Aracılığıyla paylaş

Office 365'te teslim edilen kötü amaçlı e-postaları düzeltme

İpucu

Office 365 için Microsoft Defender Plan 2'deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.

Düzeltme, bir tehdide karşı belirlenmiş bir eylem gerçekleştirme anlamına gelir. Kuruluşunuza gönderilen kötü amaçlı e-postalar sistem tarafından, sıfır saatlik otomatik temizleme (ZAP) aracılığıyla veya güvenlik ekipleri tarafından gelen kutusuna taşıma, gereksiz öğeye taşıma, silinmiş öğelere taşıma, geçici silme veya sabit silme gibi düzeltme eylemleri aracılığıyla temizlenebilir. Office 365 için Microsoft Defender Plan 2/E5, güvenlik ekiplerinin el ile ve otomatik araştırma yoluyla e-posta ve işbirliği işlevselliğindeki tehditleri düzeltmesini sağlar.

Başlamadan önce bilmeniz gerekenler

  • Hizmetin kararlılığını ve performansını sağlamaya yardımcı olan büyük ölçekli düzeltmeler için azaltma sınırları vardır:

    • Kuruluş sınırları: Etkin ve eşzamanlı e-posta düzeltmelerinin sayısı üst sınırı 50'dir. Sınıra ulaşıldıktan sonra, bazı eylemler tamamlanana kadar yeni düzeltmeler tetiklenmez.
    • Email ileti sınırları: Etkin bir düzeltme bir milyondan fazla e-posta iletisi içeriyorsa, yeni e-posta düzeltmelerine izin verilmez.
    • Düzeltmelerde alıcı gereksinimleri:
      • Seçilen alıcıların toplam yüzdesi, düzeltmedeki toplam e-posta iletisi sayısının en az %40'ını içermelidir. Düzeltme için 5.000 e-posta iletisinin silinmesi gerekiyorsa düzeltmenin en az 2.000 alıcıyı hedeflemesi gerekir. Explorer (Tehdit Gezgini) her alıcıyı benzersiz bir e-posta iletisi olarak sayar. Örneğin, Threat Exporer 5 adrese gönderilen bir iletiyi 5 ileti olarak sayar.
      • Alıcı sayısı toplam e-posta iletisi sayısının %40'ından azsa, düzeltme tek bir alıcıya gönderilen 1.000'den fazla iletiyi silmek için kullanılamaz.

  • Bu makaledeki yordamları gerçekleştirmeden önce size izinler atanmalıdır. Yöneticiler e-posta iletilerinde gerekli eylemi gerçekleştirebilir, ancak bu eylemlerin onaylanması için Arama ve Temizleme rolü gereklidir. Arama ve Temizleme rolünü atamak için aşağıdaki seçeneklere sahipsiniz:

  • Adresinde Otomatik Araştırma'nın açık https://security.microsoft.com/securitysettings/endpoints/integrationolduğunu doğrulayın.

El ile ve otomatik düzeltme

Güvenlik ekipleri Tehdit Gezgini'ndeki (Tehdit Gezgini) arama ve filtreleme özelliklerini kullanarak tehditleri el ile tanımladığında el ile avlanma gerçekleşir. El ile e-posta düzeltmesi, düzeltilmesi gereken bir e-posta kümesi tanımlandıktan sonra herhangi bir e-posta görünümü (Kötü Amaçlı Yazılım, Kimlik Avı veya Tüm e-posta) aracılığıyla tetiklenebilir.

Gezgin'de (Tehdit Gezgini) tarihe göre el ile avcılık ekran görüntüsü.

Güvenlik ekipleri, e-postaları çeşitli yollarla seçmek için Explorer'ı kullanabilir:

  • E-postaları el ile seçme: Çeşitli görünümlerde filtreleri kullanın. Düzeltmek için en fazla 100 e-posta seçin.

  • Sorgu seçimi: Üstteki Tümünü seç düğmesini kullanarak sorgunun tamamını seçin . aynı sorgu, işlem merkezi posta gönderme ayrıntılarında da gösterilir. Müşteriler Gezgin'den en fazla 200.000 e-posta gönderebilir.

