Tehdit Gezgini'nde tehdit avcılığı ve Office 365 için Microsoft Defender'de gerçek zamanlı algılamalar

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Aboneliğine dahil Office 365 için Microsoft Defender veya eklenti olarak satın alınan Microsoft 365 kuruluşlarının Explorer (Tehdit Gezgini olarak da bilinir) veya Gerçek zamanlı algılamaları vardır. Bu özellikler, Güvenlik İşlemleri (SecOps) ekiplerinin tehditleri araştırmasına ve yanıtlamasına yardımcı olan güçlü ve neredeyse gerçek zamanlı araçlardır. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'de Tehdit Gezgini ve Gerçek zamanlı algılamalar hakkında.

Tehdit Gezgini veya Gerçek zamanlı algılamalar aşağıdaki eylemleri gerçekleştirmenizi sağlar:

  • Bkz. Microsoft 365 güvenlik özellikleri tarafından algılanan kötü amaçlı yazılım.
  • Kimlik avı URL'sini görüntüleyin ve karar verilerine tıklayın.
  • Otomatik bir araştırma ve yanıt işlemi başlatın (yalnızca Tehdit Gezgini).
  • Kötü amaçlı e-postayı araştırın.
  • Ve daha fazlası.

Office 365 için Defender kullanarak e-posta ve işbirliği tabanlı tehditleri nasıl avlayıp araştıracağınızı öğrenmek için bu kısa videoyu izleyin.

İpucu

Microsoft Defender XDR'de gelişmiş avcılık, Kusto Sorgu Dili (KQL) kullanmayan kullanımı kolay bir sorgu oluşturucuyu destekler. Daha fazla bilgi için bkz. Kılavuzlu modu kullanarak sorgu oluşturma.

Bu makalede aşağıdaki bilgilere yer verilmiştir:

İpucu

Tehdit Gezgini ve Gerçek zamanlı algılamaları kullanan e-posta senaryoları için aşağıdaki makalelere bakın:

QR kodlarına eklenmiş kötü amaçlı URL'leri temel alan saldırıları arıyorsanız, Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerindeki URL Kaynağı filtre değeri QR kodu veya Gerçek zamanlı algılamalar QR kodlarından ayıklanan URL'lerle e-posta iletisini aramanıza olanak tanır.

Başlamadan önce bilmeniz gerekenler

Tehdit Gezgini ve Gerçek zamanlı algılamalar kılavuzu

Tehdit Gezgini veya Gerçek zamanlı algılamalar, Microsoft Defender portalının https://security.microsoft.comEmail & işbirliği bölümünde bulunabilir:

Tehdit Gezgini, Gerçek zamanlı algılamalarla aynı bilgileri ve özellikleri içerir, ancak aşağıdaki ek özelliklere sahiptir:

  • Diğer görünümler.
  • Sorguları kaydetme seçeneği de dahil olmak üzere daha fazla özellik filtreleme seçeneği.
  • Tehdit avcılığı ve düzeltme eylemleri.

Office 365 için Defender Plan 1 ile Plan 2 arasındaki farklar hakkında daha fazla bilgi için plan 1 ile Plan 2 arasındaki Office 365 için Defender bilgi sayfasına bakın.

Araştırmanıza başlamak için sayfanın üst kısmındaki sekmeleri (görünümleri) kullanın.

Tehdit Gezgini'ndeki ve Gerçek zamanlı algılamalardaki kullanılabilir görünümler aşağıdaki tabloda açıklanmıştır:

Görünüm Tehdit
Explorer		 Gerçek zamanlı
algılamalar		 Açıklama
Tüm e-postalar Tehdit Gezgini için varsayılan görünüm. Dış kullanıcılar tarafından kuruluşunuza gönderilen tüm e-posta iletileri veya kuruluşunuzdaki iç kullanıcılar arasında gönderilen e-postalar hakkında bilgi.
Malware Gerçek zamanlı algılamalar için varsayılan görünüm. Kötü amaçlı yazılım içeren e-posta iletileri hakkında bilgi.
Phish Kimlik avı tehditleri içeren e-posta iletileri hakkında bilgi.
Kampanya Plan 2 Office 365 için Defender eşgüdümlü kimlik avı veya kötü amaçlı yazılım kampanyası kapsamında tanımlanan kötü amaçlı e-postalar hakkında bilgi.
İçerik kötü amaçlı yazılımı Aşağıdaki özellikler tarafından algılanan kötü amaçlı dosyalar hakkında bilgi:
URL tıklamaları Kullanıcının e-posta iletileri, Teams iletileri, SharePoint dosyaları ve OneDrive dosyalarındaki URL'lere tıklaması hakkında bilgi.

Sonuçları daraltmak için görünümde tarih/saat filtresini ve kullanılabilir filtre özelliklerini kullanın:

İpucu

Filtreyi oluşturduktan veya güncelleştirdikten sonra Yenile'yi seçmeyi unutmayın. Filtreler grafikteki bilgileri ve görünümün ayrıntılar alanını etkiler.

Tehdit Gezgini'nde veya Gerçek zamanlı algılamalarda odağı iyileştirmeyi, adımlarınızı geri çekmeyi kolaylaştırmak için katmanlar olarak düşünebilirsiniz:

  • İlk katman, kullandığınız görünümdür.
  • İkincisi, bu görünümde kullandığınız filtrelerdir.

