Aracılığıyla paylaş

Giriş

  • Makale

Geçmişte, izin verilenler e-postanın kötü amaçlı olduğunu belirten sinyalleri yoksaymak için Exchange Online Protection etkinleştirildi. Satıcıların IP'lerin, etki alanlarının ve gönderen adreslerinin gereksiz yere geçersiz kılınmasını istemesi yaygındır. Saldırganların bu hatadan yararlanacakları bilinmektedir ve gereksiz izin verilenler listesi girdilerine sahip olmak bir güvenlik açığıdır. Bu adım adım kılavuz, kuruluşunuzun güvenlik duruşunu artırabilmeniz için bu yanlış yapılandırılmış geçersiz kılmaları belirlemek ve kaldırmak için gelişmiş avcılığı kullanma konusunda size yol gösterir.

Neye ihtiyacınız var?

  • Office 365 için Microsoft Defender Plan 2 (E5 planlarında yer alan veya aka.ms/trymdo'de sunulan deneme sürümü)
  • Yeterli izinler (Güvenlik okuyucusu rolü)
  • Aşağıdaki yordamları yapmak için 5-10 dakika.

Aşağıdaki tüm sorgular için yaygın adımlar

  1. Güvenlik portalında oturum açın ve gelişmiş avlanmaya gidin
  2. Sorgu kutusuna KQL sorgusunu girin ve Sorgu Çalıştır'a basın.
  3. Sonuçlarda gösterildiğinde tek tek e-postalar için NetworkMessageId köprüsüne basılması bir açılır öğe yükler ve analiz sekmesinin e-postayla eşleşen aktarım kuralları gibi diğer ayrıntıları sağladığı e-posta varlık sayfasına kolay erişim sağlar.
  4. Sonuçlar, işleme/çözümleme için çevrimdışı dışarı aktar'a basılarak da dışarı aktarılabilir.

İpucu

OrgLevelAction değerini UserLevelAction olarak değiştirmek, yöneticiler yerine kullanıcılar tarafından geçersiz kılınan e-posta uyarılarını aramanıza olanak tanır ve yararlı bir içgörü de olabilir.

Sorgular

Üst geçersiz kılma kaynağı

En gereksiz geçersiz kılmaların bulunduğu yeri bulmak için bu sorguyu kullanın. Bu sorgu, geçersiz kılma gerektiren herhangi bir algılama olmadan geçersiz kılınan e-postaları arar.

EmailEvents
| where OrgLevelAction == "Allow"
| summarize count() by OrgLevelPolicy, ThreatTypes

Üst geçersiz kılınan tehdit türü

Algılanan en fazla geçersiz kılınan tehdit türlerini bulmak için bu sorguyu kullanın. Bu sorgu algılanan tehdit geçersiz kılınmış, DMARC veya Kimlik Sahtekarlığına sahip e-postaları arar ve geçersiz kılma gereksinimini ortadan kaldırmak için düzeltilebilen e-posta kimlik doğrulaması sorunlarını gösterir.

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by DetectionMethods

Üst geçersiz kılınmış IP'ler

Bu sorgu, geçersiz kılma çağrısında bulunan herhangi bir algılama olmadan IP tarafından geçersiz kılınan e-postaları arar.

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderIPv4
| top 10 by count_

En çok geçersiz kılınan etki alanları

Bu sorgu, geçersiz kılma çağrısında bulunan hiçbir algılama olmadan etki alanı gönderilerek geçersiz kılınan e-postaları arar. (5321.MailFrom'u denetlemek için SenderMailFromDomain olarak değiştirin)

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromDomain
| top 10 by count_

En çok geçersiz kılınan gönderenler

Bu sorgu, geçersiz kılma gerektiren herhangi bir algılama olmadan adres göndererek geçersiz kılınan e-postaları arar. (5321.MailFrom dosyasını denetlemek için SenderMailFromAddress olarak değiştirin)

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromAddress
| top 10 by count_

Daha Fazla Bilgi Edinin

Umarım bu makalenin yararlı olduğunu ve gelişmiş avcılığı kullanmaya başlamanızı sağlamak için bazı temel sorgularla birlikte aşağıdaki makalelere göz atabilirsiniz:

Gelişmiş avcılık hakkında daha fazla bilgi edinin: Genel Bakış - Gelişmiş avcılık.

Kimlik doğrulaması hakkında daha fazla bilgi edinin: Exchange Online Protection kimlik doğrulaması Email.