  • Dışlama ile sorgu seçimi: Bazen güvenlik operasyonları ekipleri bir sorgunun tamamını seçerek ve belirli e-postaları sorgudan el ile dışlayarak e-postaları düzeltmek isteyebilir. Bunu yapmak için bir yönetici Tümünü seç onay kutusunu kullanabilir ve e-postaları el ile dışlamak için aşağı kaydırabilir. Sorgu en fazla 200.000 e-posta içerebilir.

Explorer aracılığıyla e-postalar seçildikten sonra, doğrudan işlem yaparak veya bir eylem için e-postaları kuyruğa alarak düzeltmeye başlayabilirsiniz:

  • Doğrudan onay: Gelen kutusuna taşıma, gereksiz öğeye taşıma, silinmiş öğelere taşıma, geçici silme veya sabit silme gibi eylemler uygun izinlere sahip güvenlik personeli tarafından seçildiğinde ve düzeltmedeki sonraki adımlar izlendiğinde, düzeltme işlemi seçilen eylemi yürütmeye başlar.

    Not

    Düzeltme başlatılırken paralel olarak bir uyarı ve araştırma oluşturur. Uyarı, uyarı kuyruğunda güvenlik personelinin varlığı düzeltme eylemini gerçekleştirmesini öneren "Yönetici tarafından gönderilen yönetim eylemi" adıyla gösterilir. Eylemi gerçekleştiren kişinin adı, destekleyici araştırma bağlantısı, zaman vb. gibi ayrıntıları sunar. Varlıklarda düzeltme gibi sert bir eylemin her gerçekleştirildiğini bilmek gerçekten iyi çalışır. Tüm bu eylemler Eylemler & Gönderimler>İşlem merkezi>Geçmişi sekmesinde izlenebilir.

  • İki aşamalı onay: "Düzeltmeye ekle" eylemi, uygun izinlere sahip olmayan veya eylemi yürütmek için beklemesi gereken yöneticiler tarafından yapılabilir. Bu durumda, hedeflenen e-postalar bir düzeltme kapsayıcısına eklenir. Düzeltme yürütülmeden önce onay gerekir.

Otomatik araştırma ve yanıt eylemleri uyarılar veya Explorer'dan güvenlik operasyonları ekipleri tarafından tetiklenir. Bu sonuçlar, bir güvenlik operasyonları ekibi tarafından onaylanması gereken önerilen düzeltme eylemlerini içerebilir. Bu eylemler otomatik araştırmanın Eylem sekmesinde yer alır.

Zapped sayfasında ZAP yürütme zamanını gösteren kötü amaçlı yazılımla Email.

Gezgin, Gelişmiş avcılık veya Otomatik araştırma aracılığıyla oluşturulan tüm düzeltmeler (doğrudan onaylar), İşlem merkezinde Eylemler & Gönderme İşlem>merkezi>Geçmişi sekmesinde (https://security.microsoft.com/action-center/history) görüntülenir.

İki aşamalı onay işleminin kullanıldığı el ile onay bekleyen eylemler (bir güvenlik işlemi ekip üyesi tarafından düzeltmeye eklenir ve başka bir güvenlik işlemi ekip üyesi tarafından gözden geçirilip onaylanır) Eylemler & Gönderimler>İşlem merkezi>Beklemede sekmesinde (https://security.microsoft.com/action-center/pending) görünür. Onaydan sonra, Eylemler & Gönderiler>İşlem merkezi>Geçmişi sekmesinde (https://security.microsoft.com/action-center/history) görünürler.

Birleşik İşlem Merkezi size 30 günlük düzeltme eylemleri gösterir.

Birleşik İşlem Merkezi son 30 güne ait düzeltme eylemlerini gösterir. Gezgin aracılığıyla gerçekleştirilen eylemler, düzeltme oluşturulduğunda güvenlik operasyonları ekibinin sağladığı ada ve onay kimliğine, Araştırma Kimliği'ne göre listelenir. Otomatik araştırmalarda gerçekleştirilen eylemler, araştırmayı tetikleyen ilgili uyarıyla başlayan başlıklara sahiptir(Zap e-posta kümesi gibi).

