Aracılığıyla paylaş

Office 365 için Microsoft Defender Güvenlik İşlemleri Kılavuzu

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Bu makale, kuruluşunuzda Office 365 için Microsoft Defender'ı başarıyla çalıştırma gereksinimleri ve görevlerine genel bir bakış sağlar. Bu görevler, güvenlik operasyonları merkezinizin (SOC) e-posta ve işbirliğiyle ilgili güvenlik tehditlerini korumak, algılamak ve yanıtlamak için yüksek kaliteli, güvenilir bir yaklaşım sağlamasına yardımcı olur.

Bu kılavuzun geri kalanında SecOps personeli için gerekli etkinlikler açıklanmaktadır. Etkinlikler günlük, haftalık, aylık ve geçici olarak açıklayıcı görevler halinde gruplandırılır.

Bu kılavuzun yardımcı makalesi, Microsoft Defender portalının Olaylar sayfasındaki Office 365 için Defender'dan gelen olayları ve uyarıları yönetmeye yönelik bir genel bakış sağlar.

Microsoft Defender XDR Güvenlik İşlemleri Kılavuzu, planlama ve geliştirme için kullanabileceğiniz ek bilgiler içerir.

Bu bilgiler hakkında bir video için bkz https://youtu.be/eQanpq9N1Ps. .

Günlük etkinlikler

Microsoft Defender XDR Olayları kuyruğunun izlenmesi

Konumundaki (Olaylar kuyruğu olarak da bilinir) Microsoft Defender portalındaki https://security.microsoft.com/incidents-queueOlaylar sayfası, Office 365 için Defender'da aşağıdaki kaynaklardan olayları yönetmenize ve izlemenize olanak tanır:

Olaylar kuyruğu hakkında daha fazla bilgi için bkz. Microsoft Defender XDR'de olayları önceliklendirme.

Olaylar kuyruğunun izlenmesine yönelik önceliklendirme planınız, olaylar için aşağıdaki öncelik sırasını kullanmalıdır:

  1. Kötü amaçlı olabilecek bir URL tıklaması algılandı.
  2. Kullanıcının e-posta göndermesi kısıtlandı.
  3. Şüpheli e-posta gönderme desenleri algılandı.
  4. Kullanıcı tarafından kötü amaçlı yazılım veya kimlik avı olarak bildirilen e-posta ve Birden çok kullanıcı e-postayı kötü amaçlı yazılım veya kimlik avı olarak bildirdi.
  5. Teslim sonrasında kaldırılan kötü amaçlı dosya içeren e-posta iletileri, teslimden sonra kötü amaçlı URL içeren e-posta iletileri ve teslim sonrasında kaldırılan bir kampanyadan e-posta iletileri.
  6. ETR geçersiz kılma nedeniyle kimlik avı teslim edildi, Kullanıcının Gereksiz Posta klasörü devre dışı bırakıldığından kimlik avı teslim edildi ve Kimlik avı ip izin ilkesi nedeniyle teslim edildi
  7. ZAP devre dışı olduğundan kötü amaçlı yazılıma ve ZAP devre dışıbırakıldığından Kimlik avına engellenmedi.

Olay kuyruğu yönetimi ve sorumlu kişilikler aşağıdaki tabloda açıklanmıştır:

Etkinlik Cadence Açıklama Kişilik
konumundaki Olaylar kuyruğundaki https://security.microsoft.com/incidents-queueolayları önceliklendirme. Günlük Office 365 için Defender'dan gelen tüm Orta ve Yüksek önem dereceli olayların önceliklendirildiğini doğrulayın. Güvenlik operasyonları ekibi
Olaylar üzerinde Yanıt eylemlerini araştırın ve gerçekleştirin. Günlük Tüm olayları araştırın ve önerilen veya el ile yanıt eylemlerini etkin bir şekilde gerçekleştirin. Güvenlik operasyonları ekibi
Olayları çözün. Günlük Olay düzeltildiyse, olayı çözün. Olayı çözmek, bağlantılı ve ilgili tüm etkin uyarıları çözer. Güvenlik operasyonları ekibi
Olayları sınıflandırma. Günlük Olayları doğru veya yanlış olarak sınıflandırabilirsiniz. Gerçek uyarılar için tehdit türünü belirtin. Bu sınıflandırma, güvenlik ekibinizin tehdit desenlerini görmesine ve kuruluşunuzu onlardan korumasına yardımcı olur. Güvenlik operasyonları ekibi

