EOP'de kimlik avı önleme ilkelerini yapılandırma
İpucu
Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.
Exchange Online posta kutusu olmayan Exchange Online veya tek başına Exchange Online Protection (EOP) kuruluşlarında posta kutuları olan Microsoft 365 kuruluşlarında kimlik avı önleme ilkeleri kimlik sahtekarlığı önleme koruması sağlar. Daha fazla bilgi için bkz. Kimlik avı önleme ilkelerindeki kimlik sahtekarlığı ayarları.
Varsayılan kimlik avı önleme ilkesi tüm alıcılar için otomatik olarak geçerlidir. Daha fazla ayrıntı düzeyi için, kuruluşunuzdaki belirli kullanıcılar, gruplar veya etki alanları için geçerli olan özel kimlik avı önleme ilkeleri de oluşturabilirsiniz.
Kimlik avı önleme ilkelerini Microsoft Defender portalında veya PowerShell'de yapılandırabilirsiniz (Exchange Online posta kutuları olan Microsoft 365 kuruluşları için PowerShell Exchange Online; Exchange Online posta kutusu olmayan kuruluşlar için tek başına EOP PowerShell).
Office 365 için Microsoft Defender olan kuruluşlarda kimlik avı önleme ilkesi yordamları için bkz. Office 365 için Microsoft Defender'de kimlik avı önleme ilkelerini yapılandırma.
Başlamadan önce bilmeniz gerekenler
Microsoft Defender portalını adresinde https://security.microsoft.comaçarsınız. Doğrudan Kimlik avı önleme sayfasına gitmek için kullanın https://security.microsoft.com/antiphishing.
Exchange Online PowerShell'e bağlanmak için bkz. Exchange Online PowerShell'e bağlanma. Tek başına EOP PowerShell'e bağlanmak için bkz. Exchange Online Protection PowerShell'e bağlanma.
Bu makaledeki yordamları gerçekleştirmeden önce size izinler atanmalıdır. Seçenekleriniz şunlardır:
Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC) (İşbirliği Email &>Office 365 için Defender izinleri Etkin olur. PowerShell'i değil yalnızca Defender portalını etkiler: Yetkilendirme ve ayarlar/Güvenlik ayarları/Çekirdek Güvenlik ayarları (yönet) veya Yetkilendirme ve ayarlar/Güvenlik ayarları/Çekirdek Güvenlik ayarları (okuma).
-
- İlke ekleme, değiştirme ve silme: Kuruluş Yönetimi veya Güvenlik Yöneticisi rol gruplarında üyelik.
- İlkelere salt okunur erişim: Genel Okuyucu, Güvenlik Okuyucusu veya Salt Görüntüleme Kuruluş Yönetimi rol gruplarındaki üyelik.
Microsoft Entra izinleri: Genel Yönetici*, Güvenlik Yöneticisi, Genel Okuyucu veya Güvenlik Okuyucusu rollerindeki üyelik, kullanıcılara Microsoft 365'teki diğer özellikler için gerekli izinleri ve izinleri verir.
Önemli
* Microsoft, rolleri en az izinle kullanmanızı önerir. Daha düşük izinli hesapların kullanılması, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.
Office 365 için Defender'da kimlik avı önleme ilkeleri için önerilen ayarlarımız için Office 365 için Defender ayarlarındaki Kimlik avı önleme ilkesi bölümüne bakın.
İpucu
Varsayılan veya özel kimlik avı önleme ilkelerindeki ayarlar, alıcı Standart veya Katı önceden belirlenmiş güvenlik ilkelerine de dahil edilirse yoksayılır. Daha fazla bilgi için bkz . E-posta korumasının sırası ve önceliği.
Yeni veya güncelleştirilmiş bir ilkenin uygulanması için 30 dakikaya kadar bekleyin.
Kimlik avı önleme ilkeleri oluşturmak için Microsoft Defender portalını kullanma
konumundaki Microsoft Defender portalındahttps://security.microsoft.com, İlkeler bölümündeEmail & İşbirliği>İlkeleri & Kuralları>Tehdit tehdit ilkeleri>kimlik avı önleme bölümüne gidin. Doğrudan Kimlik avı önleme sayfasına gitmek için kullanın https://security.microsoft.com/antiphishing.
Kimlik avı önleme sayfasında Oluştur'u seçerek yeni kimlik avı önleme ilkesi sihirbazını açın.
İlke adı sayfasında şu ayarları yapılandırın:
- Ad: İlke için benzersiz, açıklayıcı bir ad girin.
- Açıklama: İlke için isteğe bağlı bir açıklama girin.
İlke adı sayfasında işiniz bittiğinde İleri'yi seçin.
Kullanıcılar, gruplar ve etki alanları sayfasında, ilkenin geçerli olduğu iç alıcıları tanımlayın (alıcı koşulları):
- Kullanıcılar: Belirtilen posta kutuları, posta kullanıcıları veya posta kişileri.
-
Gruplar:
- Belirtilen dağıtım gruplarının veya posta etkin güvenlik gruplarının üyeleri (dinamik dağıtım grupları desteklenmez).
