Microsoft 365'te teslim edilen kötü amaçlı e-postayı araştırma

Aboneliğine dahil Office 365 için Microsoft Defender veya eklenti olarak satın alınan Microsoft 365 kuruluşlarının Explorer (Tehdit Gezgini olarak da bilinir) veya Gerçek zamanlı algılamaları vardır. Bu özellikler, Güvenlik İşlemleri (SecOps) ekiplerinin tehditleri araştırmasına ve yanıtlamasına yardımcı olan güçlü ve neredeyse gerçek zamanlı araçlardır. Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'de Tehdit Gezgini ve Gerçek zamanlı algılamalar hakkında.

Tehdit Gezgini ve Gerçek zamanlı algılamalar, kuruluşunuzdaki kişileri riske atacak etkinlikleri araştırmanıza ve kuruluşunuzu korumak için eylem gerçekleştirmenize olanak tanır. Örneğin:

• İletileri bulma ve silme.
• Kötü amaçlı e-posta gönderenin IP adresini belirleyin.
• Daha fazla araştırma için bir olay başlatın.

Bu makalede, alıcı posta kutularında kötü amaçlı e-posta bulmak için Tehdit Gezgini ve Gerçek zamanlı algılamaların nasıl kullanılacağı açıklanmaktadır.

Başlamadan önce bilmeniz gerekenler

• Tehdit Gezgini, Office 365 için Defender Plan 2'ye dahildir. Office Plan 1 için Defender'da gerçek zamanlı algılamalar bulunur:

  • Tehdit Gezgini ile Gerçek zamanlı algılamalar arasındaki farklar, Tehdit Gezgini hakkında ve Office 365 için Microsoft Defender'deki gerçek zamanlı algılamalar bölümünde açıklanmıştır.
  • Office 365 için Defender Plan 2 ile Office Plan 1 için Defender arasındaki farklar Office 365 için Defender Plan 1 ile Plan 2 arasındaki bilgi sayfasında açıklanmıştır.

• Bir veya daha fazla kullanılabilir değer seçmenizi gerektiren filtre özellikleri için, filtre koşulundaki özelliğin tüm değerler seçiliyken kullanılması, özelliği filtre koşulunda kullanmamayla aynı sonucu verir.

• Tehdit Gezgini ve Gerçek zamanlı algılamalar için izinler ve lisans gereksinimleri için bkz. Tehdit Gezgini ve Gerçek zamanlı algılamalar için izinler ve lisanslama.

Teslim edilen şüpheli e-postayı bulma

1. Tehdit Gezgini'ni veya Gerçek zamanlı algılamaları açmak için aşağıdaki adımlardan birini kullanın:

   • Tehdit Gezgini: konumundaki Defender portalında https://security.microsoft.comEmail & Güvenlik>Gezgini'ne gidin. Veya doğrudan Gezgin sayfasına gitmek için kullanın https://security.microsoft.com/threatexplorerv3.
   • Gerçek zamanlı algılamalar: konumundaki Defender portalında https://security.microsoft.comEmail & Güvenlik>Gerçek zamanlı algılamalar bölümüne gidin. Veya doğrudan Gerçek zamanlı algılamalar sayfasına gitmek için kullanın https://security.microsoft.com/realtimereportsv3.

2. Gezgin veya Gerçek zamanlı algılamalar sayfasında uygun bir görünüm seçin:

   • Tehdit Gezgini: Tüm e-posta görünümünün seçili olduğunu doğrulayın.
   • Gerçek zamanlı algılamalar: Kötü Amaçlı Yazılım görünümünün seçili olduğunu doğrulayın veya Kimlik Avı görünümünü seçin.