Hatalı pozitif ve hatalı negatif algılamaları yönetme

Office 365 için Defender'da aşağıdaki konumlarda hatalı pozitif sonuçları (kötü olarak işaretlenmiş iyi posta) ve hatalı negatifleri (hatalı postaya izin verilir) yönetirsiniz:

Daha fazla bilgi için bu makalenin devamında yer alan Hatalı pozitif ve hatalı negatif algılamaları yönetme bölümüne bakın.

Hatalı pozitif ve hatalı negatif yönetim ve sorumlu kişilikler aşağıdaki tabloda açıklanmıştır:

Etkinlik Cadence Açıklama Kişilik
Microsoft'a https://security.microsoft.com/reportsubmissionadresinden hatalı pozitif ve hatalı negatifler gönderin. Günlük Yanlış e-posta, URL ve dosya algılamaları bildirerek Microsoft'a sinyaller sağlayın. Güvenlik operasyonları ekibi
Yönetici gönderimi ayrıntılarını analiz edin. Günlük Microsoft'a yaptığınız gönderimler için aşağıdaki faktörleri anlayın:
  • Hatalı pozitif veya yanlış negatife neden olan şey.
  • Office 365 için Defender yapılandırmanızın gönderim sırasındaki durumu.
  • Office 365 için Defender yapılandırmanızda değişiklik yapmanız gerekip gerekmediği.
 Güvenlik operasyonları ekibi

Güvenlik Yönetimi
konumundaki Kiracı İzin Ver/Engelle Listesine https://security.microsoft.com/tenantAllowBlockListblok girdileri ekleyin. Günlük Gerektiğinde hatalı negatif URL, dosya veya gönderen algılamaları için blok girdileri eklemek için Kiracı İzin Ver/Engelle Listesi'ni kullanın. Güvenlik operasyonları ekibi
Karantinadan hatalı pozitif yayın. Günlük Alıcı iletinin yanlış karantinaya alındığını onayladıktan sonra, kullanıcılar için yayın isteklerini serbest bırakabilir veya onaylayabilirsiniz.

Kullanıcıların kendi karantinaya alınan iletilerine (yayın veya istek yayını dahil) neler yapabileceğini denetlemek için bkz. Karantina ilkeleri.		 Güvenlik operasyonları ekibi

Mesajlaşma Ekibi

Teslim edilen postayla sonuçlanan kimlik avı ve kötü amaçlı yazılım kampanyalarını gözden geçirin

Etkinlik Cadence Açıklama Kişilik
E-posta kampanyalarını gözden geçirin. Günlük adresinde kuruluşunuzu https://security.microsoft.com/campaignshedefleyen e-posta kampanyalarını gözden geçirin. İletilerin alıcılara teslimine neden olan kampanyalara odaklanın.

Kullanıcı posta kutularında bulunan kampanyalardan iletileri kaldırın. Bu eylem yalnızca bir kampanya olaylardan, sıfır saatlik otomatik temizlemeden (ZAP) veya el ile düzeltme eylemleriyle düzeltilmemiş e-posta içerdiğinde gereklidir.		 Güvenlik operasyonları ekibi

Haftalık etkinlikler

Office 365 için Defender'da, kuruluşunuzdaki e-posta algılama eğilimlerini gözden geçirmek için aşağıdaki raporları kullanabilirsiniz:

Etkinlik Cadence Açıklama Kişilik
E-posta algılama raporlarını şu adreste gözden geçirin: Haftalık İyi e-postayla karşılaştırıldığında kötü amaçlı yazılım, kimlik avı ve istenmeyen posta için e-posta algılama eğilimlerini gözden geçirin. Zaman içindeki gözlem, tehdit desenlerini görmenizi ve Office 365 için Defender ilkelerinizi ayarlamanız gerekip gerekmediğini belirlemenizi sağlar. Güvenlik Yönetimi

Güvenlik operasyonları ekibi

Tehdit analizini kullanarak yeni ortaya çıkan tehditleri izleme ve yanıtlama

Etkin ve popüler tehditleri gözden geçirmek için Tehdit analizini kullanın.