Örneğin, kararlarınızı şu şekilde kaydederek tehdit bulmak için uyguladığınız adımları yeniden izleyebilirsiniz: Tehdit Gezgini'nde sorunu bulmak için Kötü Amaçlı Yazılım görünümünü kullandım ve Alıcı filtresi odağını kullandım.

Ayrıca, görüntü seçeneklerinizi test etmeye de özen gösterin. Farklı hedef kitleler (örneğin, yönetim) aynı verilerin farklı sunularına daha iyi veya daha kötü tepki verebilir.

Örneğin, Tehdit Gezgini'nde Tüm e-posta görünümünde, sayfanın alt kısmındaki ayrıntılar alanında Email kaynak ve Kampanyalar görünümleri (sekmeler) bulunur:

  • Bazı hedef kitleler için, Email kaynak sekmesindeki dünya haritası algılanan tehditlerin ne kadar yaygın olduğunu göstermek için daha iyi bir iş yapabilir.

    Tehdit Gezgini'ndeki Tüm e-posta görünümünün ayrıntılar alanındaki Email kaynak görünümünde dünya haritasının ekran görüntüsü.

  • Diğerleri, Kampanyalar sekmesindeki tabloda yer alan ayrıntılı bilgileri iletmek için daha yararlı bulabilir.

    Tehdit Gezgini'ndeki Tüm e-posta görünümündeki Kampanya sekmesindeki ayrıntılar tablosunun ekran görüntüsü.

Aşağıdaki sonuçlar için bu bilgileri kullanabilirsiniz:

  • Güvenlik ve koruma gereksinimini göstermek için.
  • Daha sonra herhangi bir eylemin etkinliğini göstermek için.

Email araştırma

Tehdit Gezgini'ndeki veya Gerçek zamanlı algılamalardaki Tüm e-posta, Kötü Amaçlı Yazılım veya Kimlik Avı görünümlerinde, e-posta iletisi sonuçları grafiğin altındaki ayrıntılar alanının Email sekmesindeki (görünüm) bir tabloda gösterilir.

Şüpheli bir e-posta iletisi gördüğünüzde, tablodaki bir girdinin Konu değerine tıklayın. Açılan ayrıntılar açılır öğesi, açılır listenin üst kısmındaki E-postayı aç varlığını içerir.

Tüm e-posta görünümünde ayrıntılar alanının Email sekmesinde bir Konu değeri seçtikten sonra e-posta ayrıntıları açılır öğesinde bulunan eylemlerin ekran görüntüsü.

Email varlık sayfası, ileti ve içeriği hakkında bilmeniz gereken her şeyi bir araya getirerek iletinin bir tehdit olup olmadığını saptayabilirsiniz. Daha fazla bilgi için bkz. varlık sayfasına genel bakış Email.

düzeltmeyi Email

E-posta iletisinin bir tehdit olduğunu belirledikten sonra, sonraki adım tehdidi düzeltmektir. Tehdit Gezgini'nde veya Gerçek zamanlı algılamalarda İleti eylemlerini veya Eylem gerçekleştir'i kullanarak tehdidi düzeltebilirsiniz.

Bu eylemler, grafiğin altındaki ayrıntılar alanının Email sekmesindeki (görünüm) Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım veya Kimlik Avı görünümlerinde veya Gerçek zamanlı algılamalarda kullanılabilir:

  • İlk sütunun yanındaki onay kutusunu seçerek tablodaki bir veya daha fazla girdiyi seçin. İleti eylemleri doğrudan sekmede kullanılabilir. Daha fazla bilgi için bkz . İleti eylemlerini kullanarak düzeltme.

    • Tehdit Gezgini:

      Tehdit Gezgini'ndeki Tüm e-posta görünümünün Email sekmesinin seçili iletiyi ve İleti eylemleri'ndeki kullanılabilir eylemleri gösteren ekran görüntüsü.

    • Gerçek zamanlı algılamalar:

      Seçili iletiyi ve İleti eylemlerindeki kullanılabilir eylemleri gösteren Gerçek zamanlı algılamalarda Tüm e-posta görünümünün Email sekmesinin ekran görüntüsü.

  • Tablodaki bir girdinin Konu değerine tıklayın. Açılan ayrıntılar açılır öğesi, açılır listenin üst kısmında Eylem gerçekleştir'i içerir. Daha fazla bilgi için bkz . Eylem gerçekleştirmeyi kullanarak düzeltme.

    Tüm e-posta görünümünde ayrıntılar alanının Email sekmesinde bir Konu değeri seçtikten sonra e-posta ayrıntıları açılır öğesinde bulunan eylemlerin ekran görüntüsü.

