Office 365 için Microsoft Defender'da Tehdit Gezgini ve Gerçek zamanlı algılamalar ile güvenliği Email

• Şunlara uygulanır:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.

Aboneliğine dahil Office 365 için Microsoft Defender veya eklenti olarak satın alınan Microsoft 365 kuruluşlarının Explorer (Tehdit Gezgini olarak da bilinir) veya Gerçek zamanlı algılamaları vardır. Bu özellikler, Güvenlik İşlemleri (SecOps) ekiplerinin tehditleri araştırmasına ve yanıtlamasına yardımcı olan güçlü ve neredeyse gerçek zamanlı araçlardır. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'de Tehdit Gezgini ve Gerçek zamanlı algılamalar hakkında.

Bu makalede, Tehdit Gezgini veya Gerçek Zamanlı Algılamalar kullanılarak e-postada algılanan kötü amaçlı yazılım ve kimlik avı girişimlerinin nasıl görüntülenip araştırılması açıklanır.

İpucu

Tehdit Gezgini ve Gerçek zamanlı algılamaları kullanan diğer e-posta senaryoları için aşağıdaki makalelere bakın:

• Tehdit Gezgini'nde tehdit avcılığı ve Office 365 için Microsoft Defender'de gerçek zamanlı algılamalar
• Microsoft 365'te teslim edilen kötü amaçlı e-postayı araştırma

Başlamadan önce bilmeniz gerekenler

• Tehdit Gezgini, Office 365 için Defender Plan 2'ye dahildir. Office Plan 1 için Defender'da gerçek zamanlı algılamalar bulunur:

  • Tehdit Gezgini ile Gerçek zamanlı algılamalar arasındaki farklar, Tehdit Gezgini hakkında ve Office 365 için Microsoft Defender'deki gerçek zamanlı algılamalar bölümünde açıklanmıştır.
  • Office 365 için Defender Plan 2 ile Office Plan 1 için Defender arasındaki farklar Office 365 için Defender Plan 1 ile Plan 2 arasındaki bilgi sayfasında açıklanmıştır.

• Tehdit Gezgini ve Gerçek zamanlı algılamalar için izinler ve lisans gereksinimleri için bkz. Tehdit Gezgini ve Gerçek zamanlı algılamalar için izinler ve lisanslama.

Kimliğine bürünülen kullanıcılara ve etki alanlarına gönderilen kimlik avı e-postasını görüntüleme

Office 365 için Defender'daki kimlik avı önleme ilkelerinde kullanıcı ve etki alanı kimliğe bürünme koruması hakkında daha fazla bilgi için bkz. Office 365 için Microsoft Defender kimlik avı önleme ilkelerindeki kimliğe bürünme ayarları.

Varsayılan veya özel kimlik avı önleme ilkelerinde, sahip olduğunuz etki alanları (kabul edilen etki alanları) dahil olmak üzere kimliğe bürünmeye karşı korunacak kullanıcıları ve etki alanlarını belirtmeniz gerekir. Standart veya Katı önceden ayarlanmış güvenlik ilkelerinde, sahip olduğunuz etki alanları otomatik olarak kimliğe bürünme koruması alır, ancak kimliğe bürünme koruması için herhangi bir kullanıcı veya özel etki alanı belirtmeniz gerekir. Yönergeler için aşağıdaki makalelere bakın:

• EOP ve Office 365 için Microsoft Defender'da önceden ayarlanmış güvenlik ilkeleri
• Office 365 için Microsoft Defender'de kimlik avı önleme ilkelerini yapılandırma

Kimlik avı iletilerini gözden geçirmek ve kimliğine bürünülen kullanıcıları veya etki alanlarını aramak için aşağıdaki adımları kullanın.

1. Tehdit Gezgini'ni veya Gerçek zamanlı algılamaları açmak için aşağıdaki adımlardan birini kullanın:

   • Tehdit Gezgini: konumundaki Defender portalında https://security.microsoft.comEmail & Güvenlik>Gezgini'ne gidin. Veya doğrudan Gezgin sayfasına gitmek için kullanın https://security.microsoft.com/threatexplorerv3.
   • Gerçek zamanlı algılamalar: konumundaki Defender portalında https://security.microsoft.comEmail & Güvenlik>Gerçek zamanlı algılamalar bölümüne gidin. Veya doğrudan Gerçek zamanlı algılamalar sayfasına gitmek için kullanın https://security.microsoft.com/realtimereportsv3.