Etkinlik Cadence Açıklama Kişilik
Tehdit analizindeki tehditleri adresinden https://security.microsoft.com/threatanalytics3gözden geçirin. Haftalık Tehdit analizi, aşağıdaki öğeler de dahil olmak üzere ayrıntılı analiz sağlar:
  • GÇ'ler.
  • Etkin tehdit aktörleri ve kampanyaları hakkında avcılık sorguları.
  • Popüler ve yeni saldırı teknikleri.
  • Kritik güvenlik açıkları.
  • Yaygın saldırı yüzeyleri.
  • Yaygın kötü amaçlı yazılım.
 Güvenlik operasyonları ekibi

Tehdit avcılığı ekibi

Kötü amaçlı yazılım ve kimlik avı için en çok hedeflenen kullanıcıları gözden geçirin

Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerinin ayrıntılar alanındaki En çok hedeflenen kullanıcılar sekmesini (görünüm) kullanarak kötü amaçlı yazılım ve kimlik avı e-postasının en önemli hedefleri olan kullanıcıları bulun veya onaylayın.

Etkinlik Cadence Açıklama Kişilik
konumundaki Tehdit Gezgini'nde https://security.microsoft.com/threatexplorerEn çok hedeflenen kullanıcılar sekmesini gözden geçirin. Haftalık Bu kullanıcılar için ilkeleri veya korumaları ayarlamanız gerekip gerekmediğini belirlemek için bu bilgileri kullanın. Aşağıdaki avantajları elde etmek için etkilenen kullanıcıları Öncelik hesaplarına ekleyin: Güvenlik Yönetimi

Güvenlik operasyonları ekibi

Kuruluşunuzu hedefleyen en önemli kötü amaçlı yazılım ve kimlik avı kampanyalarını gözden geçirin

Kampanya Görünümleri, kuruluşunuza yönelik kötü amaçlı yazılım ve kimlik avı saldırılarını gösterir. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'da Kampanya Görünümleri.

Etkinlik Cadence Açıklama Kişilik
Sizi etkileyen kötü amaçlı yazılımları ve kimlik avı saldırılarını gözden geçirmek için adresinden Kampanya Görünümleri'nihttps://security.microsoft.com/campaigns kullanın. Haftalık Saldırılar ve teknikler ve Office 365 için Defender'ın neyi belirleyip engelleyebileceği hakkında bilgi edinin.

Kampanya hakkında ayrıntılı bilgi için Kampanya Görünümleri'nde Tehdit raporunu indir'i kullanın.		 Güvenlik operasyonları ekibi

Geçici etkinlikler

E-postayı el ile araştırma ve kaldırma

Etkinlik Cadence Açıklama Kişilik
Tehdit Gezgini'nde https://security.microsoft.com/threatexplorer kullanıcı isteklerine göre hatalı e-postayı araştırın ve kaldırın. Geçici Son 30 günün herhangi bir e-postasında otomatik araştırma ve yanıt playbook'u başlatmak için Tehdit Gezgini'ndeki Araştırmayı tetikle eylemini kullanın. Araştırmayı el ile tetikleme, şunları merkezi olarak ekleyerek zaman ve çaba tasarrufu sağlar:
  • Kök araştırma.
  • Tehditleri tanımlama ve ilişkilendirme adımları.
  • Bu tehditleri azaltmak için önerilen eylemler.