İleti eylemlerini kullanarak düzeltme

Tehdit Gezgini'nde ve Gerçek zamanlı algılamalarda, bir veya daha fazla iletinin seçilmesi, görünümün ayrıntılar alanındaki Email sekmesinde (görünüm) İleti eylemlerine olanak tanır:

  • Tehdit Gezgini'nde Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerindeki kullanılabilir İleti eylemleri aşağıdaki listede açıklanmıştır:

    • Taşıma & silme¹
      • Gereksiz klasöre gitme
      • Silinmiş öğelere gitme
      • Geçici silme
      • Sabit silme
      • Gelen kutusuna taşı
    • & bildirimini izleme
      • Araştırmayı tetikleme
      • Göndereni Araştır
      • Alıcıyı Araştır
      • Düzeltmeye ekle
      • Kişi alıcıları|
    • Yeni gönderimi başlat
      • Microsoft'a gönder

    ¹ Taşıma & silme eylemleri, Email & işbirliği izinlerinde Aramave Temizleme rolünü gerektirir. Varsayılan olarak, bu rol yalnızca Veri Araştırmacısı ve Kuruluş Yönetimi rol gruplarına atanır. Bu rol gruplarına kullanıcı ekleyebilir veya Arama ve Temizleme rolünün atandığı yeni bir rol grubu oluşturabilir ve kullanıcıları özel rol grubuna ekleyebilirsiniz.

  • Gerçek zamanlı algılamalarAvailable'da, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerindeki kullanılabilir İleti eylemleri aşağıdaki listede açıklanmıştır:

    • Yeni gönderimi başlat
      • Rapor temizleme
      • Kimlik avı bildirme
      • Kötü amaçlı yazılımları bildirme
      • İstenmeyen posta bildirme
Tehdit Gezgini'nde eylemleri taşıma & silme

Taşı & silme kategorisinde aşağıdaki eylemler kullanılabilir:

  • Gereksiz klasöre gitme: İletiyi Gereksiz Email klasörüne taşıyın.
  • Silinmiş Öğelere Taşı: İletiyi Silinmiş öğeler klasörüne taşıyın.
  • Geçici silme: İletiyi Silinmiş öğeler klasöründen silin (Kurtarılabilir Öğeler\Silmeler klasörüne gidin). İleti, kullanıcı ve yöneticiler tarafından kurtarılabilir.
  • Sabit silme: Silinen iletiyi temizleme. Yöneticiler, tek öğeli kurtarmayı kullanarak sabit silinmiş öğeleri kurtarabilir. Sabit olarak silinen ve geçici olarak silinen öğeler hakkında daha fazla bilgi için bkz . Geçici olarak silinen ve sabit silinen öğeler.
  • Gelen Kutusuna Taşı: İletiyi Gelen Kutusu'na taşıyın.

İpucu

En son teslim konumu özelliği için Karantina değeriyle ileti için Gelen Kutusuna Taşı seçildiğinde ileti karantinadan çıkar.

Bir eylemi seçtiğinizde bir düzeltme sihirbazı açılır:

  1. Düzeltmenizi adlandırın sayfasında, seçili eylemi izlemek ve tanımlamak için benzersiz, açıklayıcı bir ad ve isteğe bağlı bir açıklama girin ve İleri'yi seçin.

  2. Önem derecesini belirle sayfasında aşağıdaki ayarları yapılandırın:

    • Önem derecesi: Aşağıdaki değerlerden birini seçin:
      • Yüksek (bu varsayılan değerdir)
      • Orta
      • Düşük
    • Durum: değeri seçilidir ve değiştiremezsiniz.

    Önem derecesini belirle sayfasında işiniz bittiğinde İleri'yi seçin.

  3. Gözden geçir ve tetikle eylemi sayfasında önceki seçimlerinizi gözden geçirin.

    Etkilenen varlıkları csv dosyasına aktarmak için Dışarı Aktar'ı seçin. Varsayılan olarak, dosya adı İndirilenler klasöründe bulunan Etkilenen assets.csv'dir.

    Seçimlerinizi değiştirmek için Geri'yi veya Düzenle'yi seçin.

    Gözden geçir ve tetikle eylemi sayfasında işiniz bittiğinde İleri'yi seçin.

  4. Eylemleri gönder sayfası aşağıdaki bilgileri içerir:

    Eylemleri gönder sayfasında işiniz bittiğinde Kapat'ı seçin.

Tehdit Gezgini'nde & bildirim eylemlerini izleme

  • Araştırmayı tetikleme, Göndereni araştır, Alıcıyı araştır: Bu eylemlerden birinin seçilmesi, araştırmayı hemen oluşturur. Onay iletişim kutusunda Tamam'ın seçilmesi, yeni araştırmanın listede gösterilmesi için Defender portalındaki https://security.microsoft.com/airinvestigationAraştırma sayfasını açar.

  • Düzeltmeye ekle: Bu seçeneğin seçilmesi, yeni bir düzeltme İçerik Oluşturucu veya mevcut bir sihirbaza ekleme işlemini açar:

    1. Düzeltme araştırması İçerik Oluşturucu sayfasında aşağıdaki değerlerden birini seçin:

      • Yeni bir düzeltme İçerik Oluşturucu: İleri'yi seçtiğinizde Düzeltmenizi adlandırın sayfasına gidersiniz.

        1. Düzeltmenizi adlandırın sayfasında, seçili eylemi izlemek ve tanımlamak için benzersiz, açıklayıcı bir ad ve isteğe bağlı bir açıklama girin ve İleri'yi seçin.
        2. Önem derecesini belirle sayfasında Önem Derecesi düzeyini (Yüksek, Orta veya Düşük; Yüksek varsayılandır) ve ardından İleri'yi seçin.

