Güvenliği aşılmış bir e-posta hesabına yanıt verme

• Şunlara uygulanır:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Microsoft 365 posta kutularına, verilerine ve diğer hizmetlere erişim kimlik bilgileri (örneğin, kullanıcı adı ve parola veya PIN) tarafından denetlenir. Hedeflenen kullanıcı dışında biri bu kimlik bilgilerini çaldığında, ilişkili hesabın gizliliği ihlal edilmiş olarak kabul edilir.

Bir saldırgan kimlik bilgilerini çaldıktan ve hesaba erişim kazandıktan sonra kullanıcının OneDrive'ında ilişkili Microsoft 365 posta kutusuna, SharePoint klasörlerine veya dosyalarına erişebilir. Saldırganlar genellikle güvenliği aşılmış posta kutusunu kullanarak kuruluşun içindeki ve dışındaki alıcılara özgün kullanıcı olarak e-posta gönderir. Dış alıcılara veri göndermek için e-posta kullanan saldırganlar , veri sızdırma olarak bilinir.

Bu makalede, hesabın güvenliğinin aşılmasına ilişkin belirtiler ve güvenliği aşılmış hesabın denetiminin nasıl yeniden kazanıldığı açıklanmaktadır.

Güvenliği aşılmış bir Microsoft e-posta hesabının belirtileri

Kullanıcılar Microsoft 365 posta kutularındaki olağan dışı etkinlikleri fark edebilir ve bildirebilir. Örneğin:

• E-postanın eksik veya silinmiş olduğu gibi şüpheli etkinlikler.
• Güvenliği aşılmış hesaptan gönderenin Gönderilmiş Öğeler klasöründe karşılık gelen e-posta olmadan e-posta alan kullanıcılar.
• Kullanıcı veya yöneticiler tarafından oluşturulmamış gelen kutusu kuralları. Bu kurallar e-postayı bilinmeyen adreslere otomatik olarak iletebilir veya iletileri Notlar, Gereksiz Email veya RSS Abonelikleri klasörlerine taşıyabilir.
• Kullanıcının görünen adı Genel Adres Listesi'nde değiştirilir.
• Kullanıcının posta kutusunun e-posta göndermesi engellendi.
• Microsoft Outlook veya Web üzerinde Outlook'daki (eski adıyla Outlook Web App) Gönderilmiş Öğeler veya Silinmiş Öğeler klasörleri, güvenliği aşılmış hesaplar için tipik iletiler içerir (örneğin, "Londra'da takıldım, para gönder").
• Olağan dışı profil değişiklikleri. Örneğin, ad, telefon numarası veya posta kodu güncelleştirmeleri.
• Birden çok ve sık parola değişikliği.
• Posta iletme kısa süre önce eklendi.
• Son zamanlarda olağan dışı imzalar eklendi. Örneğin, sahte bankacılık imzası veya reçeteli ilaç imzası.

Bir kullanıcı bu belirtileri veya diğer olağan dışı belirtileri bildirirse araştırmanız gerekir. Microsoft Defender portalı ve Azure portal, kullanıcı hesabındaki şüpheli etkinlikleri araştırmanıza yardımcı olmak için aşağıdaki araçları sunar.

• Microsoft Defender portalındaki birleşik denetim günlükleri: Şüpheli etkinlik gerçekleşmeden hemen önce başlayan bir tarih aralığı kullanarak etkinlik günlüklerini filtreleyin. Arama sırasında belirli etkinliklere filtre uygulamayın. Daha fazla bilgi için bkz. Denetim günlüğünü Arama.

• Microsoft Entra yönetim merkezi oturum açma günlüklerini ve diğer risk raporlarını Microsoft Entra: Şu sütunlardaki değerleri inceleyin:

  • IP adresini gözden geçirme
  • oturum açma konumları
  • oturum açma süreleri
  • oturum açma başarılı veya başarısız

Önemli

Aşağıdaki düğme şüpheli hesap etkinliğini test etmenizi ve tanımlamanızı sağlar. Güvenliği aşılmış bir hesabı kurtarmak için bu bilgileri kullanabilirsiniz.

Testleri Çalıştırma: Güvenliği Aşılmış Hesaplar

Güvenliği aşılmış bir Microsoft 365 hesabı ve posta kutusuna e-posta işlevinin güvenliğini sağlama ve geri yükleme

Kullanıcı hesabına yeniden erişim kazandıktan sonra bile, saldırganın hesabın denetimini sürdürmesine olanak sağlayan arka kapı girişleri bırakmış olabilir.