Daha fazla bilgi için bkz . Örnek: Kullanıcı tarafından bildirilen kimlik avı iletisi bir araştırma playbook'u başlatır

İsterseniz Tehdit Gezgini'ni kullanarak güçlü arama ve filtreleme özelliklerine sahip e-postaları el ile araştırabilir ve doğrudan aynı yerden el ile yanıt eylemi gerçekleştirebilirsiniz . Kullanılabilir el ile gerçekleştirilen eylemler:
  • Gelen Kutusuna Taşı
  • Gereksiz Öğeye Taşı
  • Silinmiş öğelere gitme
  • Geçici silme
  • Sabit silme.
 Güvenlik operasyonları ekibi

Tehditleri proaktif olarak avlama

Etkinlik Cadence Açıklama Kişilik
Tehditler için düzenli ve proaktif avcılık:. Geçici Tehdit Gezgini ve Gelişmiş tehdit avcılığı kullanarak tehditleri arayın. Güvenlik operasyonları ekibi

Tehdit avcılığı ekibi
Avlanma sorgularını paylaşın. Geçici Daha hızlı el ile tehdit avcılığı ve düzeltme için güvenlik ekibi içinde sık kullanılan ve yararlı sorguları etkin bir şekilde paylaşın.

Gelişmiş tehdit avcılığındaTehdit izleyicilerini ve paylaşılan sorguları kullanın.		 Güvenlik operasyonları ekibi

Tehdit avcılığı ekibi
konumunda https://security.microsoft.com/custom_detectionözel algılama kuralları oluşturun. Geçici Önceden Avcılık'ta Office 365 için Defender verilerini temel alan olayları, desenleri ve tehditleri proaktif olarak izlemek için özel algılama kuralları oluşturun. Algılama kuralları, eşleşen ölçütlere göre uyarılar oluşturan gelişmiş tehdit avcılığı sorguları içerir. Güvenlik operasyonları ekibi

Tehdit avcılığı ekibi

Office 365 için Defender ilke yapılandırmalarını gözden geçirin

Etkinlik Cadence Açıklama Kişilik
adresinde https://security.microsoft.com/configurationAnalyzerOffice 365 için Defender ilkelerinin yapılandırmasını gözden geçirin. Geçici

Aylık		 Mevcut ilke ayarlarınızı Office 365 için Defender için önerilen Standart veya Katı değerlerle karşılaştırmak için Yapılandırma çözümleyicisini kullanın. Yapılandırma çözümleyicisi, kuruluşunuzun güvenlik duruşunu düşürebilecek yanlışlıkla veya kötü amaçlı değişiklikleri tanımlar.

İsterseniz PowerShell tabanlı ORCA aracını da kullanabilirsiniz.		 Güvenlik Yönetimi

Mesajlaşma Ekibi
Office 365 için Defender'da algılama geçersiz kılmalarını gözden geçirin: https://security.microsoft.com/reports/TPSMessageOverrideReportATP Geçici

Aylık		 Tehdit Koruması durum raporunda, kimlik avı olarak algılanan ancak ilke veya kullanıcı geçersiz kılma ayarları nedeniyle teslim edilen e-postayı gözden geçirmek için Verileri Sisteme göre görüntüle geçersiz kılma > Grafiği dökümünü kullanın.

Kötü amaçlı olduğu belirlenen e-postaların teslimini önlemek için geçersiz kılmaları etkin bir şekilde araştırın, kaldırın veya hassas ayar yapın.		 Güvenlik Yönetimi

Mesajlaşma Ekibi

Kimlik sahtekarlığı ve kimliğe bürünme algılamalarını gözden geçirme

Etkinlik Cadence Açıklama Kişilik
Spoof intelligence içgörülerini ve Kimliğe Bürünme algılama içgörülerini gözden geçirin:. Geçici

Aylık		 Kimlik sahtekarlığı ve kimliğe bürünme algılamaları için filtrelemeyi ayarlamak için kimlik sahtekarlığı zekası içgörülerini ve kimliğe bürünme içgörülerini kullanın. Güvenlik Yönetimi

Mesajlaşma Ekibi

Öncelik hesabı üyeliğini gözden geçirme

Etkinlik Cadence Açıklama Kişilik
adresinde kimlerin öncelik hesabı https://security.microsoft.com/securitysettings/userTagsolarak tanımlandığını gözden geçirin. Geçici Bu kullanıcılar için aşağıdaki avantajları elde etmek için, kurumsal değişikliklerle öncelik hesaplarının üyeliğini güncel tutun:
  • Raporlarda daha iyi görünürlük.
  • Olaylar ve uyarılarda filtreleme.
  • Yönetici posta akışı desenleri (öncelik hesabı koruması) için uyarlanmış buluşsal yöntemler.

