Güvenliği aşılmış bir e-posta hesabına yanıt verme

• Şunlara uygulanır:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.

Kimlik bilgileri Microsoft 365 posta kutularına, verilerine ve diğer hizmetlere erişimi denetler. Birisi bu kimlik bilgilerini çaldığında, ilişkili hesabın gizliliğinin ihlal edildiği kabul edilir.

Bir saldırgan kimlik bilgilerini çaldıktan ve hesaba erişim kazandıktan sonra kullanıcının OneDrive'ında ilişkili Microsoft 365 posta kutusuna, SharePoint klasörlerine veya dosyalarına erişebilir. Saldırganlar genellikle güvenliği aşılmış posta kutusunu kullanarak kuruluşun içindeki ve dışındaki alıcılara özgün kullanıcı olarak e-posta gönderir. Dış alıcılara veri göndermek için e-posta kullanan saldırganlar , veri sızdırma olarak bilinir.

Bu makalede, hesabın güvenliğinin aşılmasına ilişkin belirtiler ve güvenliği aşılmış hesabın denetiminin nasıl yeniden kazanıldığı açıklanmaktadır.

Güvenliği aşılmış bir Microsoft e-posta hesabının belirtileri

Kullanıcılar Microsoft 365 posta kutularındaki olağan dışı etkinlikleri fark edebilir ve bildirebilir. Örneğin:

• E-postanın eksik veya silinmiş olduğu gibi şüpheli etkinlikler.
• Güvenliği aşılmış hesaptan gönderenin Gönderilmiş Öğeler klasöründe karşılık gelen e-posta olmadan e-posta alan kullanıcılar.
• Şüpheli Gelen Kutusu kuralları. Bu kurallar e-postayı bilinmeyen adreslere otomatik olarak iletebilir veya iletileri Notlar, Gereksiz Email veya RSS Abonelikleri klasörlerine taşıyabilir.
• Kullanıcının görünen adı Genel Adres Listesi'nde değiştirilir.
• Kullanıcının posta kutusunun e-posta göndermesi engellendi.
• Microsoft Outlook veya Web üzerinde Outlook'daki (eski adıyla Outlook Web App) Gönderilmiş Öğeler veya Silinmiş Öğeler klasörleri, güvenliği aşılmış hesaplar için tipik iletiler içerir (örneğin, "Londra'da takıldım, para gönder").
• Olağan dışı profil değişiklikleri. Örneğin, ad, telefon numarası veya posta kodu güncelleştirmeleri.
• Birden çok ve sık parola değişikliği.
• Son eklenen dış e-posta iletme.
• Olağan dışı e-posta iletisi imzaları. Örneğin, sahte bankacılık imzası veya reçeteli ilaç imzası.

Bir kullanıcının bunları veya diğer olağan dışı belirtileri bildirip bildirmediğini hemen araştırmanız gerekir. Microsoft Defender portalı ve Azure portal, kullanıcı hesabındaki şüpheli etkinlikleri araştırmanıza yardımcı olmak için aşağıdaki araçları sunar:

• Microsoft Defender portalındaki birleşik denetim günlükleri: Şüpheli etkinlik gerçekleşmeden hemen önce başlayan bir tarih aralığı kullanarak etkinlik günlüklerini filtreleyin. Arama sırasında belirli etkinliklere filtre uygulamayın. Daha fazla bilgi için bkz . Denetim günlüğünde arama yapma.

• Microsoft Entra yönetim merkezi oturum açma günlüklerini ve diğer risk raporlarını Microsoft Entra: Şu sütunlardaki değerleri inceleyin:

  • IP adresini gözden geçirme
  • oturum açma konumları
  • oturum açma süreleri
  • oturum açma başarılı veya başarısız

Önemli

Aşağıdaki düğme şüpheli hesap etkinliğini test etmenizi ve tanımlamanızı sağlar. Güvenliği aşılmış bir hesabı kurtarmak için bu bilgileri kullanabilirsiniz.

Testleri Çalıştırma: Güvenliği Aşılmış Hesaplar

Güvenliği aşılmış bir Microsoft 365 hesabı ve posta kutusuna e-posta işlevinin güvenliğini sağlama ve geri yükleme

Kullanıcı hesabına yeniden erişim kazandıktan sonra bile, saldırgan hesabın denetimini geri kazanabilecek arka kapı girişlerini bırakabilir.

