme ilkesini seçin. İletiyi algılamaktan sorumlu olan kimlik avı önleme ilkesi, Etki Alanı sekmesindeki İlke değerinde gösterilir.

• Seçili ilkede etki alanını Güvenilen gönderenler ve etki alanları listesine eklemek için iki durumlu düğmeyi açık konuma kaydırın.

  Etki alanını Güvenilen gönderenler ve etki alanları listesinden kaldırmak için iki durumlu düğmeyi

Ayrıntılar açılır öğesinde işiniz bittiğinde Kapat'ı seçin.

Kullanıcı kimliğe bürünme algılamaları hakkındaki bilgileri görüntüleme

konumundaki Kimliğe Bürünme içgörüleri sayfasıhttps://security.microsoft.com/impersonationinsight, Kimlik avı önleme sayfasındaki kimliğe bürünme içgörüsüsünde Kimliğe bürünmeleri görüntüle'yi seçtiğinizde kullanılabilir.

Kimliğe Bürünme içgörü sayfasında Kullanıcılar sekmesini seçin.

Kullanılabilir bir sütun üst bilgisine tıklayarak girişleri sıralayabilirsiniz. Aşağıdaki sütunlar kullanılabilir:^*:

• Gönderen: E-posta iletisini gönderen kimliğine bürünen gönderenin e-posta adresi.
• İleti sayısı: Son yedi gün içinde kimliğe bürünen gönderenden gelen ileti sayısı.
• Kimliğe bürünme türü: Örneğin, Görünen addaki kullanıcı.
• Kimliğine bürünülen kullanıcılar: Kimliğe bürünme koruması tarafından korunan gönderenin görünen adı ve e-posta adresi, Gönderen'deki e-posta adresine benzer.
• Kullanıcı türü: Uygulanan koruma türü (örneğin, Korumalı kullanıcı veya Posta Kutusu Yönetim Bilgileri).
• İlke: Kimliğine bürünülen göndereni algılayan kimlik avı önleme ilkesi.
• Kimliğine bürünme izni verildi: Aşağıdaki değerlerden biri:
  • Evet: Gönderen, iletiyi algılayan kimlik avı önleme ilkesinde güvenilir kullanıcı (kimliğe bürünme koruması için özel durum) olarak yapılandırıldı. Kimliğine bürünülen gönderenden gelen iletiler algılandı, ancak izin verildi.
  • Hayır: Gönderen, iletiyi algılayan kimlik avı önleme ilkesinde kimliğe bürünme koruması için yapılandırıldı. Kimlik avı önleme ilkesindeki kullanıcı kimliğe bürünme algılamaları eylemi iletiye yapılır.

^* Tüm sütunları görmek için büyük olasılıkla aşağıdaki adımlardan birini veya daha fazlasını yapmanız gerekir:

• Web tarayıcınızda yatay olarak kaydırın.
• Uygun sütunların genişliğini daraltın.
• Web tarayıcınızda uzaklaştırın.

Kullanıcı kimliğe bürünme algılamalarının listesini normalden sıkıştırma aralığına değiştirmek için Liste aralığını sıkıştır veya normal olarak değiştir'i ve ardından Listeyi sıkıştır'ı seçin.

Belirli kullanıcı kimliğe bürünme algılamalarını bulmak için Arama kutusunu ve virgülle ayrılmış değerler listesini kullanın.

Kullanıcı kimliğe bürünme algılamalarının listesini csv dosyasına aktarmak için Dışarı Aktar'ı kullanın.

Kullanıcı kimliğe bürünme algılaması hakkındaki ayrıntıları görüntüleme

konumundaki Kimliğe Bürünme içgörüleri sayfasının https://security.microsoft.com/impersonationinsight?type=UserKullanıcılar sekmesinde, satırda onay kutusundan başka bir yere tıklayarak kimliğe bürünme algılamalarından birini seçin.

Ayrıntılar açılır öğesinde aşağıdaki bilgileri bulabilirsiniz:

• Bunu neden yakaladık?

• Ne yapmanız gerekiyor?

• Gönderen özeti: Kimliğe bürünme olarak algılanan gönderen.

• Gezgin araştırması: Gönderen hakkında ek ayrıntılar için Tehdit Gezgini'ni veya Gerçek zamanlı algılamaları açmak için bağlantıyı seçin.

• Gönderenden Email: Bu bölümde, gönderenden gelen benzer iletiler hakkında aşağıdaki bilgiler gösterilir:

  • Tarih
  • Alıcı
  • Konu
  • Gönderen
  • Gönderen IP'i
  • Teslim eylemi

İpucu

Ayrıntılar açılır öğesinden çıkmadan diğer kullanıcı kimliğe bürünme girdileriyle ilgili ayrıntıları görmek için açılır öğenin üst kısmındaki Önceki öğe ve Sonraki öğe'yi kullanın.

Algılanan bir gönderenin kullanıcı kimliğine bürünme olarak tanımlanmasını önlemek için sonraki alt bölüme bakın.

Algılanan bir göndereni gelecekteki kullanıcı kimliğe bürünme denetimlerinden muaf tutma

konumundaki Kimliğe Bürünme içgörü sayfasının https://security.microsoft.com/impersonationinsight?type=UserKullanıcılar sekmesinde, algılanan gönderenlerin kullanıcı kimliğe bürünme olarak tanımlanmasını muaf tutmamak için aşağıdaki adımları kullanın:

Onay kutusundan başka bir satıra tıklayarak listeden girdiyi seçin.

Açılan ayrıntılar açılır öğesinde, değiştirmek için Kimliğe bürünme seç ilkesini kullanın ve açılır listenin en üstündeki Kimliğe bürünme listesi ayarlarına ekleyin . Bu ayarlar birlikte çalışarak, iletiyi yanlış bir şekilde kullanıcı kimliğine bürünme olarak tanımlayan ilkedeki Güvenilir gönderenler ve etki alanları listesine göndereni ekler:

• Açılan listeden kimlik avı önleme ilkesini seçin. İletiyi algılamaktan sorumlu olan kimlik avı önleme ilkesi, Etki Alanı sekmesindeki İlke değerinde gösterilir.

• Seçili ilkedeki Güvenilir gönderenler ve etki alanları listesine göndereni eklemek için iki durumlu düğmeyi açık konuma kaydırın.

  Göndereni Güvenilen gönderenler ve etki alanları listesinden kaldırmak için iki durumlu düğmeyi

Ayrıntılar açılır öğesinde işiniz bittiğinde Kapat'ı seçin.