- Belirtilen Microsoft 365 Grupları.
- Etki alanları: Belirtilen kabul edilen etki alanında birincil e-posta adresi olan kuruluştaki tüm alıcılar.
Uygun kutuya tıklayın, bir değer yazmaya başlayın ve sonuçlardan istediğiniz değeri seçin. Bu işlemi gerektiği kadar tekrarlayın. Mevcut bir değeri kaldırmak için değerin yanındaki öğesini seçin .
Kullanıcılar veya gruplar için çoğu tanımlayıcıyı (ad, görünen ad, diğer ad, e-posta adresi, hesap adı vb.) kullanabilirsiniz, ancak sonuçlarda ilgili görünen ad gösterilir. Kullanıcılar veya gruplar için, tüm kullanılabilir değerleri görmek için tek başına bir yıldız (*) girin.
Koşulu yalnızca bir kez kullanabilirsiniz, ancak koşul birden çok değer içerebilir:
Aynı koşulun birden çok değeri OR mantığını kullanır (örneğin, <alıcı1> veya <alıcı2>). Alıcı belirtilen değerlerden herhangi biri ile eşleşiyorsa, ilke bu değerlere uygulanır.
Farklı koşul türleri AND mantığı kullanır. İlkenin bu ilkeye uygulanabilmesi için alıcının belirtilen tüm koşullarla eşleşmesi gerekir. Örneğin, aşağıdaki değerlerle bir koşul yapılandırabilirsiniz:
- Kullanıcı:
romain@contoso.com
- Gruplar: Yöneticiler
İlke
romain@contoso.com
, yalnızca Yöneticiler grubunun da üyesiyse uygulanır. Aksi takdirde ilke ona uygulanmaz.- Kullanıcı:
Bu kullanıcıları, grupları ve etki alanlarını dışlayın: İlkenin geçerli olduğu iç alıcılara özel durumlar eklemek için (alıcı özel durumları), bu seçeneği belirleyin ve özel durumları yapılandırın.
Özel durumu yalnızca bir kez kullanabilirsiniz, ancak özel durum birden çok değer içerebilir:
- Aynı özel durumun birden çok değeri OR mantığını kullanır (örneğin, <alıcı1> veya <alıcı2>). Alıcı belirtilen değerlerden herhangi biri ile eşleşiyorsa, ilke bu değerlere uygulanmaz.
- Farklı özel durum türleri OR mantığını kullanır (örneğin, <alıcı1 veya grup1> üyesi ya da <etki alanı1>>üyesi).< Alıcı belirtilen özel durum değerlerinden herhangi birini eşleştirirse, ilke bu değerlere uygulanmaz.
Kullanıcılar, gruplar ve etki alanları sayfasında işiniz bittiğinde İleri'yi seçin.
Kimlik avı eşiği & koruma sayfasında, kimlik sahtekarlığı zekasını açmak veya kapatmak için Kimlik sahtekarlığı zekasını etkinleştir onay kutusunu kullanın. Bu ayar varsayılan olarak seçilidir ve bu ayarı seçili bırakmanızı öneririz. Sonraki sayfada engellenen sahte gönderenlerden gelen iletilerde gerçekleştireceğiniz eylemi belirtirsiniz.
Kimlik sahtekarlık zekasını kapatmak için onay kutusunu temizleyin.
Not
MX kaydınız Microsoft 365'e işaret etmiyorsa kimlik sahtekarlık zekasını kapatmanız gerekmez; bunun yerine Bağlayıcılar için Gelişmiş Filtreleme'yi etkinleştirirsiniz. Yönergeler için bkz. Exchange Online'da Bağlayıcılar için Gelişmiş Filtreleme.
Kimlik avı eşiği & koruma sayfasında işiniz bittiğinde İleri'yi seçin.
Eylemler sayfasında aşağıdaki ayarları yapılandırın:
İleti sahte olarak algılandığında DMARC kayıt ilkesini kabul edin: Bu ayar varsayılan olarak seçilidir ve gönderenin açık DMARC denetimlerinin başarısız olduğu ve DMARC ilkesinin veya
p=reject
olarak ayarlandığı iletilerep=quarantine
ne olacağını denetlemenize olanak tanır:İleti kimlik sahtekarı olarak algılanırsa ve DMARC İlkesi p=quarantine olarak ayarlanırsa: Aşağıdaki eylemlerden birini seçin:
- İletiyi karantinaya al: Bu varsayılan değerdir.
- İletiyi alıcıların Gereksiz Email klasörlerine taşıma
İleti kimlik sahtekarı olarak algılanırsa ve DMARC İlkesi p=reject olarak ayarlanırsa: Aşağıdaki eylemlerden birini seçin:
- İletiyi karantinaya al
- İletiyi reddet: Bu varsayılan değerdir.
Daha fazla bilgi için bkz . Kimlik sahtekarlığına karşı koruma ve gönderen DMARC ilkeleri.