Hesabın denetimini yeniden kazanmak için aşağıdaki adımların tümünü yapın. Bir sorundan şüphelendiğiniz anda ve saldırganın hesabın denetimini yeniden kazanmadığından emin olmak için mümkün olan en kısa sürede adımları izleyin. Bu adımlar, saldırganın hesaba eklediği tüm arka kapı girişlerini kaldırmanıza da yardımcı olur. Bu adımları gerçekleştirdikten sonra, istemci bilgisayarın güvenliğinin tehlikeye atıldığından emin olmak için bir virüs taraması çalıştırmanızı öneririz.

1. Adım: Kullanıcının parolasını sıfırlama

Birisi için iş parolasını sıfırlama başlığındaki yordamları izleyin.

Önemli

• Saldırgan bu noktada posta kutusuna erişmeye devam ettiğinden, yeni parolayı kullanıcıya e-posta yoluyla göndermeyin.

• Güçlü bir parola kullandığınızdan emin olun: büyük ve küçük harfler, en az bir sayı ve en az bir özel karakter.

• Parola geçmişi gereksinimi izin veriyor olsa bile, son beş parolanın hiçbirini yeniden kullanmayın. Saldırganın tahmin bile edemebileceği benzersiz bir parola kullanın.

• Kullanıcının kimliği Microsoft 365 ile birleştirilmişse, şirket içi ortamda hesap parolasını değiştirmeniz ve ardından güvenliğin aşılmasına ilişkin yöneticiyi bilgilendirmeniz gerekir.

• Uygulama parolalarını güncelleştirin. Parolayı sıfırladığınızda uygulama parolaları otomatik olarak iptal edilir. Kullanıcı mevcut uygulama parolalarını silip yeni parolalar oluşturmalıdır. Yönergeler için bkz. İki aşamalı doğrulama için uygulama parolalarını yönetme.

• Hesap için çok faktörlü kimlik doğrulamasını (MFA) etkinleştirmenizi kesinlikle öneririz. MFA, hesap güvenliğinin aşılmasını önlemeye yardımcı olmak için iyi bir yoldur ve yönetim ayrıcalıklarına sahip hesaplar için çok önemlidir. Yönergeler için bkz. Çok faktörlü kimlik doğrulamasını ayarlama.

2. Adım: Şüpheli e-posta iletme adreslerini kaldırma

1. konumundaki Microsoft 365 yönetim merkezi https://admin.microsoft.comEtkin Kullanıcılar'a> gidin. Veya doğrudan Etkin kullanıcılar sayfasına gitmek için kullanın https://admin.microsoft.com/Adminportal/Home#/users.

2. Etkin kullanıcılar sayfasında, kullanıcı hesabını bulun ve satırda adın yanındaki onay kutusundan başka bir yere tıklayarak hesabı seçin.

3. Açılan ayrıntılar açılır listesinde Posta sekmesini seçin.

4. Posta sekmesinde, Email iletme bölümünde uygulanan değer, hesapta posta iletmenin yapılandırıldığını gösterir. Kaldırmak için aşağıdaki adımları uygulayın:

   • E-posta iletmeyi yönet'i seçin.
   • Açılan E-posta iletmeyi yönet açılır menüsünde , Bu posta kutusuna gönderilen tüm e-postaları ilet onay kutusunu temizleyin ve değişiklikleri kaydet'i seçin.

3. Adım: Şüpheli Gelen Kutusu kurallarını devre dışı bırakma

1. Web üzerinde Outlook kullanarak kullanıcının posta kutusunda oturum açın.

2. Ayarlar 'ı (dişli simgesi) seçin, Arama ayarları kutusuna 'kurallar' yazın ve sonuçlarda Gelen Kutusu kuralları'nı seçin.

3. Açılan Kurallar açılır öğesinde mevcut kuralları gözden geçirin ve şüpheli kuralları kapatın veya silin.

4. Adım: Kullanıcının posta gönderme engellemesini kaldırma

Hesap istenmeyen posta veya yüksek hacimli e-posta göndermek için kullanılıyorsa, posta kutusunun posta göndermesi engellenmiş olabilir.