Aşağıdaki bilgileri almak için diğer kullanıcılar için özel kullanıcı etiketlerini kullanın:
  • Raporlarda daha iyi görünürlük.
  • Olaylar ve uyarılarda filtreleme.
 Güvenlik operasyonları ekibi

Ek

Office 365 için Microsoft Defender araçları ve işlemleri hakkında bilgi edinin

Güvenlik operasyonları ve yanıt ekibi üyelerinin Office 365 için Defender araçlarını ve özelliklerini mevcut araştırmalarla ve yanıt süreçleriyle tümleştirmesi gerekir. Yeni araçlar ve özellikler hakkında bilgi edinmek zaman alabilir ancak bu, ekleme işleminin kritik bir parçasıdır. SecOps ve e-posta güvenlik ekibi üyelerinin Office 365 için Defender hakkında bilgi edinmelerinin en basit yolu, konumundaki https://aka.ms/mdoninjaNinja eğitim içeriğinin bir parçası olarak sağlanan eğitim içeriğini kullanmaktır.

İçerik, düzey başına birden çok modül içeren farklı bilgi düzeyleri (Temel Bilgiler, Ara ve Gelişmiş) için yapılandırılmıştır.

Belirli görevlere yönelik kısa videolar , Office 365 için Microsoft Defender YouTube kanalında da sağlanır.

Office 365 için Defender etkinlikleri ve görevleri için izinler

Microsoft Defender portalında ve PowerShell'de Office 365 için Defender'ı yönetme izinleri rol tabanlı erişim denetimi (RBAC) izin modelini temel alır. RBAC, microsoft 365 hizmetlerinin çoğu tarafından kullanılan izin modeliyle aynıdır. Daha fazla bilgi için bkz. Microsoft Defender portalında İzinler.

Not

Microsoft Entra Id'deki Privileged Identity Management (PIM), SecOps personeline gerekli izinleri atamanın da bir yoludur. Daha fazla bilgi için bkz . Privileged Identity Management (PIM) ve neden Office 365 için Microsoft Defender ile kullanılır?

Aşağıdaki izinler (roller ve rol grupları) Office 365 için Defender'da kullanılabilir ve güvenlik ekibi üyelerine erişim vermek için kullanılabilir:

  • Microsoft Entra Id: Office 365 için Defender da dahil olmak üzere tüm Microsoft 365 hizmetleri için izin atayan merkezi roller. Microsoft Entra rollerini ve atanan kullanıcıları Microsoft Defender portalında görüntüleyebilirsiniz, ancak bunları doğrudan orada yönetemezsiniz. Bunun yerine, Microsoft Entra rollerini ve üyelerini adresinde https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2Fyönetirsiniz. Güvenlik ekipleri tarafından en sık kullanılan roller şunlardır:

  • Exchange Online ve E-posta & işbirliği: Office 365 için Microsoft Defender'a özgü izinler veren roller ve rol grupları. Aşağıdaki roller Microsoft Entra Id'de kullanılamaz, ancak güvenlik ekipleri için önemli olabilir:

    • Önizleme rolü (E-posta & işbirliği): Araştırma etkinlikleri kapsamında e-posta iletilerini önizlemesi veya indirmesi gereken ekip üyelerine bu rolü atayın. Kullanıcıların Tehdit Gezgini (Gezgin) veya Gerçek zamanlı algılamaları ve E-posta varlığı sayfasını kullanarak bulut posta kutularından gelen e-posta iletilerini önizlemesine ve indirmesine olanak tanır.

      Varsayılan olarak Önizleme rolü yalnızca aşağıdaki rol gruplarına atanır:

      • Veri Araştırmacısı
      • eBulma Yöneticisi

      Bu rol gruplarına kullanıcı ekleyebilir veya Önizlemerolü atanmış yeni bir rol grubu oluşturabilir ve kullanıcıları özel rol grubuna ekleyebilirsiniz.

    • Arama ve Temizleme rolü (E-posta & işbirliği): AIR tarafından önerilen kötü amaçlı iletilerin silinmesini onaylayın veya Tehdit Gezgini gibi tehdit avcılığı deneyimlerindeki iletiler üzerinde el ile işlem yapın.