      • Var olan bir düzeltmeye ekle: İleri'yi seçtiğinizde, E-postaları aşağıdaki düzeltmelere gönder listesinden var olan düzeltmeyi seçtiğiniz Mevcut düzeltmeyi seçin sayfasına gidin ve İleri'yi seçin.

    2. Bu düzeltmenin kapsamını gözden geçirin sayfasında, sayfadaki Tarih, Alıcı, Konu ve Gönderen bilgilerini gözden geçirin ve İleri'yi seçin.

    3. Eylemleri gönder sayfası, önceki sayfadaki bilgileri yineler ve konumundaki İşlem merkezi sayfasının https://security.microsoft.com/action-center/historyBeklemede sekmesine bir bağlantı içerir. Eylemleri gönder sayfasında işiniz bittiğinde Kapat'ı seçin.

  • Kişi alıcıları: Bilgisayarınızdaki kayıtlı e-posta istemcisinde (örneğin, Microsoft Outlook) etkilenen alıcıların Gizli kutusunda yer aldığı yeni bir e-posta iletisi açar.

Tehdit Gezgini'nde yeni gönderme eylemleri başlatma

Microsoft'a Gönder'i seçtiğinizde Analiz için Microsoft'a gönder açılır öğesi açılır. Aşağıdaki değerlerden birini seçin:

  • Temiz olduğunu doğruladım: İletinin temiz olduğundan eminseniz bu değeri seçin. İleri'yi seçtiğinizde, açılan yeni açılır pencerede aşağıdaki öğeler kullanılabilir:

    • Bunun gibi iletilere izin ver: Bu değeri seçerseniz, gönderen ve iletideki ilgili URL'ler veya ekler için Kiracı İzin Ver/Engelle Listesine izin ver girdileri eklenir. Aşağıdaki seçenekler de görüntülenir:
    • Şu tarihten sonra izin ver girişini kaldır: Varsayılan değer 30 gündür, ancak 1 gün, 7 gün veya 30 günden daha kısa bir Belirli tarih de seçebilirsiniz.
    • Giriş notuna izin ver: Ek bilgiler içeren isteğe bağlı bir not girin.

    Bu açılır öğeyi bitirdiğinizde Gönder'i seçin.

  • Temiz görünüyor veya Şüpheli görünüyor: Emin değilseniz ve Microsoft'tan bir karar almak istiyorsanız bu değerlerden birini seçin ve ardından Gönder'i seçin.

  • Bunun bir tehdit olduğunu doğruladım: Öğenin kötü amaçlı olduğundan eminseniz bu değeri seçin ve ardından görüntülenen Kategori seçin bölümünde İstenmeyen Posta, Kimlik Avı veya Kötü Amaçlı Yazılım'ı seçin. İleri'yi seçtiğinizde, açılan yeni açılır pencerede aşağıdaki öğeler kullanılabilir:

    • Bu gönderenden veya etki alanından gelen tüm e-postaları engelle: Bu seçenek varsayılan olarak, gönderen ve iletideki ilgili URL'ler veya ekler için Kiracı İzin Ver/Engelle Listesi'ne blok girdileri eklemek için seçilidir. Bu seçenek belirlendiğinde aşağıdaki seçenekler de kullanılabilir:
      • Belirli e-posta adresini veya etki alanındaki tüm e-posta adreslerini engellemek için Gönderen veya Etki Alanı'nı seçin. Gönderen varsayılan olarak seçilidir.
      • Şu tarihten sonra engelleme girdisini kaldır: Varsayılan değer 30 gündür, ancak 1 gün, 7 gün veya 30 günden kısa bir Belirli tarih de seçebilirsiniz.
      • Giriş notunu engelle: Ek bilgiler içeren isteğe bağlı bir not girin.

    Bu açılır öğeyi bitirdiğinizde Gönder'i seçin.

Gerçek zamanlı algılamalarda yeni gönderim eylemleri başlatma

Gerçek zamanlı algılamalarda Yeni gönderimi başlat kategorisinden bir eylem seçmek aşağıdaki seçeneklerle sonuçlanabilir:

  • Rapor temizleme: Açılan İletiyi Microsoft'a temiz olarak gönder iletişim kutusunda aşağıdaki ayarları yapılandırın:

    • Benzer özniteliklere (URL, gönderen vb.) sahip e-postalara izin ver: Bu değeri seçerseniz, gönderen ve iletideki ilgili URL'ler veya ekler için Kiracı İzin Ver/Engelle Listesine izin ver girdileri eklenir. Aşağıdaki seçenekler de kullanılabilir:
      • Şu tarihten sonra izin ver girişini kaldır: Varsayılan değer 30 gündür, ancak 1 gün, 7 gün veya 30 günden daha kısa bir Belirli tarih de seçebilirsiniz.
      • Giriş notuna izin ver: Ek bilgiler içeren isteğe bağlı bir not girin.

    İletişim kutusunda işiniz bittiğinde Gönder'i seçin.