İleti, kimlik sahtekarı zekası tarafından sahte olarak algılanırsa: Bu ayar yalnızca önceki sayfada Kimlik sahtekarı zekasını etkinleştir'i seçtiğinizde kullanılabilir. Engellenen sahte gönderenlerden gelen iletiler için açılan listede aşağıdaki eylemlerden birini seçin:
İletiyi alıcıların Gereksiz Email klasörlerine taşıma (varsayılan)
İletiyi karantinaya alma: Bu eylemi seçerseniz, kimlik sahtekarlığına karşı koruma tarafından karantinaya alınan iletilere uygulanan karantina ilkesini seçtiğiniz bir Karantina ilkesi uygula kutusu görüntülenir.
Bir karantina ilkesi seçmezseniz, kimlik sahtekarlığı algılamaları için varsayılan karantina ilkesi kullanılır (DefaultFullAccessPolicy). Daha sonra kimlik avı önleme ilkesi ayarlarını görüntülediğinizde veya düzenlediğinizde karantina ilkesi adı gösterilir.
Güvenlik ipuçları & göstergeler bölümü: Aşağıdaki ayarları yapılandırın:
- İlk iletişim güvenliği ipucunu göster: Daha fazla bilgi için bkz. İlk temas güvenliği ipucu.
- Kimlik sahtekarlığına yönelik kimliği doğrulanmamış gönderenler için göster (?) : Bu ayar yalnızca önceki sayfada Kimlik sahtekarı zekasını etkinleştir'i seçtiyseniz kullanılabilir. İleti SPF veya DKIM denetimlerini geçmezse ve ileti DMARC veya bileşik kimlik doğrulamasını geçmezse, Outlook'taki Kimden kutusunda gönderenin fotoğrafına bir soru işareti (?) ekler. Bu ayar varsayılan olarak seçilidir.
-
"Via" etiketini göster: Bu ayar yalnızca önceki sayfada Sahte zekayı etkinleştir'i seçtiyseniz kullanılabilir. DKIM imzasında etki alanından veya MAIL FROM adresinden farklıysa Kimden adresine aracılığıyla (
chris@contoso.com
fabrikam.com aracılığıyla) adlı etiket ekler. Bu ayar varsayılan olarak seçilidir.
Bir ayarı açmak için onay kutusunu seçin. Kapatmak için onay kutusunu temizleyin.
Eylemler sayfasında işiniz bittiğinde İleri'yi seçin.
Gözden Geçir sayfasında ayarlarınızı gözden geçirin. Bölümün içindeki ayarları değiştirmek için her bölümde Düzenle'yi seçebilirsiniz. Alternatif olarak Geri'yi veya sihirbazdaki belirli bir sayfayı seçebilirsiniz.
Gözden Geçir sayfasında işiniz bittiğinde Gönder'i seçin.
Yeni kimlik avı önleme ilkesi oluşturuldu sayfasında, ilkeyi görüntülemek, kimlik avı önleme ilkelerini görüntülemek ve kimlik avı önleme ilkeleri hakkında daha fazla bilgi edinmek için bağlantıları seçebilirsiniz.
Yeni kimlik avı koruması ilkesi oluşturuldu sayfasında işiniz bittiğinde Bitti'yi seçin.
Kimlik avı önleme sayfasına geri döndüğünüzde yeni ilke listelenir.
Kimlik avı önleme ilkesi ayrıntılarını görüntülemek için Microsoft Defender portalını kullanma
Microsoft Defender portalında, İlkeler bölümündeEmail & İşbirliği>İlkeleri & Kurallar>Tehdit ilkeleri>Kimlik avı önleme bölümüne gidin. Ya da doğrudan Kimlik avı önleme sayfasına gitmek için kullanın https://security.microsoft.com/antiphishing.
Kimlik avı önleme sayfasında, kimlik avı önleme ilkeleri listesinde aşağıdaki özellikler görüntülenir:
- Ad
-
Durum: Değerler şunlardır:
- Varsayılan kimlik avı önleme ilkesi için her zaman açık.
- Diğer istenmeyen posta önleme ilkeleri için Açık veya Kapalı.
- Öncelik: Daha fazla bilgi için Özel kimlik avı önleme ilkelerinin önceliğini ayarlama bölümüne bakın.
İlke listesini normalden sıkıştırma aralığına değiştirmek için Liste aralığını sıkıştır veya normal olarak değiştir'i ve ardından Listeyi sıkıştır'ı seçin.
İlkeleri Zaman aralığına (oluşturma tarihi) veya Duruma göre filtrelemek için Filtre'yi kullanın.
Belirli kimlik avı önleme ilkelerini bulmak için Arama kutusunu ve ilgili değeri kullanın.
İlke listesini bir CSV dosyasına aktarmak için Dışarı Aktar'ı kullanın.
İlkenin ayrıntılar açılır öğesini açmak için adın yanındaki onay kutusunun dışındaki bir satıra tıklayarak bir ilke seçin.
İpucu
Ayrıntılar açılır öğesinden çıkmadan diğer kimlik avı önleme ilkeleriyle ilgili ayrıntıları görmek için açılır öğenin üst kısmındaki Önceki öğe ve Sonraki öğe'yi kullanın.