      Varsayılan olarak, Arama ve Temizleme rolü yalnızca aşağıdaki rol gruplarına atanır:

      • Veri Araştırmacısı
      • Kuruluş Yönetimi

      Bu rol gruplarına kullanıcı ekleyebilir veya Arama ve Temizlemerolünün atandığı yeni bir rol grubu oluşturabilir ve kullanıcıları özel rol grubuna ekleyebilirsiniz.

    • Kiracı AllowBlockList Manager (Exchange Online): Kiracı İzin Ver/Engelle Listesindeki izin ver ve engelle girdilerini yönetin. URL'leri, dosyaları (dosya karması kullanarak) veya gönderenleri engellemek, teslim edilen kötü amaçlı e-postaları araştırırken yapmanız gereken yararlı bir yanıt eylemidir.

      Varsayılan olarak, bu rol Yalnızca Exchange Online'daki Güvenlik operatörü rol grubuna atanır, Microsoft Entra Id'de atanmaz. Microsoft Entra Id'de Güvenlik operatörü rolü üyeliği, Kiracı İzin Ver/Engelle Listesi girdilerini yönetmenize izin vermez.

      Microsoft Entra Id'deki Güvenlik Yöneticisi veya Kuruluş yönetim rollerinin veya Exchange Online'daki ilgili rol gruplarının üyeleri, Kiracı İzin Ver/Engelle Listesi'ndeki girdileri yönetebilir.

SIEM/SOAR tümleştirmesi

Office 365 için Defender, verilerinin çoğunu bir dizi programlı API aracılığıyla kullanıma sunar. Bu API'ler iş akışlarını otomatikleştirmenize ve Office 365 için Defender özelliklerinden tam olarak yararlanmanıza yardımcı olur. Veriler Microsoft Defender XDR API'leri aracılığıyla sağlanır ve Office 365 için Defender'ı mevcut SIEM/SOAR çözümleriyle tümleştirmek için kullanılabilir.

  • Olay API'si: Office 365 için Defender uyarıları ve otomatik araştırmalar, Microsoft Defender XDR'deki olayların etkin parçalarıdır. Güvenlik ekipleri, tam saldırı kapsamını ve etkilenen tüm varlıkları birlikte gruplandırarak kritik öneme odaklanabilir.

  • Olay akışı API'si: Gerçek zamanlı olayların ve uyarıların gerçekleştiği anda tek bir veri akışına gönderilmesine izin verir. Office 365 için Defender'da desteklenen olay türleri şunlardır:

    Olaylar, son 30 gün içindeki tüm e-postaların (kuruluş içi iletiler dahil) işlenmesinden alınan verileri içerir.

  • Gelişmiş Tehdit Avcılığı API'si: Ürün arası tehdit avcılığı sağlar.

  • Tehdit Değerlendirmesi API'si: İstenmeyen posta, kimlik avı URL'leri veya kötü amaçlı yazılım eklerini doğrudan Microsoft'a bildirmek için kullanılabilir.

Office 365 için Defender olaylarını ve ham verileri Microsoft Sentinel ile bağlamak için Microsoft Defender XDR (M365D) bağlayıcısını kullanabilirsiniz

Microsoft Defender API'lerine API erişimini test etmek için aşağıdaki "Merhaba Dünya" örneğini kullanabilirsiniz: Microsoft Defender XDR REST API için Hello World.

SIEM aracı tümleştirmesi hakkında daha fazla bilgi için bkz. SIEM araçlarınızı Microsoft Defender XDR ile tümleştirme.

Office 365 için Defender'da hatalı pozitif sonuçları ve hatalı negatifleri ele alma

Kullanıcı tarafından bildirilen iletiler ve e-posta iletilerinin yönetici gönderimleri, makine öğrenmesi algılama sistemlerimiz için kritik pozitif pekiştirici sinyallerdir. Gönderiler saldırıları gözden geçirmemize, önceliklendirmemize, hızla öğrenmemize ve azaltmamıza yardımcı olur. Hatalı pozitif sonuçları ve hatalı negatifleri etkin bir şekilde raporlamak, algılama sırasında hatalar yapıldığında Office 365 için Defender'a geri bildirim sağlayan önemli bir etkinliktir.