2. Gezgin veya Gerçek zamanlı algılamalar sayfasında Kimlik Avı görünümünü seçin. Kimlik Avı görünümü hakkında daha fazla bilgi için bkz. Tehdit Gezgini'nde Kimlik Avı görünümü ve Gerçek zamanlı algılamalar.

3. Tarih/saat aralığını seçin. Varsayılan değer dün ve bugündür.

4. Aşağıdaki adımlardan herhangi birini yapın:

   • Kullanıcı veya etki alanı kimliğe bürünme girişimlerini bulun:

     • Gönderen adresi (özellik) kutusunu seçin ve ardından açılan listenin Temel bölümünde Algılama teknolojisi'ni seçin.
     • Filtre işleci olarak Eşittir öğesinin seçildiğini doğrulayın.
     • Özellik değeri kutusunda Kimliğe Bürünme etki alanı ve Kimliğe Bürünme kullanıcısı'nı seçin

   • Kimliğine bürünülen belirli kullanıcı girişimlerini bulun:

     • Gönderen adresi (özellik) kutusunu seçin ve ardından açılan listenin Temel bölümünde Kimliğine Bürünülen kullanıcı'yı seçin.
     • Filtre işleci olarak Eşittir öğesinin seçildiğini doğrulayın.
     • Özellik değeri kutusuna alıcının tam e-posta adresini girin. Birden çok alıcı değerini virgülle ayırın.

   • Kimliğe bürünülen belirli etki alanı girişimlerini bulun:

     • Gönderen adresi (özellik) kutusunu seçin ve ardından açılan listenin Temel bölümünde Kimliğine Bürünülen etki alanı'nı seçin.
     • Filtre işleci olarak Eşittir öğesinin seçildiğini doğrulayın.
     • Özellik değeri kutusuna etki alanını girin (örneğin, contoso.com). Birden çok etki alanı değerini virgülle ayırın.

5. Gerektiği gibi diğer filtrelenebilir özellikleri kullanarak daha fazla koşul girin. Yönergeler için bkz. Tehdit Gezgini'nde özellik filtreleri ve gerçek zamanlı algılamalar.

6. Filtre koşullarını oluşturmayı bitirdiğinizde Yenile'yi seçin.

7. Grafiğin altındaki ayrıntılar alanında Email sekmesinin (görünüm) seçili olduğunu doğrulayın.

   Tehdit Gezgini'ndeki Kimlik Avı görünümünün ayrıntılar alanı ve Gerçek zamanlı algılamalar için Email görünümde açıklandığı gibi girdileri sıralayabilir ve daha fazla sütun gösterebilirsiniz.

   • Tablodaki bir girdinin Konu değerini seçerseniz, e-posta ayrıntıları açılır öğesi açılır. Bu ayrıntılar açılır öğesi Email özet paneli olarak bilinir ve iletinin Email varlık sayfasında da bulunan standart özet bilgilerini içerir.

     Email özet panelindeki bilgiler hakkında ayrıntılı bilgi için bkz. Email özet paneli.

     Tehdit Gezgini ve Gerçek zamanlı algılamalar için Email özet panelinin üst kısmındaki kullanılabilir eylemler hakkında bilgi için, Tüm e-posta görünümünde ayrıntılar alanının Email görünümünden ayrıntıları Email bölümüne bakın (aynı eylemler Kimlik Avı görünümünde de sağlanır).

   • Tablodaki bir girdinin Alıcı değerini seçerseniz, farklı ayrıntılar açılır öğesi açılır. Daha fazla bilgi için Kimlik Avı görünümünde ayrıntılar alanının Email görünümündeki Alıcı ayrıntıları bölümüne bakın.

URL tıklama verilerini dışarı aktarma

URL tıklama trafiğinin nereden geldiğini açıklamaya yardımcı olan Ağ İletisi Kimliği ve Tıklama kararı değerlerini görüntülemek için URL tıklama verilerini CSV dosyasına aktarabilirsiniz.