Kimlik avı önleme ilkeleri üzerinde işlem yapmak için Microsoft Defender portalını kullanma
Microsoft Defender portalında, İlkeler bölümündeEmail & İşbirliği>İlkeleri & Kurallar>Tehdit ilkeleri>Kimlik avı önleme bölümüne gidin. Ya da doğrudan Kimlik avı önleme sayfasına gitmek için kullanın https://security.microsoft.com/antiphishing.
Kimlik avı önleme sayfasında, aşağıdaki yöntemlerden birini kullanarak kimlik avı önleme ilkesini seçin:
Adın yanındaki onay kutusunu seçerek listeden ilkeyi seçin. Aşağıdaki eylemler, görüntülenen Diğer eylemler açılan listesinde bulunur:
- Seçili ilkeleri etkinleştirin.
- Seçili ilkeleri devre dışı bırakın.
- Seçili ilkeleri silin.
Listeden ilkeyi seçmek için, satırda adın yanındaki onay kutusundan başka bir yere tıklayın. Aşağıdaki eylemlerin bazıları veya tümü açılan ayrıntılar açılır öğesinde kullanılabilir:
- Her bölümde Düzenle'ye tıklayarak ilke ayarlarını değiştirme (özel ilkeler veya varsayılan ilke)
- Açma veya Kapatma (yalnızca özel ilkeler)
- Önceliği artırma veya Önceliği azaltma (yalnızca özel ilkeler)
- İlkeyi silme (yalnızca özel ilkeler)
Eylemler aşağıdaki alt bölümlerde açıklanmıştır.
Kimlik avı önleme ilkelerini değiştirmek için Microsoft Defender portalını kullanma
Varsayılan kimlik avı önleme ilkesini veya özel ilkeyi, adın yanındaki onay kutusundan başka bir yere tıklayarak seçtikten sonra, ilke ayarları açılan ayrıntılar açılır öğesinde gösterilir. Bölümün içindeki ayarları değiştirmek için her bölümde Düzenle'yi seçin. Ayarlar hakkında daha fazla bilgi için bu makalenin önceki bölümlerinde yer alan Kimlik avı önleme ilkeleri oluşturma bölümüne bakın.
Varsayılan ilke için, ilkenin adını değiştiremezsiniz ve yapılandıracak alıcı filtresi yoktur (ilke tüm alıcılar için geçerlidir). Ancak ilkedeki diğer tüm ayarları değiştirebilirsiniz.
Önceden ayarlanmış güvenlik ilkeleriyle ilişkilendirilmiş Standart Önceden Ayarlanmış Güvenlik İlkesi ve Katı Önceden Ayarlanmış Güvenlik İlkesi adlı kimlik avı önleme ilkeleri için, ayrıntılar açılır öğesinde ilke ayarlarını değiştiremezsiniz. Bunun yerine, ayrıntılar açılır öğesinde Önceden ayarlanmış güvenlik ilkelerini görüntüle'yi seçerek önceden belirlenmiş güvenlik ilkelerini değiştirmek için konumundakihttps://security.microsoft.com/presetSecurityPolicies Önceden ayarlanmış güvenlik ilkeleri sayfasına gidin.
Özel kimlik avı önleme ilkelerini etkinleştirmek veya devre dışı bırakmak için Microsoft Defender portalını kullanma
Varsayılan kimlik avı önleme ilkesini devre dışı bırakamazsınız (her zaman etkindir).
Standart ve Katı önceden ayarlanmış güvenlik ilkeleriyle ilişkili kimlik avı önleme ilkelerini etkinleştiremez veya devre dışı bırakamazsınız. Üzerindeki Önceden ayarlanmış güvenlik ilkeleri sayfasında https://security.microsoft.com/presetSecurityPoliciesStandart veya Katı önceden ayarlanmış güvenlik ilkelerini etkinleştirir veya devre dışı bırakırsınız.
Etkin bir özel kimlik avı önleme ilkesini seçtikten sonra ( Durum değeri Açık), devre dışı bırakmak için aşağıdaki yöntemlerden birini kullanın:
- Kimlik avı önleme sayfasında: Diğer eylemler>Seçili ilkeleri devre dışı bırak'ı seçin.
- İlkenin ayrıntılar açılır öğesinde: Açılır listenin üst kısmındaki Kapat'ı seçin.
Devre dışı bırakılmış bir özel kimlik avı önleme ilkesini seçtikten sonra ( Durum değeri Kapalı), etkinleştirmek için aşağıdaki yöntemlerden birini kullanın:
- Kimlik avı önleme sayfasında: Diğer eylemler>Seçili ilkeleri etkinleştir'i seçin.
- İlkenin ayrıntılar açılır öğesinde: Açılır listenin üst kısmındaki Aç'ı seçin.
Kimlik avı önleme sayfasında, ilkenin Durum değeri artık Açık veya Kapalı durumdadır.