Posta kutusunun e-posta gönderme engelini kaldırmak için Engellenen kullanıcıları Kısıtlanmış varlıklar sayfasından kaldırma sayfasındaki yordamları izleyin.

5. Adım İsteğe bağlı: Kullanıcı hesabının oturum açmasını engelleme

Önemli

Erişimi yeniden etkinleştirmenin güvenli olduğuna inanana kadar hesabın oturum açmasını engelleyebilirsiniz.

1. konumundaki Microsoft 365 yönetim merkezi https://admin.microsoft.comaşağıdaki adımları uygulayın:

   1. Etkin Kullanıcılar'a> gidin. Veya doğrudan Etkin kullanıcılar sayfasına gitmek için kullanın https://admin.microsoft.com/Adminportal/Home#/users.
   2. Etkin kullanıcılar sayfasında, aşağıdaki adımlardan birini yaparak listeden kullanıcı hesabını bulun ve seçin:
      • Adın yanındaki onay kutusundan farklı bir satıra tıklayarak kullanıcıyı seçin. Açılan ayrıntılar açılır listesinde, açılır listenin üst kısmındaki Oturum açmayı engelle'yi seçin.
      • Adın yanındaki onay kutusunu seçerek kullanıcıyı seçin. Diğer eylemler>Oturum açma durumunu düzenle'yi seçin.
   3. Açılan Oturum açmayı engelle açılır penceresinde bilgileri okuyun, Bu kullanıcının oturum açmasını engelle'yi seçin, Değişiklikleri kaydet'i ve ardından açılır listenin üst kısmındaki Kapat'ı seçin.

2. Exchange yönetim merkezinde (EAC) aşağıdaki adımları gerçekleştirin https://admin.exchange.microsoft.com:

   1. AlıcılarPostaKutuları'na> gidin. Veya doğrudan Posta Kutuları sayfasına gitmek için kullanın https://admin.exchange.microsoft.com/#/mailboxes.

   2. Posta kutularını yönet sayfasında, satırda adın yanında görünen yuvarlak onay kutusunun dışında herhangi bir yere tıklayarak kullanıcıyı bulun ve listeden seçin.

   3. Açılan ayrıntılar açılır öğesinde aşağıdaki adımları uygulayın:

      1. Genel sekmesinin seçili olduğunu doğrulayın ve Email uygulamaları & mobil cihazlar bölümünde e-posta uygulamaları ayarlarını yönet'i seçin.
      2. Açılan E-posta uygulamaları için ayarları yönet açılır öğesinde, iki durumlu düğmeyi Devre dışı olarak değiştirerek tüm kullanılabilir ayarları devre dışı bırakın:
         • Outlook masaüstü (MAPI)
         • Exchange Web Hizmetleri
         • Mobil (Exchange ActiveSync)
         • IMAP
         • POP3
         • Web üzerinde Outlook

      E-posta uygulamaları için ayarları yönet açılır öğesinde işiniz bittiğinde Kaydet'i ve ardından açılır listenin üst kısmındaki Kapat'ı seçin.

6. Adım İsteğe bağlı: Güvenliği aşılmış olduğundan şüphelenilen hesabı tüm yönetim rollerinden kaldırın

Not

Hesabın güvenliği sağlandıktan sonra yönetici rollerinde kullanıcının üyeliğini geri yükleyebilirsiniz.

1. konumundaki Microsoft 365 yönetim merkezi https://admin.microsoft.comaşağıdaki adımları uygulayın:

   1. Etkin Kullanıcılar'a> gidin. Veya doğrudan Etkin kullanıcılar sayfasına gitmek için kullanın https://admin.microsoft.com/Adminportal/Home#/users.

   2. Etkin kullanıcılar sayfasında, aşağıdaki adımlardan birini yaparak listeden kullanıcı hesabını bulun ve seçin:

      • Adın yanındaki onay kutusundan farklı bir satıra tıklayarak kullanıcıyı seçin. Açılan ayrıntılar açılır penceresinde Hesap sekmesinin seçili olduğunu doğrulayın ve roller bölümündeRolleri yönet'i seçin.
      • Adın yanındaki onay kutusunu seçerek kullanıcıyı seçin. Diğer eylemler>Rolleri yönet'i seçin.

