EOP'de sahte zeka içgörüleri

• Şunlara uygulanır:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

İpucu

Office 365 için Microsoft Defender Plan 2'deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.

posta kutuları olmayan Exchange Online veya tek başına Exchange Online Protection (EOP) kuruluşlarında posta kutuları olan Microsoft 365 Exchange Online kuruluşlarında, gelen e-posta iletileri kimlik sahtekarlığına karşı otomatik olarak korunur. EOP, kuruluşunuzun kimlik avına karşı genel savunmasının bir parçası olarak kimlik sahtekarlığı zekasını kullanır. Daha fazla bilgi için bkz. EOP'de kimlik sahtekarlığı önleme koruması.

Gönderen bir e-posta adresini sahtekarlık ettiğinde, kuruluşunuzun etki alanlarından birinde veya kuruluşunuza e-posta gönderen bir dış etki alanındaki kullanıcı olarak görünür. Gönderenleri istenmeyen posta veya kimlik avı e-postası göndermek üzere sahtekarlık yapan saldırganların engellenmesi gerekir. Ancak, yasal gönderenlerin sahtekarlık yaptığı senaryolar vardır. Örneğin:

• İç etki alanlarını sahtekarlık için geçerli senaryolar:

  • Üçüncü taraf gönderenler, şirket anketleri için kendi çalışanlarınıza toplu posta göndermek için etki alanınızı kullanır.
  • Harici bir şirket sizin yerinize reklam veya ürün güncelleştirmeleri oluşturur ve gönderir.
  • Bir yardımcı düzenli olarak kuruluşunuzdaki başka bir kişiye e-posta göndermesi gerekir.
  • İç uygulama e-posta bildirimleri gönderir.

• Dış etki alanlarını kimlik sahtekarlığına yönelik geçerli senaryolar:

  • Gönderen bir posta listesindedir (tartışma listesi olarak da bilinir) ve posta listesi, özgün gönderenden gelen e-postayı posta listesindeki tüm katılımcılara aktarır.
  • Dış şirket, başka bir şirket (örneğin, otomatik bir rapor veya hizmet olarak yazılım şirketi) adına e-posta gönderir.

Size doğrulanmamış e-posta (SPF, DKIM veya DMARC denetimlerinden geçmeyen etki alanlarından gelen iletiler) yasal olarak gönderen sahte gönderenleri hızla belirlemek ve bu gönderenlere el ile izin vermek için Microsoft Defender portalındaki kimlik sahtekarlığına ilişkin bilgi sahtekarlık içgörülerini kullanabilirsiniz.

Bilinen gönderenlerin bilinen konumlardan sahte iletiler göndermesine izin vererek, hatalı pozitif sonuçları (kötü olarak işaretlenmiş iyi e-posta) azaltabilirsiniz. İzin verilen sahte gönderenleri izleyerek, güvenli olmayan iletilerin kuruluşunuza gelmesini önlemek için ek bir güvenlik katmanı sağlarsınız.

Benzer şekilde, kimlik sahtekarlığına izin verilen sahte gönderenleri gözden geçirmek ve bu gönderenleri el ile engellemek için sahte zeka içgörülerini kullanabilirsiniz.

Bu makalenin geri kalanında, Microsoft Defender portalında ve PowerShell'de (Exchange Online Microsoft 365 kuruluşları için PowerShell'de posta kutuları Exchange Online; Exchange Online olmayan kuruluşlar için tek başına EOP PowerShell)'de kimlik sahtekarı zeka içgörülerinin nasıl kullanılacağı açıklanmaktadır. posta kutuları).

Not

• Bu içgörüde yalnızca sahte zeka tarafından algılanan sahte gönderenler görüntülenir. DMARC ilkesinin ayarlandığı p=reject veya p=quarantine bu içgörüde görünmediği DMARC'den başarısız olan etki alanlarından gelen iletiler. Bu iletiler, kimlik avı önleme ilkelerinde kimlik sahtekarlığı ayarı olarak algılandığında Honor DMARC kayıt ilkesine göre işlenir.

• Sahte zeka içgörülerinde izin verme veya engelleme kararını geçersiz kıldığınızda, sahtekar gönderen, konumundaki Kiracı İzin Ver/Engelle Listeler sayfasındaki https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemKimlik Sahtekarı gönderenler sekmesinde görünen el ile izin verme veya engelleme girdisine dönüşür. Ayrıca sahte gönderenler için kimlik sahtekarlık zekası tarafından algılanana kadar el ile izin verme veya engelleme girdileri oluşturabilirsiniz. Daha fazla bilgi için bkz . Kiracı İzin Ver/Engelle Listesi'nde kimlik sahtekarı gönderenler.

• Kimlik sahtekarlığı zekası içgörülerindeki İzin Ver veya EngelleEylem değerleri, kimlik sahtekarlığı algılamaya (Microsoft 365'in iletiyi sahte olarak tanımlayıp tanımlamadığına) başvurur. Eylem değeri, iletinin genel filtrelemesini mutlaka etkilemez. Örneğin, hatalı pozitif sonuçları önlemek için, kötü amaçlı olmadığını tespit ettiğimizde sahte bir ileti teslim edilebilir.

• Sahte zeka içgörüleri 7 günlük verileri gösterir. Get-SpoofIntelligenceInsight cmdlet'i 30 günlük verileri gösterir.

Başlamadan önce bilmeniz gerekenler

• Microsoft Defender portalını adresinde https://security.microsoft.comaçarsınız. Kiracı İzin Ver/Engelle Listeler sayfasındaki Kimlik Sahtekarı gönderenler sekmesine doğrudan gitmek için kullanınhttps://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. Doğrudan Spoof intelligence içgörü sayfasına gitmek için kullanınhttps://security.microsoft.com/spoofintelligence.

• Exchange Online PowerShell'e bağlanmak için bkz. Exchange Online PowerShell'e bağlanma. Tek başına EOP PowerShell'e bağlanmak için bkz. Exchange Online Protection PowerShell'e bağlanma.

• Bu makaledeki yordamları gerçekleştirmeden önce size izinler atanmalıdır. Seçenekleriniz şunlardır:

  • Microsoft Defender XDR Birleşik rol tabanlı erişim denetimi (RBAC) (İşbirliği Email &>Office 365 için Defender izinleri Etkin olur. PowerShell'i değil yalnızca Defender portalını etkiler: Yetkilendirme ve ayarlar/Güvenlik ayarları/Çekirdek Güvenlik ayarları (yönet) veya Yetkilendirme ve ayarlar/Güvenlik ayarları/Çekirdek Güvenlik ayarları (okuma).

  • Exchange Online izinleri:

    • Kimlik sahtekarlığına neden olan gönderenlere izin verin veya engelleyin ya da kimlik sahtekarlığına izin verin veya kapatın: Aşağıdaki rol gruplarından birinde üyelik:
      • Kuruluş Yönetimi
      • Güvenlik YöneticisiveYalnızca Görüntüleme Yapılandırması veya Yalnızca Görüntüleme Kuruluş Yönetimi.
    • Sahte zeka içgörülerine salt okunur erişim: Genel Okuyucu, Güvenlik Okuyucusu veya Yalnızca Görüntüleme Kuruluş Yönetimi rol gruplarındaki üyelik.

  • Microsoft Entra izinleri: Genel Yönetici^*, Güvenlik Yöneticisi, Genel Okuyucu veya Güvenlik Okuyucusu rollerindeki üyelik, kullanıcılara Microsoft 365'teki diğer özellikler için gerekli izinleri ve izinleri verir.

    Önemli

    ^* Microsoft, rolleri en az izinle kullanmanızı önerir. Daha düşük izinli hesapların kullanılması, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, mevcut bir rolü kullanamıyorsanız acil durum senaryolarıyla sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

• Kimlik avı önleme ilkeleri için önerilen ayarlarımız için bkz. EOP kimlik avı önleme ilkesi ayarları.

• EOP ve Office 365 için Microsoft Defender kimlik avı önleme ilkelerinde kimlik sahtekarlığı zekasını etkinleştirir ve devre dışı bırakırsınız. Kimlik sahtekarlık zekası varsayılan olarak etkindir. Daha fazla bilgi için bkz. EOP'de kimlik avı önleme ilkelerini yapılandırma veya Office 365 için Microsoft Defender'de kimlik avı önleme ilkelerini yapılandırma.

• Kimlik sahtekarlığı zekası için önerilen ayarlarımız için bkz. EOP kimlik avı önleme ilkesi ayarları.

Microsoft Defender portalında sahte zeka içgörülerini bulma

1. konumundaki Microsoft Defender portalındahttps://security.microsoft.com, Kurallar bölümünde Email & İşbirliği>İlkeleri & Kurallar>Tehdit ilkeleri>Kiracı İzin Ver/Engelle Listeler gidin. Ya da doğrudan Kiracı İzin Ver/Engelle Listeler sayfasına gitmek için kullanınhttps://security.microsoft.com/tenantAllowBlockList.

2. Sahte gönderenler sekmesini seçin.

3. Sahte gönderenler sekmesinde sahte zeka içgörüleri şöyle görünür:

   

   İçgörü iki moda sahiptir:

   • İçgörü modu: Kimlik sahtekarlık zekası etkinleştirildiyse, içgörü size son yedi gün içinde kimlik sahtekarı zekası tarafından kaç ileti algılandığını gösterir.
   • Durum modu: Kimlik sahtekarı zekası devre dışı bırakılırsa, içgörü size son yedi gün içinde kimlik sahtekarı zekası tarafından kaç ileti algılandığını gösterir.

Kimlik sahtekarı zekası algılamalarıyla ilgili bilgileri görüntülemek için kimlik sahtekarlık zekası içgörüsünde Kimlik sahtekarlık etkinliğini görüntüle'yi seçerek Kimlik sahtekarı zekası içgörü sayfasına gidin.

Kimlik sahtekarı algılamaları hakkındaki bilgileri görüntüleme

Not

Bu içgörüde yalnızca sahte zeka tarafından algılanan sahte gönderenlerin göründüğünü unutmayın. DMARC ilkesinin ayarlandığı p=reject veya p=quarantine bu içgörüde görünmediği DMARC'den başarısız olan etki alanlarından gelen iletiler. Bu iletiler, kimlik avı önleme ilkelerinde kimlik sahtekarlığı ayarı olarak algılandığında Honor DMARC kayıt ilkesine göre işlenir.

konumundaki Kimlik sahtekarı zekası içgörüleri sayfasıhttps://security.microsoft.com/spoofintelligence, Kiracı İzin Ver/Engelle Listeler sayfasındaki Sahte gönderenler sekmesindeki sahte zeka içgörülerinden Kimlik sahtekarlıketkinliğini görüntüle'yi seçtiğinizde kullanılabilir.

Kimlik sahtekarı zekası içgörü sayfasında, kullanılabilir bir sütun üst bilgisine tıklayarak girişleri sıralayabilirsiniz. Aşağıdaki sütunlar kullanılabilir:

• Kimlik sahtekarlığına sahip kullanıcı: E-posta istemcilerindeki Kimden kutusunda görüntülenen sahte kullanıcının etki alanı. Kimden adresi, adres olarak 5322.From da bilinir.
• Altyapı gönderme: Altyapı olarak da bilinir. Gönderen altyapı aşağıdaki değerlerden biridir:
  • Kaynak e-posta sunucusunun IP adresinin ters DNS aramasında (PTR kaydı) bulunan etki alanı.
  • Kaynak IP adresinin PTR kaydı yoksa, gönderen altyapı kaynak IP>/24 olarak <tanımlanır (örneğin, 192.168.100.100/24).
  • Doğrulanmış bir DKIM etki alanı.
• İleti sayısı: Son yedi gün içinde sahte etki alanı ile kuruluşunuza gönderilen altyapının birleşiminden gelen iletilerin sayısı.
• Son görülen: Sahte etki alanını içeren gönderen altyapıdan iletinin alındığı son tarih.
• Kimlik sahtekarı türü: Aşağıdaki değerlerden biri:
  • İç: Sahte gönderen, kuruluşunuza ait bir etki alanındadır ( kabul edilen bir etki alanı).
  • Dış: Sahte gönderen bir dış etki alanında.
• Eylem: Bu değer İzin Verildi veya Engellendi:
  • İzin verildi: Etki alanı başarısız açık e-posta kimlik doğrulaması SPF, DKIM ve DMARC'yi denetler. Ancak, etki alanı örtük e-posta kimlik doğrulaması denetimlerimizi (bileşik kimlik doğrulaması) geçti. Sonuç olarak, iletide kimlik sahtekarlığı önleme eylemi yapılmadı.
  • Engellendi: Kimlik sahtekarlığına neden olan etki alanı ile gönderme altyapısının birleşiminden gelen iletiler, kimlik sahtekarı zekası tarafından hatalı olarak işaretlenir. Kötü amaçlı sahte iletiler üzerinde gerçekleştirilen eylem , Standart veya Katı önceden ayarlanmış güvenlik ilkeleri, varsayılan kimlik avı önleme ilkesi veya özel kimlik avı önleme ilkeleri tarafından denetlenir. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'de kimlik avı önleme ilkelerini yapılandırma.

Sahte gönderenlerin listesini normalden sıkıştırma aralığına değiştirmek için Liste aralığını sıkıştır veya normal olarak değiştir'i ve ardından Listeyi sıkıştır'ı seçin.

Girişleri filtrelemek için Filtrele'yi seçin. Açılan Filtre açılır öğesinde aşağıdaki filtreler kullanılabilir:

• Kimlik sahtekarı türü: Kullanılabilir değerler İç ve Dış değerleridir.
• Eylem: Kullanılabilir değerler İzin Ver ve Engelle'dir

Filtre açılır öğesinde işiniz bittiğinde Uygula'yı seçin. Filtreleri temizlemek için Filtreleri temizle'yi seçin.

Belirli girdileri bulmak için Arama kutusunu ve ilgili değeri kullanın.

Kimlik sahtekarı algılama listesini csv dosyasına aktarmak için Dışarı Aktar'ı kullanın.

Kimlik sahtekarı algılamalarıyla ilgili ayrıntıları görüntüleme

İlk sütunun yanındaki onay kutusunun dışındaki bir satıra tıklayarak listeden bir kimlik sahtekarı algılaması seçtiğinizde, aşağıdaki bilgileri içeren bir ayrıntı açılır öğesi açılır:

• Bunu neden yakaladık? section: Bu göndereni neden sahte olarak algıladığımız ve daha fazla bilgi için yapabilecekleri.

• Etki alanı özeti bölümü: Ana Spoof intelligence içgörü sayfasından aynı bilgileri içerir.

• WhoIs veri bölümü: Gönderenin etki alanı hakkında teknik bilgiler.

• Gezgin araştırma bölümü: Office 365 için Defender kuruluşta bu bölüm, Kimlik Avı sekmesinde gönderen hakkında ek ayrıntıları görmek için Tehdit Gezgini'ni açma bağlantısı içerir.

• Benzer E-postalar bölümü: Kimlik sahtekarı algılama hakkında aşağıdaki bilgileri içerir:

  • Tarih
  • Konu
  • Alıcı
  • Gönderen
  • Gönderen IP'i

  Gösterilen sütunları kaldırmak için Sütunları özelleştir'i seçin. İşiniz bittiğinde Uygula'yı seçin.

İpucu

Ayrıntılar açılır öğesinden çıkmadan diğer girişlerle ilgili ayrıntıları görmek için, açılır öğenin üst kısmındaki Önceki öğe ve Sonraki öğe'yi kullanın.

Kimlik sahtekarlığı algılamasını İzin Ver veya engelle olarak değiştirmek için sonraki bölüme bakın.

Sahte zeka kararını geçersiz kılma

konumundaki Kimlik sahtekarı zekası içgörüleri sayfasında https://security.microsoft.com/spoofintelligence, sahte zeka kararını geçersiz kılmak için aşağıdaki yöntemlerden birini kullanın:

• İlk sütunun yanındaki onay kutusunu seçerek listeden bir veya daha fazla girdi seçin.

  1. Görüntülenen Toplu eylemler eylemini seçin.
  2. Açılan Toplu eylemler açılır listesinde Kimlik sahtekarlığına izin ver'i veya Kimlik sahtekarlığına engel olun'ı ve ardından Uygula'yı seçin.

• Onay kutusundan başka bir satıra tıklayarak listeden girdiyi seçin.

  Açılan ayrıntılar açılır öğesinde, açılır listenin üst kısmındaki Kimlik sahtekarlığına izin ver veya Kimlik sahtekarlığına engel olun'ı ve ardından Uygula'yı seçin.

Kimlik sahtekarı zekası içgörü sayfasına geri döndüğünüzde, girdi listeden kaldırılır ve konumundaki Kiracı İzin Ver/Engelle Listeler sayfasındaki Kimlik sahtekarı gönderenler sekmesine https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemeklenir.

İzin verilen sahte gönderenler hakkında

İzin verilen sahte gönderenden gelen iletilere (otomatik olarak algılanır veya el ile yapılandırılır) yalnızca kimlik sahtekarlığı yapılan etki alanının ve gönderen altyapının birleşimi kullanılarak izin verilir. Örneğin, aşağıdaki sahte gönderenin kimlik sahtekarlığına izin verilir:

• Etki alanı: gmail.com
• Altyapı: tms.mx.com

Yalnızca bu etki alanından/gönderen altyapı çiftinden gelen e-postaların kimlik sahtekarlığına izin verilir. gmail.com sahtekarlık yapmaya çalışan diğer gönderenlere otomatik olarak izin verilmez. Tms.mx.com kaynaklı diğer etki alanlarındaki gönderenlerden gelen iletiler yine kimlik sahtekarlığına göre denetleniyor ve engellenebilir.

Exchange Online PowerShell veya tek başına EOP PowerShell'de sahte zeka içgörülerini kullanma

PowerShell'de, sahte zeka tarafından algılanan izin verilen ve engellenen sahte gönderenleri görüntülemek için Get-SpoofIntelligenceInsight cmdlet'ini kullanırsınız. Sahte gönderenlere el ile izin vermek veya engellemek için New-TenantAllowBlockListSpoofItems cmdlet'ini kullanmanız gerekir. Daha fazla bilgi için bkz. Kiracı İzin Ver/Engelle Listesinde sahte gönderenler için izin verme girdileri oluşturmak için PowerShell kullanma ve Kiracı İzin Ver/Engelle Listesi'nde sahte gönderenler için blok girdileri oluşturmak için PowerShell kullanma.

Bilgi sahtekarlığı içgörülerindeki bilgileri görüntülemek için aşağıdaki komutu çalıştırın:

PowerShell

Get-SpoofIntelligenceInsight

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Get-SpoofIntelligenceInsight.

Kimlik sahtekarlığı ve kimlik avı yönetiminin diğer yolları

Kimlik sahtekarlığı ve kimlik avı koruması konusunda dikkatli olun. Etki alanınızı sahtekarlık yapan gönderenleri denetlemenin ve kuruluşunuza zarar vermelerini önlemeye yardımcı olmanın ilgili yolları şunlardır:

• Kimlik Sahtekarı Posta Raporu'na bakın. Sahte gönderenleri görüntülemek ve yönetmeye yardımcı olmak için bu raporu sık sık kullanın. Bilgi için bkz. Kimlik Sahtekarlık Algılamaları raporu.

• SPF, DKIM ve DMARC yapılandırmanızı gözden geçirin. Daha fazla bilgi için aşağıdaki makalelere bakın:

  • Microsoft 365'te Email kimlik doğrulaması
  • Kimlik sahtekarlığını önlemeye yardımcı olmak için SPF'yi ayarlama
  • Özel etki alanınıza gönderilen giden e-postayı doğrulamak için DKIM'yi kullanma
  • E-postayı doğrulamak için DMARC kullanma
  • Güvenilir ARC sızdırmazlıkları yapılandırma