Düzeltme adı, onay kimliği, Araştırma Kimliği, oluşturma tarihi, açıklama, durum, eylem kaynağı, eylem türü, karar verme ölçütü, durum gibi ilgili ayrıntıları görüntülemek için herhangi bir düzeltme öğesini açın. Ayrıca eylem ayrıntılarını, e-posta kümesi ayrıntılarını, uyarıyı ve Olay ayrıntılarını içeren bir yan bölme açar.

  • Araştırma sayfasını açma: Daha az ayrıntı ve sekme içeren bir yönetici araştırması açar. İlgili uyarı, düzeltme için seçilen varlık, gerçekleştirilen eylem, düzeltme durumu, varlık sayısı, günlükler ve eylemi onaylayan gibi ayrıntıları gösterir. Yönetici tarafından yapılan bir araştırmayı el ile izler ve yönetici tarafından yapılan seçimlerin ayrıntılarını içerir. Araştırma ve uyarı üzerinde işlem yapmanıza gerek yoktur (zaten Onaylandı durumundadır).

  • Email sayısı: Gezgin aracılığıyla gönderilen e-posta iletilerinin sayısını görüntüler. Bu iletiler eyleme dönüştürülebilir veya eyleme dönüştürülemez olabilir.

  • Eylem günlükleri: Başarılı, başarısız ve zaten hedefte olan düzeltme durumunun ayrıntılarını gösterir.

    Gelen Kutusuna Taşı seçeneğinin açık olduğu İşlem Merkezi.

    • Eyleme dönüştürülebilir: Aşağıdaki bulut posta kutusu konumlarındaki Email üzerinde işlem yapılabilir ve taşınabilir:

      • Gelen Kutusu
      • Gereksiz*
      • Silinmiş Öğeler klasörü*
      • Kurtarılabilir Öğeler\Silmeler klasörü (geçici olarak silinen öğeler)*
      • Karantina

      * Karantinaya alınan öğeler için kullanılamaz.

    • Eyleme dönüştürülemez: Aşağıdaki konumlardaki Email düzeltme eylemleri üzerinde işlem yapılamaz veya taşınamaz:

      • Sabit silinmiş klasör
      • Şirket içi/dış
      • Başarısız/bırakıldı
      • Unknown

    • Desteklenen Taşıma ve Silme eylemleri türleri:

      • Gereksiz klasöre gitme: İletileri kullanıcının Gereksiz Email klasörüne taşır.

      • Gelen kutusuna taşı: İletileri kullanıcılar Gelen Kutusu klasörüne taşır.

      • Silinmiş öğelere gitme: İletileri kullanıcının Silinmiş Öğeler klasörüne taşır.

      • Geçici silme: İletiyi Silinmiş öğeler klasöründen silin (Kurtarılabilir Öğeler\Silmeler klasörüne gidin). İleti, kullanıcı ve yöneticiler tarafından kurtarılabilir.

        Gönderenin kopyasını silme: Ayrıca, gönderen kuruluşsa iletiyi gönderenin Gönderilmiş Öğeler klasöründen geçici olarak silmeyi deneyin.

      • Sabit silme: Silinen iletiyi temizleme. Yöneticiler, tek öğeli kurtarmayı kullanarak sabit silinmiş öğeleri kurtarabilir. Sabit olarak silinen ve geçici olarak silinen öğeler hakkında daha fazla bilgi için bkz . Geçici olarak silinen ve sabit silinen öğeler.

    Not

    ABD Kamu kuruluşlarında (Microsoft 365 GCC, GCC High ve DoD) yöneticiler Geçici silme, Gereksiz klasöre taşı, Silinmiş öğelere taşı, Sabit silme ve Gelen kutusuna taşı eylemlerini gerçekleştirebilir. Gönderenin kopyasını sil ve Karantina klasöründen gelen kutusuna taşı eylemleri kullanılamaz. Ayrıca, eylem günlükleri yalnızca adresinde https://security.microsoft.com/threatincidentskullanılabilir, konumundaki İşlem Merkezi'ndehttps://security.microsoft.com/action-centerkullanılamaz.