Hesabın denetimini yeniden kazanmak için aşağıdaki adımların tümünü yapın. Bir sorundan şüphelendiğiniz anda ve saldırganın hesabın denetimini sürdürmediğinden emin olmak için mümkün olan en kısa sürede adımları izleyin. Bu adımlar, saldırganın hesaba eklemiş olabileceği tüm arka kapı girişlerini kaldırmanıza da yardımcı olur. Bu adımları gerçekleştirdikten sonra, istemci bilgisayarın güvenliğinin tehlikeye atıldığından emin olmak için bir virüs taraması çalıştırmanızı öneririz.

1. Adım: Kullanıcının parolasını sıfırlama

Birisi için iş parolasını sıfırlama başlığındaki yordamları izleyin.

Önemli

• Saldırgan bu noktada posta kutusuna erişmeye devam ettiğinden, yeni parolayı kullanıcıya e-posta yoluyla göndermeyin.

• Güçlü bir parola kullandığınızdan emin olun: büyük ve küçük harfler, en az bir sayı ve en az bir özel karakter.

• Parola geçmişi gereksinimi izin veriyor olsa bile, son beş parolanın hiçbirini yeniden kullanmayın. Saldırganın tahmin bile edemebileceği benzersiz bir parola kullanın.

• Şirket içi kimlik Microsoft 365 ile birleştirilmişse, şirket içi hesap parolasını şirket içi olarak değiştirmeniz ve ardından güvenliğin aşılmasına ilişkin yöneticiyi bilgilendirmeniz gerekir.

• Uygulama parolalarını güncelleştirin. Parolayı sıfırladığınızda uygulama parolaları otomatik olarak iptal edilir. Kullanıcı mevcut uygulama parolalarını silip yeni parolalar oluşturmalıdır. Yönergeler için bkz. İki aşamalı doğrulama için uygulama parolalarını yönetme.

• Hesap için çok faktörlü kimlik doğrulamasını (MFA) etkinleştirmenizi kesinlikle öneririz. MFA, hesap güvenliğinin aşılmasını önlemeye yardımcı olmak için iyi bir yoldur ve yönetim ayrıcalıklarına sahip hesaplar için çok önemlidir. Yönergeler için bkz. Çok faktörlü kimlik doğrulamasını ayarlama.

2. Adım: Şüpheli e-posta iletme adreslerini kaldırma

1. konumundaki Microsoft 365 yönetim merkezi https://admin.microsoft.comEtkin Kullanıcılar'a> gidin. Veya doğrudan Etkin kullanıcılar sayfasına gitmek için kullanın https://admin.microsoft.com/Adminportal/Home#/users.

2. Etkin kullanıcılar sayfasında, kullanıcı hesabını bulun ve satırda adın yanındaki onay kutusundan başka bir yere tıklayarak hesabı seçin.

3. Açılan ayrıntılar açılır listesinde Posta sekmesini seçin.

4. Email iletme bölümünde uygulanan değer, hesapta posta iletmenin yapılandırıldığını gösterir.

   E-posta iletmeyi yönet'i seçin, Açılan E-posta iletmeyi yönet açılır öğesinde Bu posta kutusuna gönderilen tüme-postaları ilet onay kutusunu temizleyin ve ardından Değişiklikleri kaydet'i seçin.

3. Adım: Şüpheli Gelen Kutusu kurallarını devre dışı bırakma

1. Web üzerinde Outlook kullanarak kullanıcının posta kutusunda oturum açın.

2. Ayarlar 'ı (dişli simgesi) seçin, Arama kutusuna 'kurallar' yazın ve sonuçlardan Gelen Kutusu kuralları'nı seçin.

3. Açılan açılır ögenin Kurallar sekmesinde mevcut kuralları gözden geçirin ve şüpheli kuralları kapatın veya silin.

4. Adım: Kullanıcının posta gönderme engellemesini kaldırma

Hesap istenmeyen posta veya yüksek hacimli e-posta göndermek için kullanılıyorsa, posta kutusunun posta göndermesi engellenmiş olabilir.

Posta kutusunun e-posta gönderme engelini kaldırmak için Engellenen kullanıcıları Kısıtlanmış varlıklar sayfasından kaldırma sayfasındaki yordamları izleyin.

5. Adım İsteğe bağlı: Kullanıcı hesabının oturum açmasını engelleme

Önemli

Erişimi yeniden etkinleştirmenin güvenli olduğuna inanana kadar hesabın oturum açmasını engelleyebilirsiniz.

1. konumundaki Microsoft 365 yönetim merkezi https://admin.microsoft.comaşağıdaki adımları uygulayın:

   1. Etkin Kullanıcılar'a> gidin. Veya doğrudan Etkin kullanıcılar sayfasına gitmek için kullanın https://admin.microsoft.com/Adminportal/Home#/users.
   2. Etkin kullanıcılar sayfasında, aşağıdaki adımlardan birini yaparak listeden kullanıcı hesabını bulun ve seçin:
      • Adın yanındaki onay kutusundan farklı bir satıra tıklayarak kullanıcıyı seçin. Açılan ayrıntılar açılır listesinde, açılır listenin üst kısmındaki Oturum açmayı engelle'yi seçin.
      • Adın yanındaki onay kutusunu seçerek kullanıcıyı seçin. Diğer eylemler>Oturum açma durumunu düzenle'yi seçin.
   3. Açılan Oturum açmayı engelle açılır penceresinde bilgileri okuyun, Bu kullanıcının oturum açmasını engelle'yi seçin, Değişiklikleri kaydet'i ve ardından açılır listenin üst kısmındaki Kapat'ı seçin.

2. Exchange yönetim merkezinde (EAC) aşağıdaki adımları gerçekleştirin https://admin.exchange.microsoft.com:

   1. AlıcılarPostaKutuları'na> gidin. Veya doğrudan Posta Kutuları sayfasına gitmek için kullanın https://admin.exchange.microsoft.com/#/mailboxes.
   2. Posta Kutuları sayfasında, aşağıdaki adımlardan birini yaparak kullanıcıyı bulun ve listeden seçin:
      • Satırda adın yanında görünen yuvarlak onay kutusunun dışında herhangi bir yere tıklayarak kullanıcıyı seçin.
      • Adın yanında görünen yuvarlak onay kutusunu ve ardından sayfada görünen Düzenle eylemini seçerek kullanıcıyı seçin.
   3. Açılan ayrıntılar açılır öğesinde aşağıdaki adımları uygulayın:

      1. Genel sekmesinin seçili olduğunu doğrulayın ve Email uygulamaları & mobil cihazlar bölümünde e-posta uygulamaları ayarlarını yönet'i seçin.

      2. Açılan E-posta uygulamaları için ayarları yönet açılır öğesinde, iki durumlu düğmeyi Devre dışı olarak değiştirerek tüm kullanılabilir ayarları devre dışı bırakın:

         • Outlook masaüstü (MAPI)
         • Exchange Web Hizmetleri
         • Mobil (Exchange ActiveSync)
         • IMAP
         • POP3
         • Web üzerinde Outlook

         E-posta uygulamaları için ayarları yönet açılır öğesinde işiniz bittiğinde Kaydet'i ve ardından açılır listenin üst kısmındaki Kapat'ı seçin.

6. Adım İsteğe bağlı: Güvenliği aşılmış olduğundan şüphelenilen hesabı tüm yönetim rol gruplarından kaldırın

Not

Hesabın güvenliği sağlandıktan sonra yönetici rol gruplarında kullanıcının üyeliğini geri yükleyebilirsiniz.

1. konumundaki Microsoft 365 yönetim merkezi https://admin.microsoft.comaşağıdaki adımları uygulayın:

   1. Etkin Kullanıcılar'a> gidin. Veya doğrudan Etkin kullanıcılar sayfasına gitmek için kullanın https://admin.microsoft.com/Adminportal/Home#/users.

   2. Etkin kullanıcılar sayfasında, aşağıdaki adımlardan birini yaparak listeden kullanıcı hesabını bulun ve seçin:

      • Adın yanındaki onay kutusundan farklı bir satıra tıklayarak kullanıcıyı seçin. Açılan ayrıntılar açılır penceresinde Hesap sekmesinin seçili olduğunu doğrulayın ve roller bölümündeRolleri yönet'i seçin.
      • Adın yanındaki onay kutusunu seçerek kullanıcıyı seçin. Diğer eylemler>Rolleri yönet'i seçin.