Özel kimlik avı önleme ilkelerinin önceliğini ayarlamak için Microsoft Defender portalını kullanın
Kimlik avı önleme ilkeleri, kimlik avı önleme sayfasında görüntülendikleri sırayla işlenir:
- Katı önceden ayarlanmış güvenlik ilkesiyle ilişkili Katı Önceden Ayarlanmış Güvenlik İlkesi adlı kimlik avı önleme ilkesi her zaman önce uygulanır (Katı önceden ayarlanmış güvenlik ilkesi etkinse).
- Standart ön ayarlı güvenlik ilkesiyle ilişkili Standart Önceden Ayarlanmış Güvenlik İlkesi adlı kimlik avı önleme ilkesi her zaman uygulanır (Standart önceden ayarlanmış güvenlik ilkesi etkinse).
- Özel kimlik avı önleme ilkeleri öncelik sırasına göre uygulanır (etkinse):
- Düşük öncelik değeri daha yüksek bir önceliğe işaret eder (en yüksek öncelik 0'dır).
- Varsayılan olarak, var olan en düşük özel ilkeden daha düşük bir önceliğe sahip yeni bir ilke oluşturulur (birincisi 0, sonraki 1 vb.).
- Hiçbir iki ilke aynı öncelik değerine sahip olamaz.
- Varsayılan kimlik avı önleme ilkesi her zaman En Düşük öncelik değerine sahiptir ve bunu değiştiremezsiniz.
İlk ilke uygulandıktan sonra alıcı için kimlik avı koruması durdurulur (bu alıcı için en yüksek öncelikli ilke). Daha fazla bilgi için bkz . E-posta korumasının sırası ve önceliği.
Adın yanındaki onay kutusunun dışındaki bir satıra tıklayarak özel kimlik avı önleme ilkesini seçtikten sonra, açılan ayrıntılar açılır penceresinde ilkenin önceliğini artırabilir veya azaltabilirsiniz:
- Kimlik Avına Karşı Koruma sayfasında Öncelik değeri 0 olan özel ilke, ayrıntılar açılır öğesinin en üstünde Önceliği azalt eylemine sahiptir.
- En düşük önceliğe sahip özel ilke (en yüksek Öncelik değeri; örneğin, 3), ayrıntılar açılır öğesinin en üstünde Önceliği artır eylemine sahiptir.
- Üç veya daha fazla ilkeniz varsa, Öncelik 0 ile en düşük öncelik arasındaki ilkeler, ayrıntılar açılır öğesinin en üstündeki Önceliği artır ve Önceliği azalt eylemlerine sahiptir.
İlke ayrıntıları açılır öğesinde işiniz bittiğinde Kapat'ı seçin.
Kimlik avı önleme sayfasına döndüğünüzde, ilkenin listedeki sırası güncelleştirilmiş Öncelik değeriyle eşleşir.
Özel kimlik avı önleme ilkelerini kaldırmak için Microsoft Defender portalını kullanma
Varsayılan kimlik avı önleme ilkesini veya önceden ayarlanmış güvenlik ilkeleriyle ilişkilendirilmiş Standart Önceden Ayarlanmış Güvenlik İlkesi ve Katı Önceden Ayarlanmış Güvenlik İlkesi adlı kimlik avı önleme ilkelerini kaldıramazsınız.
Özel kimlik avı önleme ilkesini seçtikten sonra kaldırmak için aşağıdaki yöntemlerden birini kullanın:
- Kimlik avı önleme sayfasında: Diğer eylemler>Seçili ilkeleri sil'i seçin.
- İlkenin ayrıntılar açılır öğesinde: Açılır listenin üst kısmındaki İlkeyi sil'i seçin.
Açılan uyarı iletişim kutusunda Evet'i seçin.
Kimlik avı önleme sayfasında, silinen ilke artık listelenmez.
Kimlik avı önleme ilkelerini yapılandırmak için Exchange Online PowerShell kullanma
PowerShell'de kimlik avı önleme ilkesinin temel öğeleri şunlardır:
- Kimlik avı önleme ilkesi: Etkinleştirecek veya devre dışı bırakacağınız kimlik avı korumalarını, bu korumalar için uygulanacak eylemleri ve diğer seçenekleri belirtir.
- Kimlik avı önleme kuralı: İlişkili kimlik avı önleme ilkesi için öncelik ve alıcı filtrelerini (ilkenin uygulandığı kişiler) belirtir.
Microsoft Defender portalında kimlik avı önleme ilkelerini yönetirken bu iki öğe arasındaki fark belirgin değildir:
- Defender portalında bir ilke oluşturduğunuzda, her ikisi için de aynı adı kullanarak kimlik avı önleme kuralı ve ilişkili kimlik avı önleme ilkesini aynı anda oluşturursunuz.
- Defender portalında bir ilkeyi değiştirdiğinizde ad, öncelik, etkin veya devre dışı ayarları ve alıcı filtreleri kimlik avı önleme kuralını değiştirir. Diğer tüm ayarlar ilişkili kimlik avı önleme ilkesini değiştirir.
- Defender portalında bir ilkeyi kaldırdığınızda, kimlik avı önleme kuralı ve ilişkili kimlik avı önleme ilkesi aynı anda kaldırılır.