Kuruluşlar, kullanıcı tarafından bildirilen iletileri yapılandırmak için birden çok seçeneğe sahiptir. Yapılandırmaya bağlı olarak, kullanıcılar Microsoft'a hatalı pozitif veya hatalı negatifler gönderdiğinde güvenlik ekipleri daha etkin katılıma sahip olabilir:

  • Kullanıcı tarafından bildirilen iletiler, Kullanıcı tarafından bildirilen ayarlar aşağıdaki ayarlardan biriyle yapılandırıldığında analiz için Microsoft'a gönderilir:

    • Bildirilen iletileri şu adresine gönderin: Yalnızca Microsoft.
    • Bildirilen iletileri şu adresine gönderin: Microsoft ve raporlama posta kutum.

    Güvenlik ekipleri üyeleri, operasyon ekibi kullanıcılar tarafından raporlanmamış hatalı pozitifler veya hatalı negatifler keşfettiğinde eklenti yöneticisi gönderimleri yapmalıdır.

  • Kullanıcı tarafından bildirilen iletiler yalnızca kuruluşun posta kutusuna ileti gönderecek şekilde yapılandırıldığında, güvenlik ekipleri yönetici gönderimleri aracılığıyla kullanıcı tarafından bildirilen hatalı pozitif ve hatalı negatifleri etkin bir şekilde Microsoft'a göndermelidir.

Kullanıcı bir iletiyi kimlik avı olarak bildirdiğinde, Office 365 için Defender bir uyarı oluşturur ve uyarı bir AIR playbook'u tetikler. Olay mantığı, bu bilgileri mümkün olduğunda diğer uyarılarla ve olaylarla ilişkilendirmektedir. Bilgilerin bu şekilde birleştirilmesi, güvenlik ekiplerinin kullanıcı tarafından bildirilen iletileri önceliklendirmesine, araştırmasına ve yanıtlamasına yardımcı olur.

Hizmetteki gönderim işlem hattı, kullanıcı iletileri raporladığında ve yöneticiler ileti gönderdiğinde sıkı bir şekilde tümleşik bir işlem izler. Bu işlem şunları içerir:

  • Gürültü azaltma.
  • Otomatik önceliklendirme.
  • Güvenlik analistleri ve insan iş ortağı makine öğrenmesi tabanlı çözümler tarafından puanlama.

Daha fazla bilgi için bkz . Office 365 için Defender - Microsoft Tech Community'de e-posta raporlama.

Güvenlik ekibi üyeleri, Microsoft Defender portalında https://security.microsoft.comadresinden birden çok konumdan gönderim yapabilir:

  • Yönetici gönderimi: Şüpheli istenmeyen postaları, kimlik avı, URL'leri ve dosyaları Microsoft'a göndermek için Gönderimler sayfasını kullanın.

  • Aşağıdaki ileti eylemlerinden birini kullanarak doğrudan Tehdit Gezgini'nden:

    • Rapor temizleme
    • Kimlik avı bildirme
    • Kötü amaçlı yazılımları bildirme
    • İstenmeyen posta bildirme

    Toplu gönderim gerçekleştirmek için en fazla 10 ileti seçebilirsiniz. Bu yöntemler kullanılarak oluşturulan yönetici gönderimleri , Gönderiler sayfasındaki ilgili sekmelerde görünür.

Hatalı negatiflerin kısa vadeli hafifletilmesi için güvenlik ekipleri , Kiracı İzin Ver/Engelle Listesi'nde dosyalar, URL'ler ve etki alanları veya e-posta adresleri için blok girişlerini doğrudan yönetebilir.

Hatalı pozitif sonuçların kısa vadeli risk azaltması için, güvenlik ekipleri Kiracı İzin Ver/Engelle Listesi'nde etki alanları ve e-posta adresleri için izin verme girdilerini doğrudan yönetemez. Bunun yerine, e-posta iletisini hatalı pozitif olarak raporlamak için yönetici gönderimlerini kullanmaları gerekir. Yönergeler için bkz. Microsoft'a iyi e-posta bildirme.