   3. Açılan Yönetici rollerini yönet açılır penceresinde aşağıdaki adımları uygulayın:

      • Daha sonra geri yüklemek istediğiniz tüm bilgileri kaydedin.
      • Kullanıcı (yönetim merkezi erişimi yok) seçeneğini belirleyerek yönetim rolü üyeliğini kaldırın.

      Yönetici rollerini yönet açılır öğesinde işiniz bittiğinde Değişiklikleri kaydet'i seçin.

2. konumundaki Microsoft Defender portalında https://security.microsoft.comaşağıdaki adımları uygulayın:

   1. İzinler>Email & işbirliği rolleri Rolleri'ne> gidin. Alternatif olarak, doğrudan İzinler sayfasına gitmek için https://security.microsoft.com/emailandcollabpermissions seçeneğini kullanın.
   2. İzinler sayfasında, listeden bir rol grubu seçin.
   3. Açılan ayrıntılar açılır öğesinin Üyeler bölümünde kullanıcı hesabını arayın. Rol grubu kullanıcı hesabını içeriyorsa aşağıdaki adımları uygulayın:
      1. Üyeler bölümünde Düzenle'yi seçin.
      2. Açılan açılır ögenin Üyeleri seç sekmesinde Düzenle'yi seçin.
      3. Açılan Üye seç açılır listesinde Kaldır'ı seçin.
      4. Görüntülenen Üyeler bölümünde, adın yanındaki onay kutusunu seçerek kullanıcı hesabını seçin, Kaldır'ı ve ardından Bitti'yi seçin.
      5. Düzenleme Üyeleri seçin açılır listesinde Kaydet'i seçin.
      6. Rol grubu ayrıntıları açılır öğesinde Kapat'ı seçin.
   4. Listedeki her rol grubu için önceki adımları yineleyin.

3. konumundaki Exchange yönetim merkezinde https://admin.exchange.microsoft.com/aşağıdaki adımları uygulayın:

   1. Roller>Yönetici roller'e gidin. Veya doğrudan Yönetici rolleri sayfasına gitmek için kullanınhttps://admin.exchange.microsoft.com/#/adminRoles.

   2. Yönetici rolleri sayfasında, satırda adın yanında görünen yuvarlak onay kutusunun dışında herhangi bir yere tıklayarak listeden bir rol grubu seçin.

   3. Açılan ayrıntılar açılır penceresinde Atanan sekmesini seçin ve ardından kullanıcı hesabını arayın. Rol grubu kullanıcı hesabını içeriyorsa aşağıdaki adımları uygulayın:

      1. Kullanıcı hesabını seçin.
      2. Görüntülenen Sil eylemini seçin, uyarı iletişim kutusunda Evet, kaldır'ı seçin ve ardından açılır listenin üst kısmındaki Kapat'ı seçin.

   4. Listedeki her rol grubu için önceki adımları yineleyin.

7. Adım İsteğe bağlı: Ek önlem adımları

1. Outlook veya Web üzerinde Outlook hesabın Gönderilmiş öğeler klasörünün içeriğini doğrulayın.

   Kişi listenizdeki kişilere hesabınızın gizliliğinin tehlikeye girdiğini bildirmeniz gerekebilir. Örneğin, saldırgan kişilerinden para isteyen iletiler göndermiş olabilir veya saldırgan bilgisayarlarını ele geçirmesi için bir virüs göndermiş olabilir.

2. Bu hesabı alternatif e-posta hesabı olarak kullanan diğer tüm hizmetlerin hesapları da tehlikeye girmiş olabilir. Bu Microsoft 365 kuruluşundaki hesap için bu makaledeki adımları gerçekleştirdikten sonra, diğer hesaplarınız için bu adımları uygulayın.

3. Hesabın iletişim bilgilerini (örneğin, telefon numaraları ve adresler) doğrulayın.

Ayrıca bkz.

• Microsoft 365'te Outlook Kurallarını ve Özel Forms Ekleme Saldırılarını Algılama ve Düzeltme
• İzin Verme İzinlerini Algılama ve Düzeltme
• İnternet Suç Şikayet Merkezi
• Menkul Kıymetler ve Değişim Komisyonu - "Kimlik Avı" Dolandırıcılığı
• İstenmeyen postaları doğrudan Microsoft'a ve yöneticinize bildirmek için Rapor İletisi eklentisini kullanın