   3. Açılan Yönetici rollerini yönet açılır penceresinde aşağıdaki adımları uygulayın:

      • Daha sonra geri yüklemek istediğiniz tüm bilgileri kaydedin.
      • Kullanıcı (yönetim merkezi erişimi yok) seçeneğini belirleyerek yönetim rolü üyeliğini kaldırın.

      Yönetici rollerini yönet açılır öğesinde işiniz bittiğinde Değişiklikleri kaydet'i seçin.

2. konumundaki Microsoft Defender portalında https://security.microsoft.comaşağıdaki adımları uygulayın:

   1. İzinler>Email & işbirliği rolleri Rolleri'ne> gidin. Alternatif olarak, doğrudan İzinler sayfasına gitmek için https://security.microsoft.com/emailandcollabpermissions seçeneğini kullanın.

   2. İzinler sayfasında, adın yanındaki onay kutusunu (örneğin Kuruluş Yönetimi) ve ardından görüntülenen Düzenle eylemini seçerek listeden bir rol grubu seçin.

   3. Açılan rol grubunun üyelerini düzenle sayfasında üye listesini gözden geçirin. Rol grubu kullanıcı hesabını içeriyorsa, adın yanındaki onay kutusunu ve ardından Üyeleri kaldır'ı seçerek kullanıcıyı kaldırın.

      Rol grubunun üyelerini düzenle sayfasında işiniz bittiğinde İleri'yi seçin

   4. Rol grubunu gözden geçir ve bitir sayfasında bilgileri gözden geçirin ve kaydet'i seçin.

   5. Listedeki her rol grubu için önceki adımları yineleyin.

3. konumundaki Exchange yönetim merkezinde https://admin.exchange.microsoft.com/aşağıdaki adımları uygulayın:

   1. Roller>Yönetici roller'e gidin. Veya doğrudan Yönetici rolleri sayfasına gitmek için kullanınhttps://admin.exchange.microsoft.com/#/adminRoles.

   2. Yönetici rolleri sayfasında, satırda adın yanında görünen yuvarlak onay kutusunun dışında herhangi bir yere tıklayarak listeden bir rol grubu seçin.

   3. Açılan ayrıntılar açılır penceresinde Atanan sekmesini seçin ve ardından kullanıcı hesabını arayın. Rol grubu kullanıcı hesabını içeriyorsa aşağıdaki adımları uygulayın:

      1. Adın yanında görünen yuvarlak onay kutusunu seçerek kullanıcı hesabını seçin.
      2. Görüntülenen Sil eylemini seçin, uyarı iletişim kutusunda Evet, kaldır'ı seçin ve ardından açılır listenin üst kısmındaki Kapat'ı seçin.

   4. Listedeki her rol grubu için önceki adımları yineleyin.

7. Adım İsteğe bağlı: Ek önlem adımları

1. Outlook veya Web üzerinde Outlook hesabın Gönderilmiş öğeler klasörünün içeriğini doğrulayın.

   Kullanıcının kişilerine hesabın gizliliğinin tehlikeye girdiğini bildirmeniz gerekebilir. Örneğin, saldırgan kişilerden para isteyen iletiler göndermiş veya bilgisayarlarını ele geçirmesi için bir virüs göndermiş olabilir.

2. Bu hesabı alternatif e-posta adresi olarak kullanan diğer hizmetler de tehlikeye girebilir. Bu Microsoft 365 kuruluşundaki hesap için bu makaledeki adımları tamamladıktan sonra, diğer hizmetlerde ilgili adımları uygulayın.

3. Hesabın iletişim bilgilerini (örneğin, telefon numaraları ve adresler) doğrulayın.

Ayrıca bkz.

• Microsoft 365'te Outlook Kurallarını ve Özel Forms Ekleme Saldırılarını Algılama ve Düzeltme
• İzin Verme İzinlerini Algılama ve Düzeltme
• İnternet Suç Şikayet Merkezi
• Menkul Kıymetler ve Değişim Komisyonu - "Kimlik Avı" Dolandırıcılığı
• İstenmeyen postaları doğrudan Microsoft'a ve/veya yöneticilere bildirmek için Rapor İletisi eklentisini kullanın (Kullanıcının rapor ettiği ayarların nasıl yapılandırıldığına bağlı olarak).