Exchange Online PowerShell'de kimlik avı önleme ilkeleriyle kimlik avı önleme kuralları arasındaki fark belirgindir. *-AntiPhishPolicy cmdlet'lerini kullanarak kimlik avı önleme ilkelerini yönetirsiniz ve *-AntiPhishRule cmdlet'lerini kullanarak kimlik avı önleme kurallarını yönetirsiniz.
- PowerShell'de önce kimlik avı önleme ilkesini oluşturursunuz, ardından kuralın geçerli olduğu ilişkili ilkeyi tanımlayan kimlik avı önleme kuralını oluşturursunuz.
- PowerShell'de, kimlik avı önleme ilkesindeki ayarları ve kimlik avı önleme kuralını ayrı ayrı değiştirirsiniz.
- PowerShell'den kimlik avı önleme ilkesini kaldırdığınızda, buna karşılık gelen kimlik avı önleme kuralı otomatik olarak kaldırılmaz ve tam tersi de geçerlidir.
Kimlik avı önleme ilkeleri oluşturmak için PowerShell kullanma
PowerShell'de kimlik avı önleme ilkesi oluşturmak iki adımlı bir işlemdir:
- Kimlik avı önleme ilkesini oluşturun.
- Kuralın geçerli olduğu kimlik avı önleme ilkesini belirten kimlik avı önleme kuralını oluşturun.
Notlar:
Yeni bir kimlik avı önleme kuralı oluşturabilir ve bu kurala mevcut, ilişkilendirilmemiş bir kimlik avı önleme ilkesi atayabilirsiniz. Kimlik avı önleme kuralı birden fazla kimlik avı önleme ilkesiyle ilişkilendirilebilir.
İlkeyi oluşturana kadar PowerShell'de Microsoft Defender portalında bulunmayan yeni kimlik avı önleme ilkelerinde aşağıdaki ayarları yapılandırabilirsiniz:
- Yeni ilkeyi devre dışı olarak oluşturun (New-AntiPhishRule cmdlet'inde etkindir
$false
). - New-AntiPhishRule cmdlet'inde oluşturma sırasında ilkenin önceliğini<ayarlayın (Öncelik Numarası>).
- Yeni ilkeyi devre dışı olarak oluşturun (New-AntiPhishRule cmdlet'inde etkindir
PowerShell'de oluşturduğunuz yeni bir kimlik avı önleme ilkesi, ilkeyi bir kimlik avı önleme kuralına atayana kadar Microsoft Defender portalında görünmez.
1. Adım: Kimlik avı önleme ilkesi oluşturmak için PowerShell kullanma
Kimlik avı önleme ilkesi oluşturmak için şu söz dizimlerini kullanın:
New-AntiPhishPolicy -Name "<PolicyName>" [-AdminDisplayName "<Comments>"] [-EnableSpoofIntelligence <$true | $false>] [-AuthenticationFailAction <MoveToJmf | Quarantine>] [-HonorDmarcPolicy <$true | $false>] [-DmarcQuarantineAction <MoveToJmf | Quarantine>] [-DmarcRejectAction <Quarantine | Reject>] [-EnableUnauthenticatedSender <$true | $false>] [-EnableViaTag <$true | $false>] [-SpoofQuarantineTag <QuarantineTagName>]
Bu örnek, aşağıdaki ayarlarla Research Quarantine adlı bir kimlik avı önleme ilkesi oluşturur:
- Açıklama: Araştırma departmanı ilkesi.
- Kimlik sahtekarlığı algılamaları için varsayılan eylemi Karantina olarak değiştirir ve karantinaya alınan iletiler için varsayılan karantina ilkesini kullanır ( SpoofQuarantineTag parametresini kullanmıyoruz).
-
p=quarantine
p=reject
Gönderen DMARC ilkeleri varsayılan olarak açıktır (HonorDmarcPolicy parametresini kullanmıyoruz ve varsayılan değerdir$true
).- Gönderenin DMARC ilkesinin karantinaya alındığı DMARC'de başarısız olan
p=quarantine
iletiler ( DmarcQuarantineAction parametresini kullanmıyoruz ve varsayılan değer Karantinadır). - Gönderenin DMARC ilkesinin reddedildiği DMARC'de başarısız olan
p=reject
iletiler ( DmarcRejectAction parametresini kullanmıyoruz ve varsayılan değer Reddet'tir).
- Gönderenin DMARC ilkesinin karantinaya alındığı DMARC'de başarısız olan
New-AntiPhishPolicy -Name "Monitor Policy" -AdminDisplayName "Research department policy" -AuthenticationFailAction Quarantine
Ayrıntılı söz dizimi ve parametre bilgileri için bkz. New-AntiPhishPolicy.
İpucu
Kimlik avı önleme ilkesinde kullanılacak karantina ilkelerini belirtmeye yönelik ayrıntılı yönergeler için bkz. Kimlik avı önleme ilkelerinde karantina ilkesini belirtmek için PowerShell kullanma.