    Şüpheli iletiler düzeltilebilir veya düzeltilemez olarak kategorilere ayrılmıştır. Çoğu durumda, düzeltilebilir ve düzeltilemez iletilerin toplamı gönderilen toplam ileti sayısına eşittir. Ancak sistem gecikmeleri, zaman aşımları veya süresi dolmuş iletiler nedeniyle toplamlar eşleşmeyebilir. İletilerin süresi, kuruluşunuzun Gezgin saklama süresine göre dolar.

    Kuruluşunuzun Explorer saklama döneminden sonra eski iletileri düzeltmediğiniz sürece, sayı tutarsızlıkları görürseniz öğeleri düzeltmeyi yeniden denemeniz önerilir. Sistem gecikmeleri için düzeltme güncelleştirmeleri genellikle birkaç saat içinde yenilenir.

    Kuruluşunuzun Explorer'da e-posta saklama süresi 30 günse ve 29-30 gün geriye giden e-postaları düzeltiyorsanız, posta gönderme sayıları her zaman bir şey ifade etmeyebilir. E-postalar bekletme süresinden zaten taşınmaya başlamış olabilir.

    Düzeltmeler bir süre "Sürüyor" durumunda takılırsa, bunun nedeni büyük olasılıkla sistem gecikmeleridir. Düzeltmesi birkaç saat kadar sürebilir. Bazı e-postalar sistem gecikmelerinden dolayı düzeltmenin başlangıcında sorguya dahil edilmediğinden, posta gönderme sayılarında çeşitlemeler görebilirsiniz. Bu gibi durumlarda düzeltmeyi yeniden denemek iyi bir fikirdir.

    İpucu

    En iyi sonuçlar için düzeltme 50.000 veya daha az toplu işlemle yapılmalıdır.

    Düzeltme sırasında yalnızca düzeltilebilir e-posta iletileri üzerinde işlem yapılabilir. Düzeltilemeyen e-postalar bulut posta kutularında depolanmadığından Microsoft 365 tarafından düzeltilemez.

    Yöneticiler gerekirse karantinadaki e-postalar üzerinde eylemler gerçekleştirebilir, ancak el ile temizlenmediği takdirde bu e-postaların süresi karantina dışıdır. Varsayılan olarak, kötü amaçlı içerik nedeniyle karantinaya alınan e-postalara kullanıcılar tarafından erişilemez, bu nedenle güvenlik personeli karantinadaki tehditlerden kurtulmak için herhangi bir işlem yapmak zorunda değildir. E-postalar şirket içinde veya dışındaysa, şüpheli e-postayı ele almak için kullanıcıyla iletişime geçilebilir. Ya da yöneticiler kaldırma için ayrı e-posta sunucusu/güvenlik araçları kullanabilir. Bu e-postalar, Gezgin'de teslim konumu = şirket içi dış filtre uygulanarak tanımlanabilir. Başarısız veya bırakılan e-postalarda veya kullanıcılar tarafından erişilemeyen e-postalarda, bu postalar posta kutusuna ulaşmadığından hafifletilebilecek bir e-posta yoktur.

  • Eylem günlükleri: Düzeltilmiş, başarılı, başarısız, zaten hedefte olan iletileri gösterir.

    Durum şu olabilir:

    • Başlatıldı: Düzeltme tetikleniyor.
      • Kuyruğa alındı: Düzeltme, e-postaların azaltılması için sıraya alındı.
      • Devam ediyor: Azaltma devam ediyor.
      • Tamamlandı: Düzeltilebilir tüm e-postalarda azaltma işlemi başarıyla veya bazı hatalarla tamamlandı.
      • Başarısız: Hiçbir düzeltme başarılı olmadı.

    Yalnızca düzeltilebilir e-postalar üzerinde işlem yapılabilir olduğundan, her e-postanın temizleme işlemi başarılı veya başarısız olarak gösterilir. Düzeltilebilir e-postaların toplamından başarılı ve başarısız düzeltmeler bildirilir.