  • Rapor kimlik avı: Açılan İletiyi Microsoft'a kimlik avı olarak gönder iletişim kutusunda aşağıdaki seçenekleri yapılandırın:

    • Bu gönderenden veya etki alanından gelen tüm e-postaları engelle: Bu değeri seçerseniz, gönderen ve iletideki ilgili URL'ler veya ekler için Kiracı İzin Ver/Engelle Listesine blok girdileri eklenir. Aşağıdaki seçenekler de kullanılabilir:
      • Belirli e-posta adresini veya etki alanındaki tüm e-posta adreslerini engellemek için Gönderen veya Etki Alanı'nı seçin. Gönderen varsayılan olarak seçilidir.
      • Şu tarihten sonra engelleme girdisini kaldır: Varsayılan değer 30 gündür, ancak 1 gün, 7 gün veya 30 günden kısa bir Belirli tarih de seçebilirsiniz.
      • Giriş notunu engelle: Ek bilgiler içeren isteğe bağlı bir not girin.

    İletişim kutusunda işiniz bittiğinde Gönder'i seçin.

  • Kötü amaçlı yazılım bildirin: Açılan İletiyi Microsoft'a kötü amaçlı yazılım olarak gönder iletişim kutusunda aşağıdaki seçenekleri yapılandırın:

    • Bu gönderenden veya etki alanından gelen tüm e-postaları engelle: Bu değeri seçerseniz, gönderen ve iletideki ilgili URL'ler veya ekler için Kiracı İzin Ver/Engelle Listesine izin ver girişleri eklenir. Aşağıdaki seçenekler de kullanılabilir:
      • Belirli e-posta adresini veya etki alanındaki tüm e-posta adreslerini engellemek için Gönderen veya Etki Alanı'nı seçin. Gönderen varsayılan olarak seçilidir.
      • Şu tarihten sonra engelleme girdisini kaldır: Varsayılan değer 30 gündür, ancak 1 gün, 7 gün veya 30 günden kısa bir Belirli tarih de seçebilirsiniz.
      • Giriş notunu engelle: Ek bilgiler içeren isteğe bağlı bir not girin.

    İletişim kutusunda işiniz bittiğinde Gönder'i seçin.

  • İstenmeyen posta bildir: Açılan İletiyi Microsoft'a istenmeyen posta olarak gönder iletişim kutusunda aşağıdaki seçenekleri yapılandırın:

    • Bu gönderenden veya etki alanından gelen tüm e-postaları engelle: Bu değeri seçerseniz, gönderen ve iletideki ilgili URL'ler veya ekler için Kiracı İzin Ver/Engelle Listesine blok girdileri eklenir. Aşağıdaki seçenekler de kullanılabilir:
      • Belirli e-posta adresini veya etki alanındaki tüm e-posta adreslerini engellemek için Gönderen veya Etki Alanı'nı seçin. Gönderen varsayılan olarak seçilidir.
      • Şu tarihten sonra engelleme girdisini kaldır: Varsayılan değer 30 gündür, ancak 1 gün, 7 gün veya 30 günden kısa bir Belirli tarih de seçebilirsiniz.
      • Giriş notunu engelle: Ek bilgiler içeren isteğe bağlı bir not girin.

    İletişim kutusunda işiniz bittiğinde Gönder'i seçin.

Eylem gerçekleştir'i kullanarak düzeltme

Email sekmesinin (görünüm) ayrıntılar tablosundaki bir girdinin Konu değerine tıkladıktan sonra, açılır listenin üst kısmındaki Eylem yap'ı seçtiğinizde Eylem gerçekleştirme sihirbazı yeni bir açılır pencerede açılır.

Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım veya Kimlik Avı görünümleri veya Gerçek zamanlı algılamalar bölümündeki ayrıntılar alanının Email sekmesinde bir Konu değeri seçtikten sonra e-posta ayrıntıları açılır öğesinde bulunan eylemlerin ekran görüntüsü.

Tehdit Gezgini'nde eylem gerçekleştirme sihirbazında ve Gerçek zamanlı algılamalarda kullanılabilen eylemler aşağıdaki tabloda listelenmiştir:

Eylem Tehdit
Explorer		 Gerçek zamanlı
Algılamalar
Posta kutusu klasörüne taşıma ✔¹
Gözden geçirme için Microsoft'a gönderin
Otomatik araştırma başlatma
Düzeltme önerme

¹ Bu eylem, Email & işbirliği izinlerinde Aramave Temizleme rolünü gerektirir. Varsayılan olarak, bu rol yalnızca Veri Araştırmacısı ve Kuruluş Yönetimi rol gruplarına atanır. Bu rol gruplarına kullanıcı ekleyebilir veya Arama ve Temizleme rolünün atandığı yeni bir rol grubu oluşturabilir ve kullanıcıları özel rol grubuna ekleyebilirsiniz.

  1. Yanıt eylemlerini seçin sayfasında, Email ileti eylemleri bölümünde aşağıdaki seçeneklerden birini veya daha fazlasını seçin:

    • Posta kutusu klasörüne taşı: Görüntülenen kullanılabilir değerlerden birini seçin:

      • Gereksiz: İletiyi Gereksiz Email klasörüne taşıyın.

      • Gelen Kutusu: İletiyi Gelen Kutusu'na taşıyın.

        İletinin En son teslim konumu özelliği için Karantina değeri varsa, Gelen Kutusu seçildiğinde ileti sayfada açıklandığı gibi karantinadan çıkar. Görüntülenen aşağıdaki değerlerden birini seçin:

        • E-postanın özgün alıcılarından birine veya daha fazlasına yayınlayın
        • Tüm alıcılara bırakın.