2. Adım: Kimlik avı önleme kuralı oluşturmak için PowerShell kullanma
Kimlik avı önleme kuralı oluşturmak için şu sözdizimini kullanın:
New-AntiPhishRule -Name "<RuleName>" -AntiPhishPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]
Bu örnek, aşağıdaki koşullara sahip Araştırma Bölümü adlı bir kimlik avı önleme kuralı oluşturur:
- Kural, Araştırma Karantinası adlı kimlik avı önleme ilkesiyle ilişkilendirilir.
- Kural, Araştırma Bölümü adlı grubun üyeleri için geçerlidir.
- Priority parametresini kullanmadığımız için varsayılan öncelik kullanılır.
New-AntiPhishRule -Name "Research Department" -AntiPhishPolicy "Research Quarantine" -SentToMemberOf "Research Department"
Ayrıntılı söz dizimi ve parametre bilgileri için bkz. New-AntiPhishRule.
Kimlik avı önleme ilkelerini görüntülemek için PowerShell kullanma
Mevcut kimlik avı önleme ilkelerini görüntülemek için aşağıdaki söz dizimini kullanın:
Get-AntiPhishPolicy [-Identity "<PolicyIdentity>"] [| <Format-Table | Format-List> <Property1,Property2,...>]
Bu örnek, belirtilen özelliklerle birlikte tüm kimlik avı önleme ilkelerinin özet listesini döndürür.
Get-AntiPhishPolicy | Format-Table Name,IsDefault
Bu örnek, Yöneticiler adlı kimlik avı önleme ilkesinin tüm özellik değerlerini döndürür.
Get-AntiPhishPolicy -Identity "Executives"
Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Get-AntiPhishPolicy.
Kimlik avı önleme kurallarını görüntülemek için PowerShell kullanma
Mevcut kimlik avı önleme kurallarını görüntülemek için aşağıdaki söz dizimini kullanın:
Get-AntiPhishRule [-Identity "<RuleIdentity>"] [-State <Enabled | Disabled] [| <Format-Table | Format-List> <Property1,Property2,...>]
Bu örnek, belirtilen özelliklerle birlikte tüm kimlik avı önleme kurallarının özet listesini döndürür.
Get-AntiPhishRule | Format-Table Name,Priority,State
Listeyi etkin veya devre dışı kurallara göre filtrelemek için aşağıdaki komutları çalıştırın:
Get-AntiPhishRule -State Disabled | Format-Table Name,Priority
Get-AntiPhishRule -State Enabled | Format-Table Name,Priority
Bu örnek, Contoso Executives adlı kimlik avı önleme kuralının tüm özellik değerlerini döndürür.
Get-AntiPhishRule -Identity "Contoso Executives"
Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Get-AntiPhishRule.
Kimlik avı önleme ilkelerini değiştirmek için PowerShell kullanma
Aşağıdaki öğeler dışında, PowerShell'de kimlik avı önleme ilkesini değiştirdiğinizde, 1. Adım: PowerShell'i kullanarak bu makalenin önceki bölümlerinde açıklanan kimlik avı önleme ilkesi oluşturma başlığı altında açıklandığı gibi aynı ayarlar kullanılabilir.
- Belirtilen ilkeyi varsayılan ilkeye dönüştüren MakeDefault anahtarı (herkese uygulanır, her zaman En düşük önceliklidir ve bunu silemezsiniz) yalnızca PowerShell'de kimlik avı önleme ilkesini değiştirdiğinizde kullanılabilir.
- Kimlik avı önleme ilkesini yeniden adlandıramazsınız ( Set-AntiPhishPolicy cmdlet'inde Name parametresi yoktur). Microsoft Defender portalında bir kimlik avı önleme ilkesini yeniden adlandırdığınızda, yalnızca kimlik avı önleme kuralını yeniden adlandırırsınız.
Kimlik avı önleme ilkesini değiştirmek için şu söz dizimlerini kullanın:
Set-AntiPhishPolicy -Identity "<PolicyName>" <Settings>
Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Set-AntiPhishPolicy.
İpucu
Kimlik avı önleme ilkesinde kullanılacak karantina ilkesini belirtmeye yönelik ayrıntılı yönergeler için bkz. Kimlik avı önleme ilkelerinde karantina ilkesini belirtmek için PowerShell kullanma.
Kimlik avı önleme kurallarını değiştirmek için PowerShell kullanma
PowerShell'de kimlik avı önleme kuralını değiştirdiğinizde kullanılamayan tek ayar, devre dışı bırakılmış bir kural oluşturmanıza olanak tanıyan Enabled parametresidir. Mevcut kimlik avı önleme kurallarını etkinleştirmek veya devre dışı bırakmak için sonraki bölüme bakın.
Aksi takdirde, bu makalenin önceki bölümlerinde yer alan 2. Adım: PowerShell kullanarak kimlik avından koruma kuralı oluşturma bölümünde açıklandığı gibi bir kural oluşturduğunuzda da aynı ayarlar kullanılabilir.
Kimlik avı önleme kuralını değiştirmek için şu söz dizimlerini kullanın:
Set-AntiPhishRule -Identity "<RuleName>" <Settings>
Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Set-AntiPhishRule.