    • Başarılı: Düzeltilebilir e-postalarda istenen eylem gerçekleştirilir. Örneğin: Bir yönetici posta kutularından e-postaları kaldırmak istediğinden, yönetici e-postaları geçici silme eylemini üstlenir. Eylem gerçekleştirildikten sonra özgün klasörde düzeltilebilir bir e-posta bulunmazsa, durum başarılı olarak gösterilir.

    • Hata: Düzeltilebilir e-postalarda istenen eylem başarısız oldu. Örneğin: Bir yönetici posta kutularından e-postaları kaldırmak istediğinden, yönetici e-postaları geçici silme eylemini üstlenir. Eylem gerçekleştirildikten sonra da posta kutusunda düzeltilebilir bir e-posta bulunursa, durum başarısız olarak gösterilir.

    • Zaten hedefte: İstenen eylem e-postada zaten yapıldı VEYA e-posta hedef konumda zaten mevcuttu. Örneğin: Bir e-posta, yönetici tarafından ilk günde Gezgin aracılığıyla geçici olarak silindi. Daha sonra benzer e-postalar 2. günde gösterilir ve bu e-postalar yine yönetici tarafından geçici olarak silinir. Bu e-postaları seçerken, yönetici ilk günden geçici olarak silinmiş olan bazı e-postaları seçer. Artık bu iletiler üzerinde işlem gerçekleştirilmiyor. Bunun yerine, hedef konumda mevcut oldukları için üzerinde hiçbir işlem yapılmadığından, hedefte zaten varoldu olarak gösterilirler.

    • Yeni: Eylem Günlüğü'ne Zaten var olan bir hedef sütun eklendi. Bu özellik, postanın zaten düzeltilip düzeltildiğinin sinyalini vermek için Gezgin'deki en son teslim konumunu kullanır. Zaten hedefte olmak , güvenlik ekiplerinin hala ele alınması gereken toplam ileti sayısını anlamasına yardımcı olur.

Eylemler yalnızca Gezgin'in Gelen Kutusu, Gereksiz, Silinmiş ve Geçici Olarak Silinen klasörlerindeki iletilerde gerçekleştirilebilir. Aşağıda yeni sütunun nasıl çalıştığına ilişkin bir örnek verilmiş. Gelen Kutusu'nda bulunan iletide geçici silme eylemi gerçekleştirilir, ardından ileti ilkelere göre işlenir. Bir sonraki geçici silme işlemi gerçekleştirildiğinde, bu ileti 'Zaten hedefte' sütununun altında gösterilir ve yeniden ele alınması gerekmeyen bir işarettir.

Düzeltme ayrıntılarını görüntülemek için eylem günlüğündeki herhangi bir öğeyi seçin. Ayrıntılar posta kutusundaBaşarılı veya Bulunamadı olarak gösterildiyse, bu öğe posta kutusundan zaten kaldırılmıştır. Bazen düzeltme sırasında bir sistem hatası olur. Bu gibi durumlarda, düzeltme eylemini yeniden denemek iyi bir fikirdir.

Büyük toplu e-postaları düzeltmeniz gerekiyorsa, Posta Gönderme yoluyla düzeltme için gönderilen iletileri dışarı aktarın ve Eylem Günlükleri aracılığıyla düzeltilen iletileri dışarı aktarın. Dışarı aktarma sınırı 100.000 kayda yükseltilir.

Yöneticiler, e-posta iletilerini Gereksiz, Gelen Kutusu veya Silinmiş öğeler klasörüne taşıma gibi düzeltme eylemleri gerçekleştirebilir ve Gelişmiş Tehdit Avcılığı sayfalarından geçici olarak silinen veya sabit silme gibi eylemleri silebilir.

Gelişmiş Tehdit Avcılığı, Eylemleri Gerçekleştir paneli ve istediğiniz eylemleri yapın.

Düzeltme, tehditleri azaltır, şüpheli e-postaları giderir ve kuruluşun güvenli kalmasına yardımcı olur.