1. Tehdit Gezgini'ni veya Gerçek zamanlı algılamaları açmak için aşağıdaki adımlardan birini kullanın:

   • Tehdit Gezgini: konumundaki Defender portalında https://security.microsoft.comEmail & Güvenlik>Gezgini'ne gidin. Veya doğrudan Gezgin sayfasına gitmek için kullanın https://security.microsoft.com/threatexplorerv3.
   • Gerçek zamanlı algılamalar: konumundaki Defender portalında https://security.microsoft.comEmail & Güvenlik>Gerçek zamanlı algılamalar bölümüne gidin. Veya doğrudan Gerçek zamanlı algılamalar sayfasına gitmek için kullanın https://security.microsoft.com/realtimereportsv3.

2. Gezgin veya Gerçek zamanlı algılamalar sayfasında Kimlik Avı görünümünü seçin. Kimlik Avı görünümü hakkında daha fazla bilgi için bkz. Tehdit Gezgini'nde Kimlik Avı görünümü ve Gerçek zamanlı algılamalar.

3. Tarih/saat aralığını ve ardından Yenile'yi seçin. Varsayılan değer dün ve bugündür.

4. Ayrıntılar alanında , Üst URL'ler veya Üst tıklamalar sekmesini (görünüm) seçin.

5. Üst URL'ler veya Üst tıklamalar görünümünde, ilk sütunun yanındaki onay kutusunu seçerek tablodan bir veya daha fazla girdi seçin ve ardından Dışarı Aktar'ı seçin. Gezgin>Kimlik avı>Tıklama>En çok kullanılan URL'ler veya URL Üst Tıklamalar> , URL açılır öğesini açmak için herhangi bir kaydı seçer.

Tehdit Gezgini'nde veya Gerçek zamanlı algılamalarda veya dış araçlarda belirli iletileri aramak için Ağ İletisi Kimliği değerini kullanabilirsiniz. Bu aramalar, tıklama sonucuyla ilişkili e-posta iletisini tanımlar. Bağıntılı Ağ İletisi Kimliğinin olması daha hızlı ve daha güçlü bir analiz sağlar.

E-postada algılanan kötü amaçlı yazılımları görüntüleme

Microsoft 365 tarafından e-postada algılanan kötü amaçlı yazılımları görmek için Tehdit Gezgini'nde veya Gerçek zamanlı algılamalarda aşağıdaki adımları kullanın.

1. Tehdit Gezgini'ni veya Gerçek zamanlı algılamaları açmak için aşağıdaki adımlardan birini kullanın:

   • Tehdit Gezgini: konumundaki Defender portalında https://security.microsoft.comEmail & Güvenlik>Gezgini'ne gidin. Veya doğrudan Gezgin sayfasına gitmek için kullanın https://security.microsoft.com/threatexplorerv3.
   • Gerçek zamanlı algılamalar: konumundaki Defender portalında https://security.microsoft.comEmail & Güvenlik>Gerçek zamanlı algılamalar bölümüne gidin. Veya doğrudan Gerçek zamanlı algılamalar sayfasına gitmek için kullanın https://security.microsoft.com/realtimereportsv3.

2. Gezgin veya Gerçek zamanlı algılamalar sayfasında Kötü Amaçlı Yazılım görünümünü seçin. Kimlik Avı görünümü hakkında daha fazla bilgi için bkz. Tehdit Gezgini'nde Kötü Amaçlı Yazılım görünümü ve Gerçek zamanlı algılamalar.

3. Tarih/saat aralığını seçin. Varsayılan değer dün ve bugündür.

4. Gönderen adresi (özellik) kutusunu seçin ve ardından açılan listenin Temel bölümünde Algılama teknolojisi'ni seçin.

   • Filtre işleci olarak Eşittir öğesinin seçildiğini doğrulayın.
   • Özellik değeri kutusunda aşağıdaki değerlerden birini veya daha fazlasını seçin:
     • Kötü amaçlı yazılımdan koruma
     • Dosya patlama
     • Dosya patlatıcının itibarı
     • Dosya saygınlığı
     • Parmak izi eşleştirme

5. Gerektiği gibi diğer filtrelenebilir özellikleri kullanarak daha fazla koşul girin. Yönergeler için bkz. Tehdit Gezgini'nde özellik filtreleri ve gerçek zamanlı algılamalar.

6. Filtre koşullarını oluşturmayı bitirdiğinizde Yenile'yi seçin.

Rapor, seçtiğiniz teknoloji seçeneklerini kullanarak kötü amaçlı yazılımların e-postada algıladığınız sonuçları gösterir. Buradan daha fazla analiz gerçekleştirebilirsiniz.