      • Silinmiş öğeler: İletiyi Silinmiş öğeler klasörüne taşıyın.

      • Geçici olarak silinen öğeler: İletiyi Silinmiş öğeler klasöründen silin (Kurtarılabilir Öğeler\Silmeler klasörüne gidin). İleti, kullanıcı ve yöneticiler tarafından kurtarılabilir.

      • Sabit silinmiş öğeler: Silinen iletiyi temizleme. Yöneticiler, tek öğeli kurtarmayı kullanarak sabit silinmiş öğeleri kurtarabilir. Sabit olarak silinen ve geçici olarak silinen öğeler hakkında daha fazla bilgi için bkz . Geçici olarak silinen ve sabit silinen öğeler.

    • Gözden geçirme için Microsoft'a gönderin: Görüntülenen kullanılabilir değerlerden birini seçin:

      • Temiz olduğunu doğruladım: İletinin temiz olduğundan eminseniz bu değeri seçin. Aşağıdaki seçenekler görüntülenir:

        • Bunun gibi iletilere izin ver: Bu değeri seçerseniz, gönderen ve iletideki ilgili URL'ler veya ekler için Kiracı İzin Ver/Engelle Listesine izin ver girdileri eklenir. Aşağıdaki seçenekler de görüntülenir:
          • Şu tarihten sonra girdiyi kaldır: Varsayılan değer 1 gündür, ancak 7 gün, 30 gün veya 30 günden kısa bir Belirli tarih de seçebilirsiniz.
          • Giriş notuna izin ver: Ek bilgiler içeren isteğe bağlı bir not girin.

      • Temiz görünüyor veya Şüpheli görünüyor: Emin değilseniz ve Microsoft'tan bir karar almak istiyorsanız bu değerlerden birini seçin.

      • Bunun bir tehdit olduğunu doğruladım: Öğenin kötü amaçlı olduğundan eminseniz bu değeri seçin ve ardından görüntülenen Kategori seçin bölümünde aşağıdaki değerlerden birini seçin:

        • Phish
        • Malware
        • Spam

        Bu değerlerden birini seçtikten sonra, Kiracı İzin Ver/Engelle listesine blok girdileri olarak eklemek üzere iletiyle ilişkili bir veya daha fazla varlığı (gönderen adresi, gönderen etki alanı, URL'ler veya dosya ekleri) seçebileceğiniz Engelleyecek varlıkları seçin açılır.

        Engelleyecek öğeleri seçtikten sonra, Blok kuralı ekle'yi seçerek Açılır öğeyi engellemek için varlıkları seçin seçeneğini kapatın. Alternatif olarak, öğe seçmeden İptal'i de seçebilirsiniz.

        Yanıt eylemlerini seçin sayfasına geri dönüp blok girişleri için bir süre sonu seçeneği belirleyin:

        • Süre sonu: Blok girişlerinin süresinin dolmak üzere bir tarih seçin.
        • Hiçbir zaman süresi dolmaz

        Engellenen varlık sayısı gösterilir (örneğin, engellenecek 4/4 varlık). Engelleye ekle kuralını yeniden açmak ve değişiklik yapmak için Düzenle'yi seçin.

    • Otomatik araştırma başlatma: Yalnızca Tehdit Gezgini. Görüntülenen aşağıdaki değerlerden birini seçin:

      • E-postayı araştırma
      • Alıcıyı araştırma
      • Göndereni araştırma
      • Kişi alıcıları

    • Düzeltme önerin: Görüntülenen aşağıdaki değerlerden birini seçin:

      • yeni İçerik Oluşturucu: Bu değer, İşlem merkezindeki bir yönetici tarafından onaylanması gereken geçici silme e-postası beklemede eylemini tetikler.
      • Var olana ekle: Var olan bir düzeltmeden bu e-posta iletisine eylem uygulamak için bu değeri kullanın. Aşağıdaki düzeltmelere e-posta gönder kutusunda var olan düzeltmeyi seçin.

    Yanıt eylemlerini seçin sayfasında işiniz bittiğinde İleri'yi seçin.

  2. Hedef varlıkları seçin sayfasında aşağıdaki seçenekleri yapılandırın:

    • Ad ve Açıklama: Seçili eylemi izlemek ve tanımlamak için benzersiz, açıklayıcı bir ad ve isteğe bağlı bir açıklama girin.

    Sayfanın geri kalanı, etkilenen varlıkları listeleyen bir tablodur. Tablo aşağıdaki sütunlara göre düzenlenmiştir:

    • Etkilenen varlık: Önceki sayfadan etkilenen varlıklar. Örneğin:
      • Alıcı e-posta adresi
      • Kiracının tamamı
    • Eylem: Önceki sayfadan varlıklar için seçilen eylemler. Örneğin:
      • Gözden geçirme için Microsoft'a Gönder'den değerler:
        • Temiz olarak bildir
        • Rapor
        • Kötü amaçlı yazılım olarak bildir, İstenmeyen posta olarak bildir veya Kimlik avı olarak bildir
        • Göndereni engelle
        • Gönderen etki alanını engelle
        • URL'yi engelle
      • Otomatik araştırma başlatma'dan değerler:
        • E-postayı araştırma
        • Alıcıyı araştırma
        • Göndereni araştırma
        • Kişi alıcıları
      • Düzeltme teklifindeki değerler:
        • Yeni düzeltme İçerik Oluşturucu
        • Var olan düzeltmeye ekle
    • Hedef varlık: Örneğin:
      • E-posta iletisinin Ağ İletisi Kimliği değeri .
      • Engellenen gönderen e-posta adresi.
      • Engellenen gönderen etki alanı.
      • Engellenen URL.
    • Süre sonu tarihi: Değerler yalnızca Kiracı/İzin Ver Engelleme Listesi'ndeki izin ver veya engelle girdileri için vardır. Örneğin:
      • Blok girişleri için hiçbir zaman süresi dolmaz.
      • İzin verme veya engelleme girdileri için son kullanma tarihi.
    • Kapsam: Genellikle bu değer MDO.

    Hedef varlıkları seçin sayfasında işiniz bittiğinde İleri'yi seçin.

  3. Gözden geçir ve gönder sayfasında önceki seçimlerinizi gözden geçirin.

    Etkilenen varlıkları csv dosyasına aktarmak için Dışarı Aktar'ı seçin. Varsayılan olarak, dosya adı İndirilenler klasöründe bulunan Etkilenen assets.csv'dir.

    Geri dönmek ve seçimlerinizi değiştirmek için Geri'yi seçin.

    Gözden geçir ve gönder sayfasında işiniz bittiğinde Gönder'i seçin.

Tehdit Gezgini ve Gerçek zamanlı algılamaları kullanarak tehdit avcılığı deneyimi

Tehdit Gezgini veya Gerçek zamanlı algılamalar, güvenlik operasyonları ekibinizin tehditleri verimli bir şekilde araştırmasına ve yanıtlamasına yardımcı olur. Aşağıdaki alt bölümlerde Tehdit Gezgini ve Gerçek zamanlı algılamaların tehditleri bulmanıza nasıl yardımcı olabileceği açıklanmaktadır.

Uyarılardan tehdit avcılığı

Uyarılar sayfası, Defender portalında Olaylar & Uyarılar'da> veya doğrudan adresindehttps://security.microsoft.com/alerts bulunabilir.

Algılama kaynağı değeri MDO birçok uyarı, uyarı ayrıntıları açılır öğesinin üst kısmında İletileri Gezgin'de görüntüle eylemine sahiptir.

Uyarının üzerinde ilk sütunun yanındaki onay kutusundan başka bir yere tıkladığınızda uyarı ayrıntıları açılır öğesi açılır. Örneğin:

  • Kötü amaçlı olabilecek bir URL tıklaması algılandı
  • Yönetici gönderim sonucu tamamlandı
  • Teslimden sonra kötü amaçlı URL içeren iletilerin kaldırılmasını Email
  • teslimden sonra kaldırılan iletileri Email
  • Teslimden sonra kaldırılmayan kötü amaçlı varlık içeren iletiler
  • ZAP devre dışı bırakıldığından kimlik avı engellenmedi

Defender portalındaki Uyarılar sayfasından MDO Algılamalar kaynak değeriyle bir uyarının uyarı ayrıntıları açılır öğesindeki kullanılabilir eylemlerin ekran görüntüsü.

Gezgin'de İletileri görüntüle'yi seçtiğinizde Tehdit Gezgini Tüm e-posta görünümünde açılır ve uyarı için Uyarı Kimliği özellik filtresi seçilidir. Uyarı Kimliği değeri, uyarı için benzersiz bir GUID değeridir (örneğin, 89e00cdc-4312-7774-6000-08dc33a24419).

Uyarı Kimliği , Tehdit Gezgini ve Gerçek zamanlı algılamalarda aşağıdaki görünümlerde filtrelenebilir bir özelliktir:

Bu görünümlerde Uyarı Kimliği , aşağıdaki sekmelerde (görünümler) grafiğin altındaki ayrıntılar alanında seçilebilir bir sütun olarak kullanılabilir:

Girdilerden birinden Konu değerine tıkladığınızda açılan e-posta ayrıntıları açılır öğesinde Uyarı Kimliği bağlantısı, açılır sayfanın Email ayrıntılar bölümünde bulunur. Uyarı Kimliği bağlantısı seçildiğinde uyarı seçili durumdayken uyarıları görüntüle sayfası https://security.microsoft.com/viewalertsv2 açılır ve uyarı için ayrıntılar açılır öğesi açılır.

Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım veya Kimlik Avı görünümlerinden Email sekmesindeki bir girdinin e-posta ayrıntıları açılır öğesinden uyarı kimliğini seçtikten sonra Uyarıları görüntüle sayfasındaki uyarı ayrıntıları açılır öğesinin ekran görüntüsü veya Gerçek zamanlı algılamalar.

Tehdit Gezgini'ndeki etiketler

Office 365 için Defender Plan 2'de, yüksek değerli hedef hesaplarını (örneğin, Öncelik hesabı etiketi) işaretlemek için kullanıcı etiketleri kullanırsanız, bu etiketleri filtre olarak kullanabilirsiniz. Bu yöntem, belirli bir zaman aralığında yüksek değerli hedef hesaplara yönlendirilen kimlik avı girişimlerini gösterir. Kullanıcı etiketleri hakkında daha fazla bilgi için bkz. Kullanıcı etiketleri.