Kimlik avı önleme kurallarını etkinleştirmek veya devre dışı bırakmak için PowerShell kullanma
PowerShell'de kimlik avı önleme kuralının etkinleştirilmesi veya devre dışı bırakılması, kimlik avı önleme ilkesinin tamamını (kimlik avı önleme kuralı ve atanan kimlik avı önleme ilkesi) etkinleştirir veya devre dışı bırakır. Varsayılan kimlik avı önleme ilkesini etkinleştiremez veya devre dışı bırakamazsınız (her zaman tüm alıcılara uygulanır).
PowerShell'de kimlik avı önleme kuralını etkinleştirmek veya devre dışı bırakmak için şu sözdizimini kullanın:
<Enable-AntiPhishRule | Disable-AntiPhishRule> -Identity "<RuleName>"
Bu örnek, Pazarlama Departmanı adlı kimlik avı önleme kuralını devre dışı bırakır.
Disable-AntiPhishRule -Identity "Marketing Department"
Bu örnek aynı kuralı etkinleştirir.
Enable-AntiPhishRule -Identity "Marketing Department"
Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Enable-AntiPhishRule ve Disable-AntiPhishRule.
Kimlik avı önleme kurallarının önceliğini ayarlamak için PowerShell kullanma
Bir kuralda ayarlayabileceğiniz en yüksek öncelik değeri 0'dır. Ayarlayabileceğiniz en düşük değer, kural sayısına bağlıdır. Örneğin, beş kuralınız varsa, 0 ile 4 arasında öncelik değerlerini kullanabilirsiniz. Mevcut bir kuralın önceliğini değiştirmek, diğer kurallar üzerinde basamaklı bir etkiye sahip olabilir. Örneğin, beş özel kuralınız (öncelik 0 ile 4 arasında) varsa ve bir kuralın önceliğini 2 olarak değiştirirseniz, 2 önceliği olan mevcut kural öncelik 3 olarak değiştirilir ve öncelik 3 olan kural öncelik 4 olarak değiştirilir.
PowerShell'de kimlik avı önleme kuralının önceliğini ayarlamak için aşağıdaki söz dizimini kullanın:
Set-AntiPhishRule -Identity "<RuleName>" -Priority <Number>
Bu örnek, Pazarlama Departmanı adlı kuralın önceliğini 2 olarak ayarlar. Önceliğe 2'den küçük veya 2'ye eşit olan tüm mevcut kurallar 1 azaltılır (öncelik sayıları 1 artırılır).
Set-AntiPhishRule -Identity "Marketing Department" -Priority 2
Notlar:
- Yeni kuralı oluştururken önceliği ayarlamak için, bunun yerine New-AntiPhishRule cmdlet'indeki Priority parametresini kullanın.
- Varsayılan kimlik avı önleme ilkesinin karşılık gelen bir kimlik avı önleme kuralı yoktur ve her zaman değiştirilemez öncelik değeri En Düşük'e sahiptir.
Kimlik avı önleme ilkelerini kaldırmak için PowerShell kullanma
Bir kimlik avı önleme ilkesini kaldırmak için PowerShell kullandığınızda, buna karşılık gelen kimlik avı önleme kuralı kaldırılmaz.
PowerShell'de kimlik avı önleme ilkesini kaldırmak için şu sözdizimini kullanın:
Remove-AntiPhishPolicy -Identity "<PolicyName>"
Bu örnek, Pazarlama Departmanı adlı kimlik avı önleme ilkesini kaldırır.
Remove-AntiPhishPolicy -Identity "Marketing Department"
Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Remove-AntiPhishPolicy.
Kimlik avı önleme kurallarını kaldırmak için PowerShell kullanma
PowerShell kullanarak kimlik avı önleme kuralını kaldırdığınızda, ilgili kimlik avı önleme ilkesi kaldırılmaz.
PowerShell'de kimlik avı önleme kuralını kaldırmak için şu sözdizimini kullanın:
Remove-AntiPhishRule -Identity "<PolicyName>"
Bu örnek, Pazarlama Departmanı adlı kimlik avı önleme kuralını kaldırır.
Remove-AntiPhishRule -Identity "Marketing Department"
Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Remove-AntiPhishRule.
Bu yordamların işe yaramış olduğunu nasıl anlarsınız?
EOP'de kimlik avı önleme ilkelerini başarıyla yapılandırdığınızdan emin olmak için aşağıdaki adımlardan birini yapın:
konumundaki Microsoft Defender portalındaki https://security.microsoft.com/antiphishingKimlik Avı önleme sayfasında ilkelerin listesini, Durum değerlerini ve Öncelik değerlerini doğrulayın. Daha fazla ayrıntı görüntülemek için, ada tıklayıp görüntülenen açılır listede ayrıntıları görüntüleyerek ilkeyi seçin.
Exchange Online PowerShell'de Name> değerini ilke veya kuralın adıyla değiştirin<, aşağıdaki komutu çalıştırın ve ayarları doğrulayın:
Get-AntiPhishPolicy -Identity "<Name>"
Get-AntiPhishRule -Identity "<Name>"