EOP'de kötü amaçlı yazılımdan koruma ilkelerini yapılandırma

• Şunlara uygulanır:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

posta kutuları olmayan Exchange Online veya tek başına Exchange Online Protection (EOP) kuruluşlarında posta kutuları olan Microsoft 365 Exchange Online kuruluşlarında, e-posta iletileri EOP tarafından kötü amaçlı yazılımlara karşı otomatik olarak korunur. EOP, kötü amaçlı yazılımdan koruma ayarları için kötü amaçlı yazılımdan koruma ilkelerini kullanır. Daha fazla bilgi için bkz . Kötü amaçlı yazılımdan koruma.

İpucu

Tüm kullanıcıları açıp Standart ve/veya Katı ön ayarlı güvenlik ilkelerine eklemenizi öneririz. Daha fazla bilgi için bkz. Koruma ilkelerini yapılandırma.

Varsayılan kötü amaçlı yazılımdan koruma ilkesi tüm alıcılar için otomatik olarak geçerlidir. Daha fazla ayrıntı düzeyi için, kuruluşunuzdaki belirli kullanıcılar, gruplar veya etki alanları için geçerli olan özel kötü amaçlı yazılımdan koruma ilkeleri de oluşturabilirsiniz.

Not

Varsayılan kötü amaçlı yazılımdan koruma ilkesi gelen ve giden e-postalar için geçerlidir. Özel kötü amaçlı yazılımdan koruma ilkeleri yalnızca gelen e-postalar için geçerlidir.

Kötü amaçlı yazılımdan koruma ilkelerini Microsoft Defender portalında veya PowerShell'de yapılandırabilirsiniz (Exchange Online posta kutuları olan Microsoft 365 kuruluşları için PowerShell Exchange Online; Exchange Online posta kutusu olmayan kuruluşlar için tek başına EOP PowerShell).

Başlamadan önce bilmeniz gerekenler

• Microsoft Defender portalını adresinde https://security.microsoft.comaçarsınız. Kötü amaçlı yazılımdan koruma sayfasına doğrudan gitmek için kullanınhttps://security.microsoft.com/antimalwarev2.

• Exchange Online PowerShell'e bağlanmak için bkz. Exchange Online PowerShell'e bağlanma. Tek başına EOP PowerShell'e bağlanmak için bkz. Exchange Online Protection PowerShell'e bağlanma.

• Bu makaledeki yordamları gerçekleştirmeden önce size izinler atanmalıdır. Aşağıdaki seçeneklere sahipsiniz:

  • Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC) (PowerShell'i değil yalnızca Defender portalını etkiler): Yetkilendirme ve ayarlar/Güvenlik ayarları/Çekirdek Güvenlik ayarları (yönetme) veya Yetkilendirme ve ayarlar/Güvenlik ayarları/Çekirdek Güvenlik ayarları (okuma).
  • Exchange Online izinleri:
    • İlke ekleme, değiştirme ve silme: Kuruluş Yönetimi veya Güvenlik Yöneticisi rol gruplarında üyelik.
    • İlkelere salt okunur erişim: Genel Okuyucu, Güvenlik Okuyucusu veya Salt Görüntüleme Kuruluş Yönetimi rol gruplarındaki üyelik.
  • Microsoft Entra izinleri: Genel Yönetici, Güvenlik Yöneticisi, Genel Okuyucu veya Güvenlik Okuyucusu rollerindeki üyelik, kullanıcılara Microsoft 365'teki diğer özellikler için gerekli izinleri ve izinleri verir.

• Kötü amaçlı yazılımdan koruma ilkeleri için önerilen ayarlarımız için bkz. EOP kötü amaçlı yazılımdan koruma ilkesi ayarları.

  İpucu

  Varsayılan veya özel kötü amaçlı yazılımdan koruma ilkelerindeki ayarlar, alıcı Standart veya Katı ön ayarlı güvenlik ilkelerine de dahil edilirse yoksayılır. Daha fazla bilgi için bkz . E-posta korumasının sırası ve önceliği.

Kötü amaçlı yazılımdan koruma ilkeleri oluşturmak için Microsoft Defender portalını kullanma

1. konumundaki Microsoft Defender portalındahttps://security.microsoft.com, İlkeler bölümündeEmail & İşbirliği>İlkeleri & Kurallar>Tehdit tehdit ilkeleri>Kötü Amaçlı Yazılımdan Koruma'ya gidin. Kötü amaçlı yazılımdan koruma sayfasına doğrudan gitmek için kullanınhttps://security.microsoft.com/antimalwarev2.

2. Kötü amaçlı yazılımdan koruma sayfasında İçerik Oluşturucu'ı seçerek yeni kötü amaçlı yazılımdan koruma ilkesi sihirbazını açın.

3. İlkenizi adlandırın sayfasında şu ayarları yapılandırın:

   • Ad: İlke için benzersiz, açıklayıcı bir ad girin.
   • Açıklama: İlke için isteğe bağlı bir açıklama girin.

   İlkenizi adlandırın sayfasında işiniz bittiğinde İleri'yi seçin.

4. Kullanıcılar ve etki alanları sayfasında, ilkenin geçerli olduğu iç alıcıları tanımlayın (alıcı koşulları):

   • Kullanıcılar: Belirtilen posta kutuları, posta kullanıcıları veya posta kişileri.
   • Gruplar:
     • Belirtilen dağıtım gruplarının veya posta etkin güvenlik gruplarının üyeleri (dinamik dağıtım grupları desteklenmez).
     • Belirtilen Microsoft 365 Grupları.
   • Etki alanları: Belirtilen kabul edilen etki alanında birincil e-posta adresi olan kuruluştaki tüm alıcılar.

   Uygun kutuya tıklayın, bir değer yazmaya başlayın ve sonuçlardan istediğiniz değeri seçin. Bu işlemi gerektiği kadar tekrarlayın. Mevcut bir değeri kaldırmak için değerin yanındaki öğesini seçin .

   Kullanıcılar veya gruplar için çoğu tanımlayıcıyı (ad, görünen ad, diğer ad, e-posta adresi, hesap adı vb.) kullanabilirsiniz, ancak sonuçlarda ilgili görünen ad gösterilir. Kullanıcılar veya gruplar için, tüm kullanılabilir değerleri görmek için tek başına bir yıldız (*) girin.

   Koşulu yalnızca bir kez kullanabilirsiniz, ancak koşul birden çok değer içerebilir:

   • Aynı koşulun birden çok değeri OR mantığını kullanır (örneğin, <alıcı1> veya <alıcı2>). Alıcı belirtilen değerlerden herhangi biri ile eşleşiyorsa, ilke bu değerlere uygulanır.

   • Farklı koşul türleri AND mantığı kullanır. İlkenin bu ilkeye uygulanabilmesi için alıcının belirtilen tüm koşullarla eşleşmesi gerekir. Örneğin, aşağıdaki değerlerle bir koşul yapılandırabilirsiniz:

     • Kullanıcı: romain@contoso.com
     • Gruplar: Yöneticiler

     İlke romain@contoso.com, yalnızca Yöneticiler grubunun da üyesiyse uygulanır. Aksi takdirde ilke ona uygulanmaz.

   • Bu kullanıcıları, grupları ve etki alanlarını dışlayın: İlkenin geçerli olduğu iç alıcılara özel durumlar eklemek için (alıcı özel durumları), bu seçeneği belirleyin ve özel durumları yapılandırın.

     Özel durumu yalnızca bir kez kullanabilirsiniz, ancak özel durum birden çok değer içerebilir:

     • Aynı özel durumun birden çok değeri OR mantığını kullanır (örneğin, <alıcı1> veya <alıcı2>). Alıcı belirtilen değerlerden herhangi biri ile eşleşiyorsa, ilke bu değerlere uygulanmaz.
     • Farklı özel durum türleri OR mantığını kullanır (örneğin, <alıcı1 veya grup1> üyesi ya da <etki alanı1>>üyesi).< Alıcı belirtilen özel durum değerlerinden herhangi birini eşleştirirse, ilke bu değerlere uygulanmaz.

   Kullanıcılar ve etki alanları sayfasında işiniz bittiğinde İleri'yi seçin.

5. Koruma ayarları sayfasında aşağıdaki ayarları yapılandırın:

   • Koruma ayarları bölümü:

     • Ortak ekler filtresini etkinleştirin: Bu seçeneği kullanırsanız, belirtilen eklere sahip iletiler kötü amaçlı yazılım olarak değerlendirilir ve otomatik olarak karantinaya alınır. Dosya türlerini özelleştir'e tıklayıp listedeki değerleri seçerek veya seçimini kaldırarak listeyi değiştirebilirsiniz.

       Varsayılan ve kullanılabilir değerler için bkz. Kötü amaçlı yazılımdan koruma ilkelerinde yaygın ekler filtresi.

       Bu türler bulunduğunda: Aşağıdaki değerlerden birini seçin:

       • İletiyi teslim edilmedi raporuyla (NDR) reddet ( bu varsayılan değerdir)
       • İletiyi karantinaya al

     • Kötü amaçlı yazılımlar için sıfır saatlik otomatik temizlemeyi etkinleştirin: Bu seçeneği seçerseniz, ZAP zaten teslim edilmiş kötü amaçlı yazılım iletilerini karantinaya alır. Daha fazla bilgi için bkz. Kötü amaçlı yazılım için sıfır saatlik otomatik temizleme (ZAP).

     • Karantina ilkesi: Kötü amaçlı yazılım olarak karantinaya alınan iletilere uygulanan karantina ilkesini seçin. Varsayılan olarak, kötü amaçlı yazılım algılamaları için AdminOnlyAccessPolicy adlı karantina ilkesi kullanılır. Bu karantina ilkesi hakkında daha fazla bilgi için bkz . Karantina ilkesinin anatomisi.

       İpucu

       Karantina bildirimleri AdminOnlyAccessPolicy adlı ilkede devre dışı bırakılır. İletileri kötü amaçlı yazılım olarak karantinaya alan alıcıları bilgilendirmek için, karantina bildirimlerinin açık olduğu mevcut bir karantina ilkesi oluşturun veya kullanın. Yönergeler için bkz. Microsoft Defender portalında karantina ilkelerini İçerik Oluşturucu.

       Kullanıcılar, karantina ilkesinin nasıl yapılandırıldığına bakılmaksızın kötü amaçlı yazılımdan koruma ilkeleri tarafından kötü amaçlı yazılım olarak karantinaya alınan kendi iletilerini yayınlayamaz. İlke kullanıcıların kendi karantinaya alınan iletilerini yayınlamasına izin veriyorsa, kullanıcıların karantinaya alınan kötü amaçlı yazılım iletilerinin yayınlanmasını istemesine izin verilir.

   • Bildirimler bölümü:

     • Yönetici bildirimleri bölümü: Aşağıdaki seçeneklerden hiçbirini, birini veya ikisini birden seçin:

       • İç gönderenlerden gelen teslim edilmemiş iletileri yöneticiye bildirin: Bu seçeneği belirlerseniz, görüntülenen Yönetici e-posta adresi kutusuna bir alıcı e-posta adresi girin.
       • Dış gönderenlerden gelen teslim edilmemiş iletiler hakkında yöneticiyi bilgilendirin: Bu seçeneği belirlerseniz, görüntülenen Yönetici e-posta adresi kutusuna bir alıcı e-posta adresi girin.

       İpucu

       Yönetici bildirimleri yalnızca kötü amaçlı yazılım olarak sınıflandırılan ekler için gönderilir.

       Kötü amaçlı yazılımdan koruma ilkesine atanan karantina ilkesi, alıcıların kötü amaçlı yazılım olarak karantinaya alınan iletiler için e-posta bildirimleri alıp almadığını belirler.

     • Bildirimleri özelleştirme bölümü: Yönetici bildirimleri için kullanılan ileti özelliklerini özelleştirmek için bu bölümdeki ayarları kullanın.

       • Özelleştirilmiş bildirim metnini kullan: Bu seçeneği belirlerseniz, yönetici bildirim iletileri için gönderenin adını ve e-posta adresini belirtmek üzere görünen Kimden adı ve Kimden adresi kutularını kullanın.

       • İç gönderenlerden gelen iletiler için bildirimleri özelleştirme bölümü: Daha önce İç gönderenlerden teslim edilmemiş iletiler hakkında yöneticiye bildir'i seçtiyseniz, yönetici bildirim iletilerinin konusunu ve ileti gövdesini belirtmek için bu bölümde görüntülenen Konu ve İleti kutularını kullanın.

       • Dış gönderenlerden gelen iletiler için bildirimleri özelleştirme bölümü: Daha önce Yöneticiye dış gönderenlerden gelen teslim edilmemiş iletiler hakkında bilgi ver'i seçtiyseniz, yönetici bildirim iletilerinin konusunu ve ileti gövdesini belirtmek için bu bölümde görüntülenen Konu ve İleti kutularını kullanın.

   Koruma ayarları sayfasında işiniz bittiğinde İleri'yi seçin.

6. Gözden Geçir sayfasında ayarlarınızı gözden geçirin. Bölümün içindeki ayarları değiştirmek için her bölümde Düzenle'yi seçebilirsiniz. Alternatif olarak Geri'yi veya sihirbazdaki belirli bir sayfayı seçebilirsiniz.

   Gözden Geçir sayfasında işiniz bittiğinde Gönder'i seçin.

7. Yeni kötü amaçlı yazılımdan koruma ilkesi oluşturuldu sayfasında, ilkeyi görüntülemek, kötü amaçlı yazılımdan koruma ilkelerini görüntülemek ve kötü amaçlı yazılımdan koruma ilkeleri hakkında daha fazla bilgi edinmek için bağlantıları seçebilirsiniz.

   Yeni kötü amaçlı yazılımdan koruma ilkesi oluşturuldu sayfasında işiniz bittiğinde Bitti'yi seçin.

   Kötü amaçlı yazılımdan koruma sayfasına geri döndüğünüzde yeni ilke listelenir.

Kötü amaçlı yazılımdan koruma ilkesi ayrıntılarını görüntülemek için Microsoft Defender portalını kullanma

konumundaki Microsoft Defender portalındahttps://security.microsoft.com, İlkeler bölümündeEmail & İşbirliği>İlkeleri & Kurallar>Tehdit tehdit ilkeleri>Kötü Amaçlı Yazılımdan Koruma'ya gidin. Ya da doğrudan Kötü amaçlı yazılımdan koruma sayfasına gitmek için kullanın https://security.microsoft.com/antimalwarev2.

Kötü amaçlı yazılımdan koruma sayfasında, kötü amaçlı yazılımdan koruma ilkeleri listesinde aşağıdaki özellikler görüntülenir:

• Ad
• Durum: Değerler şunlardır:
  • Varsayılan kötü amaçlı yazılımdan koruma ilkesi için her zaman açık.
  • Diğer kötü amaçlı yazılımdan koruma ilkeleri için Açık veya Kapalı.
• Öncelik: Daha fazla bilgi için Özel kötü amaçlı yazılımdan koruma ilkelerinin önceliğini ayarlama bölümüne bakın.

İlke listesini normalden sıkıştırma aralığına değiştirmek için Liste aralığını sıkıştır veya normal olarak değiştir'i ve ardından Listeyi sıkıştır'ı seçin.

Belirli kötü amaçlı yazılımdan koruma ilkelerini bulmak için Arama kutusunu ve ilgili değeri kullanın.

İlke listesini bir CSV dosyasına aktarmak için Dışarı Aktar'ı kullanın.

İlkenin ayrıntılar açılır öğesini açmak için adın yanındaki onay kutusunun dışındaki bir satıra tıklayarak bir ilke seçin.

İpucu

Ayrıntılar açılır öğesinden çıkmadan diğer kötü amaçlı yazılımdan koruma ilkeleriyle ilgili ayrıntıları görmek için açılır öğenin üst kısmındaki Önceki öğe ve Sonraki öğe'yi kullanın.

Kötü amaçlı yazılımdan koruma ilkeleri üzerinde işlem yapmak için Microsoft Defender portalını kullanma

konumundaki Microsoft Defender portalındahttps://security.microsoft.com, İlkeler bölümündeEmail & İşbirliği>İlkeleri & Kurallar>Tehdit tehdit ilkeleri>Kötü Amaçlı Yazılımdan Koruma'ya gidin. Kötü amaçlı yazılımdan koruma sayfasına doğrudan gitmek için kullanınhttps://security.microsoft.com/antimalwarev2.

Kötü amaçlı yazılımdan koruma sayfasında, aşağıdaki yöntemlerden birini kullanarak kötü amaçlı yazılımdan koruma ilkesini seçin:

• Adın yanındaki onay kutusunu seçerek listeden ilkeyi seçin. Aşağıdaki eylemler, görüntülenen Diğer eylemler açılan listesinde bulunur:

  • Seçili ilkeleri etkinleştirin.
  • Seçili ilkeleri devre dışı bırakın.
  • Seçili ilkeleri silin.

  

• Listeden ilkeyi seçmek için, satırda adın yanındaki onay kutusundan başka bir yere tıklayın. Aşağıdaki eylemlerin bazıları veya tümü açılan ayrıntılar açılır öğesinde kullanılabilir:

  • Her bölümde Düzenle'ye tıklayarak ilke ayarlarını değiştirme (özel ilkeler veya varsayılan ilke)
  • Açma veya Kapatma (yalnızca özel ilkeler)
  • Önceliği artırma veya Önceliği azaltma (yalnızca özel ilkeler)
  • İlkeyi silme (yalnızca özel ilkeler)

  

Eylemler aşağıdaki alt bölümlerde açıklanmıştır.

Kötü amaçlı yazılımdan koruma ilkelerini değiştirmek için Microsoft Defender portalını kullanma

Varsayılan kötü amaçlı yazılımdan koruma ilkesini veya özel ilkeyi seçtikten sonra, satırda adın yanındaki onay kutusunun dışında herhangi bir yere tıkladıktan sonra, ilke ayarları açılan ayrıntılar açılır penceresinde gösterilir. Bölümün içindeki ayarları değiştirmek için her bölümde Düzenle'yi seçin. Ayarlar hakkında daha fazla bilgi için bu makalenin başlarındaki İçerik Oluşturucu kötü amaçlı yazılımdan koruma ilkeleri bölümüne bakın.

Varsayılan ilke için, ilkenin adını değiştiremezsiniz ve yapılandıracak alıcı filtresi yoktur (ilke tüm alıcılar için geçerlidir). Ancak ilkedeki diğer tüm ayarları değiştirebilirsiniz.

Önceden ayarlanmış güvenlik ilkeleriyle ilişkili Standart Ön Ayarlı Güvenlik İlkesi ve Katı Önceden Ayarlanmış Güvenlik İlkesi adlı kötü amaçlı yazılımdan koruma ilkeleri için, ayrıntılar açılır öğesinde ilke ayarlarını değiştiremezsiniz. Bunun yerine, ayrıntılar açılır öğesinde Önceden ayarlanmış güvenlik ilkelerini görüntüle'yi seçerek önceden belirlenmiş güvenlik ilkelerini değiştirmek için konumundakihttps://security.microsoft.com/presetSecurityPolicies Önceden ayarlanmış güvenlik ilkeleri sayfasına gidin.

Özel kötü amaçlı yazılımdan koruma ilkelerini etkinleştirmek veya devre dışı bırakmak için Microsoft Defender portalını kullanma

Varsayılan kötü amaçlı yazılımdan koruma ilkesini devre dışı bırakamazsınız (her zaman etkindir).

Standart ve Katı önceden ayarlanmış güvenlik ilkeleriyle ilişkili kötü amaçlı yazılımdan koruma ilkelerini etkinleştiremez veya devre dışı bırakamazsınız. Üzerindeki Önceden ayarlanmış güvenlik ilkeleri sayfasında https://security.microsoft.com/presetSecurityPoliciesStandart veya Katı önceden ayarlanmış güvenlik ilkelerini etkinleştirir veya devre dışı bırakırsınız.

Etkin bir özel kötü amaçlı yazılımdan koruma ilkesi seçtikten sonra ( Durum değeri Açık), devre dışı bırakmak için aşağıdaki yöntemlerden birini kullanın:

• Kötü amaçlı yazılımdan koruma sayfasında: Diğer eylemler>Seçili ilkeleri devre dışı bırak'ı seçin.
• İlkenin ayrıntılar açılır öğesinde: Açılır listenin üst kısmındaki Kapat'ı seçin.

Devre dışı bırakılmış bir özel kötü amaçlı yazılımdan koruma ilkesi seçtikten sonra ( Durum değeri Kapalı), etkinleştirmek için aşağıdaki yöntemlerden birini kullanın:

• Kötü amaçlı yazılımdan koruma sayfasında: Diğer eylemler>Seçili ilkeleri etkinleştir'i seçin.
• İlkenin ayrıntılar açılır öğesinde: Açılır listenin üst kısmındaki Aç'ı seçin.

Kötü amaçlı yazılımdan koruma sayfasında, ilkenin Durum değeri artık Açık veya Kapalı durumdadır.

Özel kötü amaçlı yazılımdan koruma ilkelerinin önceliğini ayarlamak için Microsoft Defender portalını kullanma

Kötü amaçlı yazılımdan koruma ilkeleri, kötü amaçlı yazılımdan koruma sayfasında görüntülendikleri sırayla işlenir:

• Katı ön ayarlı güvenlik ilkesiyle ilişkili Katı Ön Ayarlı Güvenlik İlkesi adlı kötü amaçlı yazılımdan koruma ilkesi her zaman önce uygulanır (Katı ön ayarlı güvenlik ilkesi etkinse).
• Standart ön ayarlı güvenlik ilkesiyle ilişkili Standart Önceden Ayarlanmış Güvenlik İlkesi adlı kötü amaçlı yazılımdan koruma ilkesi her zaman uygulanır (Standart ön ayarlı güvenlik ilkesi etkinse).
• Özel kötü amaçlı yazılımdan koruma ilkeleri öncelik sırasına göre uygulanır (etkinse):
  • Düşük öncelik değeri daha yüksek bir önceliğe işaret eder (en yüksek öncelik 0'dır).
  • Varsayılan olarak, var olan en düşük özel ilkeden daha düşük bir önceliğe sahip yeni bir ilke oluşturulur (birincisi 0, sonraki 1 vb.).
  • Hiçbir iki ilke aynı öncelik değerine sahip olamaz.
• Varsayılan kötü amaçlı yazılımdan koruma ilkesi her zaman En Düşük öncelik değerine sahiptir ve bunu değiştiremezsiniz.

İlk ilke uygulandıktan sonra bir alıcı için kötü amaçlı yazılımdan koruma durdurulur (bu alıcı için en yüksek öncelikli ilke). Daha fazla bilgi için bkz . E-posta korumasının sırası ve önceliği.

Özel kötü amaçlı yazılımdan koruma ilkesini, adın yanındaki onay kutusunun dışındaki bir satıra tıklayarak seçtikten sonra, açılan ayrıntılar açılır penceresinde ilkenin önceliğini artırabilir veya azaltabilirsiniz:

• Kötü amaçlı yazılımdan koruma sayfasında Öncelik değeri 0 olan özel ilke, ayrıntılar açılır öğesinin en üstünde Önceliği azalt eylemine sahiptir.
• En düşük önceliğe sahip özel ilke (en yüksek Öncelik değeri; örneğin, 3), ayrıntılar açılır öğesinin en üstünde Önceliği artır eylemine sahiptir.
• Üç veya daha fazla ilkeniz varsa, Öncelik 0 ile en düşük öncelik arasındaki ilkeler, ayrıntılar açılır öğesinin en üstündeki Önceliği artır ve Önceliği azalt eylemlerine sahiptir.

İlke ayrıntıları açılır öğesinde işiniz bittiğinde Kapat'ı seçin.

Kötü amaçlı yazılımdan koruma sayfasına döndüğünüzde, ilkenin listedeki sırası güncelleştirilmiş Öncelik değeriyle eşleşir.

Özel kötü amaçlı yazılımdan koruma ilkelerini kaldırmak için Microsoft Defender portalını kullanma

Varsayılan kötü amaçlı yazılımdan koruma ilkesini veya önceden ayarlanmış güvenlik ilkeleriyle ilişkilendirilmiş Standart Önceden Ayarlanmış Güvenlik İlkesi ve Katı Önceden Ayarlanmış Güvenlik İlkesi adlı kötü amaçlı yazılımdan koruma ilkelerini kaldıramazsınız.

Özel kötü amaçlı yazılımdan koruma ilkesini seçtikten sonra kaldırmak için aşağıdaki yöntemlerden birini kullanın:

• Kötü amaçlı yazılımdan koruma sayfasında: Diğer eylemler>Seçili ilkeleri sil'i seçin.
• İlkenin ayrıntılar açılır öğesinde: Açılır listenin üst kısmındaki İlkeyi sil'i seçin.

Açılan uyarı iletişim kutusunda Evet'i seçin.

Kötü amaçlı yazılımdan koruma sayfasında silinen ilke artık listelenmez.

Kötü amaçlı yazılımdan koruma ilkelerini yapılandırmak için Exchange Online PowerShell veya tek başına EOP PowerShell kullanma

PowerShell'de kötü amaçlı yazılımdan koruma ilkesinin temel öğeleri şunlardır:

• Kötü amaçlı yazılım filtresi ilkesi: Alıcı bildirimini, gönderen ve yönetici bildirimini, ZAP'ı ve ortak ekler filtre ayarlarını belirtir.
• Kötü amaçlı yazılım filtresi kuralı: Bir kötü amaçlı yazılım filtresi ilkesi için öncelik ve alıcı filtrelerini (ilkenin uygulandığı kişiler) belirtir.

Microsoft Defender portalında kötü amaçlı yazılımdan koruma ilkelerini yönetirken bu iki öğe arasındaki fark belirgin değildir:

• Defender portalında kötü amaçlı yazılımdan koruma ilkesi oluşturduğunuzda, her ikisi için de aynı adı kullanarak bir kötü amaçlı yazılım filtresi kuralı ve ilişkili kötü amaçlı yazılım filtresi ilkesini aynı anda oluşturursunuz.
• Defender portalında bir kötü amaçlı yazılımdan koruma ilkesini değiştirdiğinizde ad, öncelik, etkin veya devre dışı ile ilgili ayarlar ve alıcı filtreleri kötü amaçlı yazılım filtresi kuralını değiştirir. Diğer ayarlar (alıcı bildirimi, gönderen ve yönetici bildirimi, ZAP ve ortak ekler filtresi) ilişkili kötü amaçlı yazılım filtresi ilkesini değiştirir.
• Defender portalından bir kötü amaçlı yazılımdan koruma ilkesini kaldırdığınızda, kötü amaçlı yazılım filtresi kuralı ve ilişkili kötü amaçlı yazılım filtresi ilkesi aynı anda kaldırılır.

Exchange Online PowerShell veya tek başına EOP PowerShell'de, kötü amaçlı yazılım filtresi ilkeleriyle kötü amaçlı yazılım filtresi kuralları arasındaki fark belirgindir. *-MalwareFilterPolicy cmdlet'lerini kullanarak kötü amaçlı yazılım filtresi ilkelerini yönetirsiniz ve *-MalwareFilterRule cmdlet'lerini kullanarak kötü amaçlı yazılım filtresi kurallarını yönetirsiniz.

• PowerShell'de, önce kötü amaçlı yazılım filtresi ilkesini oluşturursunuz, ardından kuralın geçerli olduğu ilkeyi tanımlayan kötü amaçlı yazılım filtresi kuralını oluşturursunuz.
• PowerShell'de, kötü amaçlı yazılım filtresi ilkesindeki ayarları ve kötü amaçlı yazılım filtresi kuralını ayrı ayrı değiştirirsiniz.
• PowerShell'den bir kötü amaçlı yazılım filtresi ilkesini kaldırdığınızda, ilgili kötü amaçlı yazılım filtresi kuralı otomatik olarak kaldırılmaz ve tam tersi de geçerlidir.

Kötü amaçlı yazılımdan koruma ilkeleri oluşturmak için PowerShell kullanma

PowerShell'de kötü amaçlı yazılımdan koruma ilkesi oluşturmak iki adımlı bir işlemdir:

1. Kötü amaçlı yazılım filtresi ilkesini İçerik Oluşturucu.
2. Kuralın uygulandığı kötü amaçlı yazılım filtresi ilkesini belirten kötü amaçlı yazılım filtresi kuralını İçerik Oluşturucu.

Notlar:

• Yeni bir kötü amaçlı yazılım filtresi kuralı oluşturabilir ve mevcut, ilişkilendirilmemiş bir kötü amaçlı yazılım filtresi ilkesini atayabilirsiniz. Kötü amaçlı yazılım filtresi kuralı birden fazla kötü amaçlı yazılım filtresi ilkesiyle ilişkilendirilemiyor.
• powershell'deki yeni kötü amaçlı yazılımdan koruma ilkelerinde yapılandırabileceğiniz ve ilkeyi oluşturana kadar Microsoft Defender portalında bulunmayan iki ayar vardır:
  • Yeni ilkeyi devre dışı olarak İçerik Oluşturucu (New-MalwareFilterRule cmdlet'inde etkindir$false).
  • New-MalwareFilterRule cmdlet'inde oluşturma sırasında ilkenin önceliğini ayarlayın (Öncelik <Numarası>).
• PowerShell'de oluşturduğunuz yeni bir kötü amaçlı yazılım filtresi ilkesi, ilkeyi bir kötü amaçlı yazılım filtresi kuralına atayana kadar Microsoft Defender portalında görünmez.

1. Adım: Kötü amaçlı yazılım filtresi ilkesi oluşturmak için PowerShell kullanma

Kötü amaçlı yazılım filtresi ilkesi oluşturmak için şu söz dizimlerini kullanın:

New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-EnableFileFilter <$true | $false>] [-FileTypeAction <Reject | Quarantine>] [-FileTypes FileType1,FileType2,...FileTypeN] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>]  [-QuarantineTag <QuarantineTagName>]

Bu örnek, şu ayarlarla Contoso Kötü Amaçlı Yazılım Filtresi İlkesi adlı yeni bir kötü amaçlı yazılım filtresi ilkesi oluşturur:

• İç gönderenden gelen bir iletide kötü amaçlı yazılım algılandığında bunu bildirin admin@contoso.com .
• Ortak ekler filtresi etkinleştirilir (-EnableFileFilter $true) ve varsayılan dosya türleri listesi kullanılır ( FileTypes parametresini kullanmıyoruz).
• Ortak ekler filtresi tarafından algılanan iletiler ndr ile reddedilir ( FileTypeAction parametresini kullanmıyoruz ve varsayılan değerdir Reject).
• Kötü amaçlı yazılım algılamaları için varsayılan karantina ilkesi kullanılır ( QuarantineTag parametresini kullanmıyoruz).

New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableFileFilter $true -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. New-MalwareFilterPolicy.

2. Adım: Kötü amaçlı yazılım filtresi kuralı oluşturmak için PowerShell kullanma

Kötü amaçlı yazılım filtresi kuralı oluşturmak için şu söz dizimlerini kullanın:

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Bu örnek, şu ayarlarla Contoso Alıcıları adlı yeni bir kötü amaçlı yazılım filtresi kuralı oluşturur:

• Contoso Kötü Amaçlı Yazılım Filtresi İlkesi adlı kötü amaçlı yazılım filtresi ilkesi kuralla ilişkilendirilir.
• Kural, contoso.com etki alanındaki alıcılar için geçerlidir.

New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. New-MalwareFilterRule.

Kötü amaçlı yazılım filtresi ilkelerini görüntülemek için PowerShell kullanma

Tüm kötü amaçlı yazılım filtresi ilkelerinin özet listesini döndürmek için şu komutu çalıştırın:

Get-MalwareFilterPolicy

Belirli bir kötü amaçlı yazılım filtresi ilkesi hakkında ayrıntılı bilgi döndürmek için şu sözdizimini kullanın:

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

Bu örnek, Yöneticiler adlı kötü amaçlı yazılım filtresi ilkesinin tüm özellik değerlerini döndürür.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

Bu örnek, aynı ilke için yalnızca belirtilen özellikleri döndürür.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Get-MalwareFilterPolicy.

Kötü amaçlı yazılım filtresi kurallarını görüntülemek için PowerShell kullanma

Tüm kötü amaçlı yazılım filtresi kurallarının özet listesini döndürmek için şu komutu çalıştırın:

Get-MalwareFilterRule

Listeyi etkin veya devre dışı kurallara göre filtrelemek için aşağıdaki komutları çalıştırın:

Get-MalwareFilterRule -State Disabled

Get-MalwareFilterRule -State Enabled

Belirli bir kötü amaçlı yazılım filtresi kuralı hakkında ayrıntılı bilgi döndürmek için şu söz dizimlerini kullanın:

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

Bu örnek, Yöneticiler adlı kötü amaçlı yazılım filtresi kuralının tüm özellik değerlerini döndürür.

Get-MalwareFilterRule -Identity "Executives" | Format-List

Bu örnek yalnızca aynı kural için belirtilen özellikleri döndürür.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Get-MalwareFilterRule.

Kötü amaçlı yazılım filtresi ilkelerini değiştirmek için PowerShell kullanma

Aşağıdaki öğeler dışında, PowerShell'de bir kötü amaçlı yazılım filtresi ilkesini değiştirdiğinizde, ilkeyi 1. Adım: PowerShell kullanarak bu makalenin önceki bölümlerinde açıklanan kötü amaçlı yazılım filtresi ilkesi oluşturma bölümünde açıklandığı gibi aynı ayarlar kullanılabilir.

• Belirtilen ilkeyi varsayılan ilkeye dönüştüren MakeDefault anahtarı (herkese uygulanır, değiştirilemez En düşük öncelik ve bunu silemezsiniz) yalnızca PowerShell'de kötü amaçlı yazılım filtresi ilkesini değiştirdiğinizde kullanılabilir.
• Kötü amaçlı yazılım filtresi ilkesini yeniden adlandıramazsınız ( Set-MalwareFilterPolicy cmdlet'inde Name parametresi yoktur). Microsoft Defender portalında kötü amaçlı yazılımdan koruma ilkesini yeniden adlandırdığınızda, yalnızca kötü amaçlı yazılım filtresi kuralını yeniden adlandırırsınız.

Kötü amaçlı yazılım filtresi ilkesini değiştirmek için şu söz dizimlerini kullanın:

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Set-MalwareFilterPolicy.

İpucu

Kötü amaçlı yazılım filtresi ilkesinde kullanılacak karantina ilkesini belirtmeye yönelik ayrıntılı yönergeler için bkz. Kötü amaçlı yazılımdan koruma ilkelerinde karantina ilkesini belirtmek için PowerShell kullanma.

Kötü amaçlı yazılım filtresi kurallarını değiştirmek için PowerShell kullanma

PowerShell'de kötü amaçlı yazılım filtresi kuralını değiştirdiğinizde kullanılamayabilecek tek ayar, devre dışı bırakılmış bir kural oluşturmanıza olanak tanıyan Enabled parametresidir. Mevcut kötü amaçlı yazılım filtresi kurallarını etkinleştirmek veya devre dışı bırakmak için sonraki bölüme bakın.

Aksi takdirde, PowerShell'de bir kötü amaçlı yazılım filtresi kuralını değiştirdiğinizde ek ayar kullanılamaz. Bu makalenin önceki bölümlerinde yer alan 2. Adım: PowerShell kullanarak kötü amaçlı yazılım filtresi kuralı oluşturma bölümünde açıklandığı gibi bir kural oluşturduğunuzda da aynı ayarlar kullanılabilir.

Kötü amaçlı yazılım filtresi kuralını değiştirmek için şu söz dizimlerini kullanın:

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Set-MalwareFilterRule.

Kötü amaçlı yazılım filtresi kurallarını etkinleştirmek veya devre dışı bırakmak için PowerShell kullanma

PowerShell'de bir kötü amaçlı yazılım filtresi kuralının etkinleştirilmesi veya devre dışı bırakılması, kötü amaçlı yazılımdan koruma ilkesinin tamamını (kötü amaçlı yazılım filtresi kuralı ve atanan kötü amaçlı yazılım filtresi ilkesi) etkinleştirir veya devre dışı bırakır. Varsayılan kötü amaçlı yazılımdan koruma ilkesini etkinleştiremez veya devre dışı bırakamazsınız (her zaman tüm alıcılara uygulanır).

PowerShell'de kötü amaçlı yazılım filtresi kuralını etkinleştirmek veya devre dışı bırakmak için şu sözdizimini kullanın:

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

Bu örnek, Pazarlama Departmanı adlı kötü amaçlı yazılım filtresi kuralını devre dışı bırakır.

Disable-MalwareFilterRule -Identity "Marketing Department"

Bu örnek aynı kuralı etkinleştirir.

Enable-MalwareFilterRule -Identity "Marketing Department"

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Enable-MalwareFilterRule ve Disable-MalwareFilterRule.

Kötü amaçlı yazılım filtresi kurallarının önceliğini ayarlamak için PowerShell kullanma

Bir kuralda ayarlayabileceğiniz en yüksek öncelik değeri 0'dır. Ayarlayabileceğiniz en düşük değer, kural sayısına bağlıdır. Örneğin, beş kuralınız varsa, 0 ile 4 arasında öncelik değerlerini kullanabilirsiniz. Mevcut bir kuralın önceliğini değiştirmek, diğer kurallar üzerinde basamaklı bir etkiye sahip olabilir. Örneğin, beş özel kuralınız (öncelik 0 ile 4 arasında) varsa ve bir kuralın önceliğini 2 olarak değiştirirseniz, 2 önceliği olan mevcut kural öncelik 3 olarak değiştirilir ve öncelik 3 olan kural öncelik 4 olarak değiştirilir.

PowerShell'de kötü amaçlı yazılım filtresi kuralının önceliğini ayarlamak için aşağıdaki söz dizimini kullanın:

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

Bu örnek, Pazarlama Departmanı adlı kuralın önceliğini 2 olarak ayarlar. Önceliğe 2'den küçük veya 2'ye eşit olan tüm mevcut kurallar 1 azaltılır (öncelik sayıları 1 artırılır).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

İpucu

Yeni kuralı oluştururken önceliği ayarlamak için, bunun yerine New-MalwareFilterRule cmdlet'indeki Priority parametresini kullanın.

Varsayılan kötü amaçlı yazılım filtresi ilkesinin karşılık gelen bir kötü amaçlı yazılım filtresi kuralı yoktur ve her zaman değiştirilemez öncelik değeri En Düşük'e sahiptir.

Kötü amaçlı yazılım filtresi ilkelerini kaldırmak için PowerShell kullanma

Bir kötü amaçlı yazılım filtresi ilkesini kaldırmak için PowerShell kullandığınızda, ilgili kötü amaçlı yazılım filtresi kuralı kaldırılmaz.

PowerShell'de kötü amaçlı yazılım filtresi ilkesini kaldırmak için şu sözdizimini kullanın:

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

Bu örnek, Pazarlama Departmanı adlı kötü amaçlı yazılım filtresi ilkesini kaldırır.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Remove-MalwareFilterPolicy.

Kötü amaçlı yazılım filtresi kurallarını kaldırmak için PowerShell kullanma

Kötü amaçlı yazılım filtresi kuralını kaldırmak için PowerShell kullandığınızda ilgili kötü amaçlı yazılım filtresi ilkesi kaldırılmaz.

PowerShell'de kötü amaçlı yazılım filtresi kuralını kaldırmak için şu sözdizimini kullanın:

Remove-MalwareFilterRule -Identity "<PolicyName>"

Bu örnek, Pazarlama Departmanı adlı kötü amaçlı yazılım filtresi kuralını kaldırır.

Remove-MalwareFilterRule -Identity "Marketing Department"

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Remove-MalwareFilterRule.

Bu yordamların işe yaramış olduğunu nasıl anlarsınız?

Kötü amaçlı yazılımdan koruma ilkesi ayarlarınızı doğrulamak için EICAR.TXT dosyasını kullanın

Önemli

EICAR.TXT dosyası bir virüs değil. Avrupa Bilgisayar Virüsten Koruma Araştırma Enstitüsü (EICAR), virüsten koruma çözümlerini güvenli bir şekilde test etmek için bu dosyayı geliştirdi.

1. Not Defteri'ni açın ve aşağıdaki metni boş bir dosyaya yapıştırın:

   X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
   

   Bu karakterlerin dosyadaki tek metin olduğundan emin olun. Dosya boyutu 68 bayt olmalıdır.

2. Dosyayı EICAR.TXT olarak kaydetme

   Masaüstü virüsten koruma programınızda, EICAR.TXT taramadan hariç tutmayı unutmayın (aksi takdirde dosya karantinaya alınır).

3. EICAR.TXT dosyasını otomatik olarak engellemeyen bir e-posta istemcisi kullanarak ve giden istenmeyen postaları otomatik olarak engellemeyen bir e-posta hizmetini kullanarak ek olarak EICAR.TXT dosyasını içeren bir e-posta iletisi gönderin. Test etmek için aşağıdaki senaryoları belirlemek için kötü amaçlı yazılımdan koruma ilkesi ayarlarınızı kullanın:

   • bir iç posta kutusundan iç alıcıya Email.
   • bir iç posta kutusundan dış alıcıya Email.
   • Dış posta kutusundan iç alıcıya Email.

4. İletinin karantinaya alındığını doğrulayın ve kötü amaçlı yazılımdan koruma ilkesi ayarlarınıza göre yönetici bildirimi sonuçlarını doğrulayın. Örneğin, belirttiğiniz yönetici e-posta adresi, varsayılan veya özelleştirilmiş bildirim iletileriyle birlikte iç veya dış ileti gönderenler için bildirilir.

5. Testiniz tamamlandıktan sonra EICAR.TXT dosyasını silin (böylece diğer kullanıcılar bu dosya tarafından gereksiz şekilde alarma geçmesin).