İletileri temiz olarak bildirme

İletileri Microsoft'a temiz (hatalı pozitifler) olarak bildirmek için Defender portalındaki https://security.microsoft.com/reportsubmissionGönderimler sayfasını kullanabilirsiniz. Ancak Tehdit Gezgini'nde veya Email varlık sayfasında Eylem gerçekleştir'den de iletileri Microsoft'a temiz olarak gönderebilirsiniz.

Yönergeler için bkz . Tehdit avcılığı: Eylem gerçekleştirme sihirbazı.

Özetlemek gerekirse:

• Aşağıdaki yöntemlerden birini kullanarak eylem gerçekleştir'i seçin:

  • Girdilerin onay kutularını seçerek Tüm e-posta, Kötü Amaçlı Yazılım veya Kimlik Avı görünümlerindeki Email sekmesinde (görünüm) ayrıntılar tablosundan bir veya daha fazla ileti seçin.

  Veya

  • Ayrıntılar açılır penceresinde, Konu değerine tıklayarak Tüm e-posta, Kötü Amaçlı Yazılım veya Kimlik Avı görünümlerindeki Email sekmesindeki (görünüm) ayrıntılar tablosundan bir ileti seçin.

• Eylem gerçekleştirme sihirbazında gözden geçirmek> için Microsoft'agönder'i seçin. Temiz olduğunu doğruladım.

Kimlik avı URL'sini görüntüleyin ve karar verilerine tıklayın

Güvenli Bağlantılar koruması izin verilen, engellenen ve geçersiz kılınan URL'leri izler. Güvenli Bağlantılar koruması, önceden ayarlanmış güvenlik ilkelerindeki yerleşik koruma sayesinde varsayılan olarak açıktır. Güvenli Bağlantılar koruması Standart ve Katı önceden ayarlanmış güvenlik ilkelerinde açık. Ayrıca, özel Güvenli Bağlantılar ilkelerinde Güvenli Bağlantılar koruması oluşturabilir ve yapılandırabilirsiniz. Güvenli Bağlantılar ilke ayarları hakkında daha fazla bilgi için bkz. Güvenli Bağlantılar ilke ayarları.

E-posta iletilerinde URL'leri kullanarak kimlik avı girişimlerini görmek için aşağıdaki adımları kullanın.

1. Tehdit Gezgini'ni veya Gerçek zamanlı algılamaları açmak için aşağıdaki adımlardan birini kullanın:

   • Tehdit Gezgini: konumundaki Defender portalında https://security.microsoft.comEmail & Güvenlik>Gezgini'ne gidin. Veya doğrudan Gezgin sayfasına gitmek için kullanın https://security.microsoft.com/threatexplorerv3.
   • Gerçek zamanlı algılamalar: konumundaki Defender portalında https://security.microsoft.comEmail & Güvenlik>Gerçek zamanlı algılamalar bölümüne gidin. Veya doğrudan Gerçek zamanlı algılamalar sayfasına gitmek için kullanın https://security.microsoft.com/realtimereportsv3.

2. Gezgin veya Gerçek zamanlı algılamalar sayfasında Kimlik Avı görünümünü seçin. Kimlik Avı görünümü hakkında daha fazla bilgi için bkz. Tehdit Gezgini'nde Kimlik Avı görünümü ve Gerçek zamanlı algılamalar.

3. Tarih/saat aralığını seçin. Varsayılan değer dün ve bugündür.

4. Gönderen adresi (özellik) kutusunu seçin ve ardından açılan listenin URL'ler bölümünde Karara tıklayın'ı seçin.

   • Filtre işleci olarak Eşittir öğesinin seçildiğini doğrulayın.
   • Özellik değeri kutusunda aşağıdaki değerlerden birini veya daha fazlasını seçin:
     • Engellenmiş
     • Engellendi geçersiz kılındı

   Tıklama kararı değerlerinin açıklamaları için bkz. Tehdit Gezgini'ndeki Tüm e-posta görünümünde Filtrelenebilir özellikler'dekarara tıklayın.

5. Gerektiği gibi diğer filtrelenebilir özellikleri kullanarak daha fazla koşul girin. Yönergeler için bkz. Tehdit Gezgini'nde özellik filtreleri ve gerçek zamanlı algılamalar.

6. Filtre koşullarını oluşturmayı bitirdiğinizde Yenile'yi seçin.

Grafiğin altındaki ayrıntılar alanında yer alan Üst URL'ler sekmesi (görünüm), ilk beş URL için engellenen İletilerin, Gereksiz iletilerin ve Teslim edilen iletilerin sayısını gösterir. Daha fazla bilgi için Tehdit Gezgini'ndeki Kimlik Avı görünümünün ayrıntılar alanı ve Gerçek zamanlı algılamalar için bkz. En iyi URL'ler görünümü.

Grafiğin altındaki ayrıntılar alanında yer alan Üst tıklamalar sekmesi (görünüm), Güvenli Bağlantılar tarafından sarmalanan ilk beş tıklanan bağlantıyı gösterir. Açılmamış bağlantılarda URL tıklamaları burada gösterilmez. Daha fazla bilgi için Tehdit Gezgini'nde Kimlik Avı görünümünün ayrıntılar alanı ve Gerçek zamanlı algılamalar için bkz. En iyi tıklamalar görünümü.

Bu URL tabloları, uyarıya rağmen engellenen veya ziyaret edilen URL'leri gösterir. Bu bilgiler, kullanıcılara sunulan olası hatalı bağlantıları gösterir. Buradan daha fazla analiz gerçekleştirebilirsiniz.

Ayrıntılar için görünümdeki bir girdiden bir URL seçin. Daha fazla bilgi için Bkz. Kimlik Avı görünümündeKi URL'ler ve Üst tıklamalar sekmeleri için URL ayrıntıları.

İpucu

URL ayrıntıları açılır öğesinde, e-posta iletilerindeki filtreleme kaldırılarak URL'nin ortamınızda gösterilmesinin tam görünümü gösterilir. Bu davranış, belirli e-posta iletilerini filtrelemenize, olası tehditler olan belirli URL'leri bulmanıza ve ardından Kimlik Avı görünümüne URL filtreleri eklemek zorunda kalmadan ortamınızda URL'nin açığa çıkma durumunu anlamanızı genişletmenize olanak tanır.

Tıklama kararlarının yorumlanması

Click karar özelliği sonuçları aşağıdaki konumlarda görünür:

• Tüm e-posta görünümünün (yalnızca Tehdit Gezgini) veya Kimlik Avı görünümünün ayrıntılar alanının URL tıklamaları görünümü için karar grafiği özetini tıklatın
• Tehdit Gezgini'nde Tüm e-posta görünümünün ayrıntılar alanı için en iyi tıklamalar görünümü
• Tehdit Gezgini'nde Kimlik Avı görünümünün ayrıntılar alanı ve Gerçek zamanlı algılamalar için en iyi tıklamalar görünümü
• Tehdit Gezgini'nde URL tıklamaları görünümünün ayrıntılar alanı için en iyi tıklamalar görünümü

Karar değerleri aşağıdaki listede açıklanmıştır:

• İzin verildi: Kullanıcının URL'yi açmasına izin verildi.
• Engel geçersiz kılındı: Kullanıcının URL'yi doğrudan açması engellendi, ancak URL'yi açmak için bloğu geçersiz kıldılar.
• Engellendi: Kullanıcının URL'yi açması engellendi.
• Hata: Kullanıcıya hata sayfası gösterildi veya karar yakalanırken bir hata oluştu.
• Hata: Karar yakalanırken bilinmeyen bir özel durum oluştu. Kullanıcı URL'yi açmış olabilir.
• Yok: URL'nin kararı yakalanamıyor. Kullanıcı URL'yi açmış olabilir.
• Bekleyen karar: Kullanıcıya patlama bekleniyor sayfası sunuldu.
• Bekleyen karar atlandı: Kullanıcıya patlama sayfası sunuldu, ancak URL'yi açmak için iletinin üzerine geçtiler.

Tehdit Gezgini'nde otomatik araştırma ve yanıt başlatma

Office 365 için Defender Plan 2'deki otomatik araştırma ve yanıt (AIR), siber saldırıları araştırıp azalttıkça zaman ve çaba tasarrufu sağlayabilir. Güvenlik playbook'larını tetikleyen uyarıları yapılandırabilir ve Tehdit Gezgini'nde AIR'i başlatabilirsiniz. Ayrıntılar için bkz . Örnek: Güvenlik yöneticisi Gezgin'den araştırma tetikler.

Diğer makaleler

Email varlık sayfasıyla e-postayı araştırma