Office 365 için Defender'da karantinaya alma, tehlikeli veya istenmeyen iletileri ve dosyaları barındırıyor. Güvenlik ekipleri tüm kullanıcılar için tüm karantinaya alınmış iletileri görüntüleyebilir, yayımlayabilir ve silebilir. Bu özellik, hatalı pozitif bir ileti veya dosya karantinaya alındığında güvenlik ekiplerinin etkili bir şekilde yanıt vermesini sağlar.

Üçüncü taraf raporlama araçlarını Office 365 için Defender kullanıcı bildirilen iletileriyle tümleştirme

Kuruluşunuz kullanıcıların şüpheli e-postaları dahili olarak bildirmesine olanak tanıyan bir üçüncü taraf raporlama aracı kullanıyorsa, aracı Office 365 için Defender'ın kullanıcı tarafından bildirilen ileti özellikleriyle tümleştirebilirsiniz. Bu tümleştirme, güvenlik ekiplerine aşağıdaki avantajları sağlar:

  • Office 365 için Defender'ın AIR özellikleriyle tümleştirme.
  • Basitleştirilmiş önceliklendirme.
  • Araştırma ve yanıt süresi azaltıldı.

Kullanıcı tarafından bildirilen iletilerin microsoft Defender portalındaki Kullanıcı tarafından bildirilen ayarlar sayfasında gönderildiği raporlama posta kutusunu belirleyin https://security.microsoft.com/securitysettings/userSubmission. Daha fazla bilgi için bkz. Kullanıcı tarafından bildirilen ayarlar.

Not

  • Raporlama posta kutusu bir Exchange Online posta kutusu olmalıdır.
  • Üçüncü taraf raporlama aracı, bildirilen özgün iletiyi sıkıştırılmamış olarak içermelidir. EML veya . Raporlama posta kutusuna gönderilen iletideki MSG eki (özgün iletiyi yalnızca raporlama posta kutusuna iletmeyin). Daha fazla bilgi için bkz. Üçüncü taraf raporlama araçları için ileti gönderme biçimi.
  • Raporlama posta kutusu, hatalı olabilecek iletilerin filtrelenmeden veya değiştirilmeden teslim edilmesine izin vermek için belirli önkoşullar gerektirir. Daha fazla bilgi için bkz . Raporlama posta kutusu için yapılandırma gereksinimleri.

Kullanıcı tarafından bildirilen bir ileti raporlama posta kutusuna ulaştığında, Office 365 için Defender kullanıcı tarafından kötü amaçlı yazılım veya kimlik avı olarak bildirilen E-posta adlı uyarıyı otomatik olarak oluşturur. Bu uyarı bir AIR playbook'u başlatır. Playbook, bir dizi otomatik araştırma adımı gerçekleştirir:

  • Belirtilen e-posta hakkında veri toplayın.
  • Bu e-postayla ilgili tehditler ve varlıklar (örneğin, dosyalar, URL'ler ve alıcılar) hakkında veri toplayın.
  • Araştırma bulgularına göre SecOps ekibinin gerçekleştirmesi önerilen eylemleri sağlayın.

Kullanıcı tarafından kötü amaçlı yazılım veya kimlik avı uyarıları olarak bildirilen e-postalar , otomatik araştırmalar ve önerilen eylemleri, Microsoft Defender XDR'deki olaylarla otomatik olarak ilişkilendirilir. Bu bağıntı, güvenlik ekipleri için önceliklendirme ve yanıt sürecini daha da basitleştirir. Birden çok kullanıcı aynı veya benzer iletileri bildirirse, tüm kullanıcılar ve iletiler aynı olayla ilişkilendirilir.

Office 365 için Defender'daki uyarılardan ve araştırmalardan elde edilen veriler, diğer Microsoft Defender XDR ürünlerindeki uyarı ve araştırmalarla otomatik olarak karşılaştırılır:

  • Uç Nokta için Microsoft Defender
  • Bulut Uygulamaları için Microsoft Defender
  • Kimlik için Microsoft Defender

Bir ilişki bulunursa sistem, saldırının tamamı için görünürlük sağlayan bir olay oluşturur.