Kullanıcı etiketleri Tehdit Gezgini'nde aşağıdaki konumlarda bulunur:

E-posta iletileri için tehdit bilgileri

E-posta iletilerinde ön teslim ve teslim sonrası eylemler, iletiyi etkileyen farklı teslim sonrası olaylarından bağımsız olarak tek bir kayıtta birleştirilir. Örneğin:

Tüm e-posta, Kötü Amaçlı Yazılım veya Kimlik Avı görünümlerindeki Email sekmesindeki (görünüm) e-posta ayrıntıları açılır öğesi, ilişkili tehditleri ve e-posta iletisiyle ilişkili ilgili algılama teknolojilerini gösterir. İletide sıfır, bir veya birden çok tehdit olabilir.

  • Teslim ayrıntıları bölümünde Algılama teknolojisi özelliği, tehdidi tanımlayan algılama teknolojisini gösterir. Algılama teknolojisi , Tehdit Gezgini'ndeki birçok görünüm ve Gerçek zamanlı algılamalar için ayrıntılar tablosunda grafik özeti veya sütun olarak da kullanılabilir.

  • URL'ler bölümünde iletideki tüm URL'ler için belirli Tehdit bilgileri gösterilir. Örneğin, Kötü Amaçlı Yazılım, Kimlik Avı, **İstenmeyen Posta veya Hiçbiri.

İpucu

Karar çözümlemesi varlıklara bağlı olmayabilir. Filtreler, bir karar atamadan önce e-posta iletisinin içeriğini ve diğer ayrıntılarını değerlendirir. Örneğin, bir e-posta iletisi kimlik avı veya istenmeyen posta olarak sınıflandırılabilir, ancak iletideki hiçbir URL kimlik avı veya istenmeyen posta kararıyla damgalanmamıştır.

E-posta iletisiyle ilgili ayrıntılı ayrıntıları görmek için açılır listenin üst kısmındaki E-posta varlığını aç'ı seçin. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'daki Email varlığı sayfası.

Tüm e-posta görünümünde ayrıntılar alanının Email sekmesinde bir Konu değeri seçtikten sonra e-posta ayrıntıları açılır öğesinin ekran görüntüsü.

Tehdit Gezgini'ndeki genişletilmiş özellikler

Aşağıdaki alt bölümlerde Tehdit Gezgini'ne özel filtreler açıklanmaktadır.

Exchange posta akışı kuralları (aktarım kuralları)

Exchange posta akışı kurallarından (aktarım kuralları olarak da bilinir) etkilenen iletileri bulmak için, Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerinde (gerçek zamanlı algılamalarda değil) aşağıdaki seçeneklere sahip olursunuz:

  • Exchange aktarım kuralıBirincil geçersiz kılma kaynağı, Geçersiz kılma kaynağı ve İlke türü filtrelenebilir özellikleri için seçilebilir bir değerdir.
  • Exchange aktarım kuralı filtrelenebilir bir özelliktir. Kuralın adı için kısmi bir metin değeri girersiniz.

Daha fazla bilgi için şu bağlantılara bakın:

Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerinin ayrıntılar alanının Email sekmesi (görünüm), varsayılan olarak seçilmeyen kullanılabilir bir sütun olarak Exchange aktarım kuralına da sahiptir. Bu sütun, aktarım kuralının adını gösterir. Daha fazla bilgi için şu bağlantılara bakın:

İpucu

Tehdit Gezgini'nde posta akışı kurallarını ada göre aramak için gereken izinler için bkz. Tehdit Gezgini ve Gerçek zamanlı algılamalar için izinler ve lisanslama. E-posta ayrıntıları açılır listelerinde, ayrıntı tablolarında ve dışarı aktarılan sonuçlarda kural adlarını görmek için özel izinler gerekmez.

Gelen bağlayıcılar

Gelen bağlayıcılar, Microsoft 365 için e-posta kaynakları için belirli ayarları belirtir. Daha fazla bilgi için bkz. Exchange Online'da bağlayıcıları kullanarak posta akışını yapılandırma.

Gelen bağlayıcılardan etkilenen iletileri bulmak için Bağlayıcı filtrelenebilir özelliğini kullanarak Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerinde (gerçek zamanlı algılamalarda değil) bağlayıcıları ada göre arayabilirsiniz. Bağlayıcının adı için kısmi bir metin değeri girersiniz. Daha fazla bilgi için şu bağlantılara bakın:

Tehdit Gezgini'ndeki Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerinin ayrıntılar alanı için Email sekmesi (görünüm), varsayılan olarak seçilmeyen kullanılabilir bir sütun olarak Bağlayıcı'ya da sahiptir. Bu sütun bağlayıcının adını gösterir. Daha fazla bilgi için şu bağlantılara bakın:

Tehdit Gezgini'nde ve Gerçek zamanlı algılamalarda Email güvenlik senaryoları

Belirli senaryolar için aşağıdaki makalelere bakın:

Tehdit Gezgini'ni ve Gerçek zamanlı algılamaları kullanmanın diğer yolları

Bu makalede açıklanan senaryolara ek olarak, Gezgin veya Gerçek zamanlı algılamalarda daha fazla seçeneğiniz vardır. Daha fazla bilgi için aşağıdaki makalelere bakın: