Microsoft 365'te teslim edilen kötü amaçlı e-postayı araştırma

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Aboneliğine dahil Office 365 için Microsoft Defender veya eklenti olarak satın alınan Microsoft 365 kuruluşlarının Explorer (Tehdit Gezgini olarak da bilinir) veya Gerçek zamanlı algılamaları vardır. Bu özellikler, Güvenlik İşlemleri (SecOps) ekiplerinin tehditleri araştırmasına ve yanıtlamasına yardımcı olan güçlü ve neredeyse gerçek zamanlı araçlardır. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'de Tehdit Gezgini ve Gerçek zamanlı algılamalar hakkında.

Tehdit Gezgini ve Gerçek zamanlı algılamalar, kuruluşunuzdaki kişileri riske atacak etkinlikleri araştırmanıza ve kuruluşunuzu korumak için eylem gerçekleştirmenize olanak tanır. Örneğin:

  • İletileri bulma ve silme.
  • Kötü amaçlı e-posta gönderenin IP adresini belirleyin.
  • Daha fazla araştırma için bir olay başlatın.

Bu makalede, alıcı posta kutularında kötü amaçlı e-posta bulmak için Tehdit Gezgini ve Gerçek zamanlı algılamaların nasıl kullanılacağı açıklanmaktadır.

Başlamadan önce bilmeniz gerekenler

Teslim edilen şüpheli e-postayı bulma

  1. Tehdit Gezgini'ni veya Gerçek zamanlı algılamaları açmak için aşağıdaki adımlardan birini kullanın:

  2. Gezgin veya Gerçek zamanlı algılamalar sayfasında uygun bir görünüm seçin:

  3. Tarih/saat aralığını seçin. Varsayılan değer dün ve bugündür.

    Defender portalında Tehdit Gezgini ve Gerçek zamanlı algılamalarda kullanılan tarih filtresinin ekran görüntüsü.

  4. Aşağıdaki hedeflenen özelliklerin ve değerlerin bazılarını veya tümünü kullanarak bir veya daha fazla filtre koşulu oluşturun. Tam yönergeler için bkz. Tehdit Gezgini'nde özellik filtreleri ve Gerçek zamanlı algılamalar. Örneğin:

    • Teslim eylemi: Mevcut ilkeler veya algılamalar nedeniyle bir e-postada gerçekleştirilen eylem. Yararlı değerler şunlardır:

      • Teslim edildi: Email kullanıcının Gelen Kutusu'na veya kullanıcının iletiye erişebileceği başka bir klasöre teslim edilir.
      • Gereksiz: Email kullanıcının gereksiz Email klasörüne veya kullanıcının iletiye erişebileceği Silinmiş Öğeler klasörüne teslim edilir.
      • Engellendi: Karantinaya alınan, teslimi başarısız olan veya bırakılan iletileri Email.
    • Özgün teslim konumu: E-postanın sistem veya yöneticiler tarafından gerçekleştirilen otomatik veya el ile teslim sonrası eylemlerden önce gittiği yer (örneğin, ZAP veya karantinaya taşındı). Yararlı değerler şunlardır:

      • Silinmiş öğeler klasörü
      • Bırakılan: İleti posta akışında bir yerde kayboldu.
      • Başarısız: İleti posta kutusuna ulaşamadı.
      • Gelen Kutusu/klasör
      • Gereksiz klasör
      • Şirket içi/dışı: Posta kutusu Microsoft 365 kuruluşunda yok.
      • Karantina
      • Bilinmiyor: Örneğin, teslimden sonra gelen kutusu kuralı iletiyi Gelen Kutusu veya Gereksiz Email klasörü yerine varsayılan klasöre (örneğin, Taslak veya Arşiv) taşıdı.
    • Son teslim konumu: E-postanın sistem veya yöneticiler tarafından gerçekleştirilen otomatik veya el ile teslim sonrası eylemlerden sonra sona erdiği yer. Aynı değerler Özgün teslim konumundan da kullanılabilir.

    • Yön: Geçerli değerler şunlardır:

      • Gelen
      • Kuruluş içi
      • Giden

      Bu bilgiler kimlik sahtekarlığı ve kimliğe bürünme tanımlamaya yardımcı olabilir. Örneğin, iç etki alanı gönderenlerinden gelen iletiler Gelen değil kuruluş içi olmalıdır.

    • Ek eylem: Geçerli değerler şunlardır:

    • Birincil geçersiz kılma: Kuruluş veya kullanıcı ayarlarına izin veriliyorsa veya engellenmiş iletilerde aksi takdirde engellenmiş veya izin veriliyordu. Değerler şunlardır:

      • Kuruluş ilkesi tarafından izin verilir
      • Kullanıcı ilkesi tarafından izin verilir
      • Kuruluş ilkesi tarafından engellendi
      • Kullanıcı ilkesi tarafından engellendi
      • Yok

      Bu kategoriler Birincil geçersiz kılma kaynak özelliği tarafından daha da iyileştirilir.

    • Birincil geçersiz kılma kaynağı Başka türlü engellenen veya izin verilen iletilere izin veren veya engellenen kuruluş ilkesi veya kullanıcı ayarı türü. Değerler şunlardır:

    • Geçersiz kılma kaynağı: Birincil geçersiz kılma kaynağıyla aynı kullanılabilir değerler.

      İpucu

      Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerinin ayrıntılar alanındaki Email sekmesinde (görünüm) ilgili geçersiz kılma sütunları Sistem geçersiz kılmaları ve Sistem geçersiz kılmaları kaynağı olarak adlandırılır.

    • URL tehdidi: Geçerli değerler şunlardır:

      • Malware
      • Phish
      • Spam
  5. Tarih/saat ve özellik filtrelerini yapılandırmayı bitirdiğinizde Yenile'yi seçin.

Tüm e-posta, Kötü Amaçlı Yazılım veya Kimlik Avı görünümlerinin ayrıntılar alanındaki Email sekmesi (görünüm), şüpheli e-postayı araştırmak için ihtiyacınız olan ayrıntıları içerir.

Örneğin, etkilenen iletilerin nereye gittiğinin tam bir resmini almak için Email sekmesindeki (görünüm) Teslim Eylemi, Özgün teslim konumu ve Son teslim konumu sütunlarını kullanın. Değerler 4. Adım'da açıklanmıştır.

Csv dosyasına filtrelenmiş veya filtrelenmemiş 200.000 adede kadar sonucu seçmeli olarak dışarı aktarmak için Dışarı Aktar'ı kullanın.

Teslim edilen kötü amaçlı e-postayı düzeltme

Teslim edilen kötü amaçlı e-posta iletilerini tanımladıktan sonra, bunları alıcı posta kutularından kaldırabilirsiniz. Yönergeler için bkz . Microsoft 365'te teslim edilen kötü amaçlı e-postayı düzeltme.

Office 365'te teslim edilen kötü amaçlı e-postaları düzeltme

Office 365 için Microsoft Defender

Office 365 için Defender için raporları görüntüleme