3. Tarih/saat aralığını seçin. Varsayılan değer dün ve bugündür.

   

4. Aşağıdaki hedeflenen özelliklerin ve değerlerin bazılarını veya tümünü kullanarak bir veya daha fazla filtre koşulu oluşturun. Tam yönergeler için bkz. Tehdit Gezgini'nde özellik filtreleri ve Gerçek zamanlı algılamalar. Örneğin:

   • Teslim eylemi: Mevcut ilkeler veya algılamalar nedeniyle bir e-postada gerçekleştirilen eylem. Yararlı değerler şunlardır:

     • Teslim edildi: Email kullanıcının Gelen Kutusu'na veya kullanıcının iletiye erişebileceği başka bir klasöre teslim edilir.
     • Gereksiz: Email kullanıcının gereksiz Email klasörüne veya kullanıcının iletiye erişebileceği Silinmiş Öğeler klasörüne teslim edilir.
     • Engellendi: Karantinaya alınan, teslimi başarısız olan veya bırakılan iletileri Email.

   • Özgün teslim konumu: E-postanın sistem veya yöneticiler tarafından gerçekleştirilen otomatik veya el ile teslim sonrası eylemlerden önce gittiği yer (örneğin, ZAP veya karantinaya taşındı). Yararlı değerler şunlardır:

     • Silinmiş öğeler klasörü
     • Bırakılan: İleti posta akışında bir yerde kayboldu.
     • Başarısız: İleti posta kutusuna ulaşamadı.
     • Gelen Kutusu/klasör
     • Gereksiz klasör
     • Şirket içi/dışı: Posta kutusu Microsoft 365 kuruluşunda yok.
     • Karantina
     • Bilinmiyor: Örneğin, teslimden sonra gelen kutusu kuralı iletiyi Gelen Kutusu veya Gereksiz Email klasörü yerine varsayılan klasöre (örneğin, Taslak veya Arşiv) taşıdı.

   • Son teslim konumu: E-postanın sistem veya yöneticiler tarafından gerçekleştirilen otomatik veya el ile teslim sonrası eylemlerden sonra sona erdiği yer. Aynı değerler Özgün teslim konumundan da kullanılabilir.

   • Yön: Geçerli değerler şunlardır:

     • Gelen
     • Kuruluş içi
     • Giden

     Bu bilgiler kimlik sahtekarlığı ve kimliğe bürünme tanımlamaya yardımcı olabilir. Örneğin, iç etki alanı gönderenlerinden gelen iletiler Gelen değil kuruluş içi olmalıdır.

   • Ek eylem: Geçerli değerler şunlardır:

     • Otomatik düzeltme (Office 365 için Defender Plan 2)
     • Dinamik Teslim: Daha fazla bilgi için bkz. Güvenli Ekler ilkelerinde Dinamik Teslim.
     • El ile düzeltme
     • Hiçbiri
     • Karantina sürümü
     • Yeniden işlendi: İleti geçmişe dönük olarak iyi olarak tanımlandı.
     • ZAP: Daha fazla bilgi için bkz. Office 365 için Microsoft Defender'de Sıfır saat otomatik temizleme (ZAP).

   • Birincil geçersiz kılma: Kuruluş veya kullanıcı ayarlarına izin veriliyorsa veya engellenmiş iletilerde aksi takdirde engellenmiş veya izin veriliyordu. Değerler şunlardır:

     • Kuruluş ilkesi tarafından izin verilir
     • Kullanıcı ilkesi tarafından izin verilir
     • Kuruluş ilkesi tarafından engellendi
     • Kullanıcı ilkesi tarafından engellendi
     • Hiçbiri

     Bu kategoriler Birincil geçersiz kılma kaynak özelliği tarafından daha da iyileştirilir.

   • Birincil geçersiz kılma kaynağı Başka türlü engellenen veya izin verilen iletilere izin veren veya engellenen kuruluş ilkesi veya kullanıcı ayarı türü. Değerler şunlardır:

     • 3. Taraf Filtresi
     • Yönetici başlatılan zaman yolculuğu
     • Dosya türüne göre kötü amaçlı yazılımdan koruma ilkesi bloğu: Kötü amaçlı yazılımdan koruma ilkelerinde yaygın ekler filtresi
     • Antispam ilkesi ayarları
     • Bağlantı ilkesi: Bağlantı filtrelemeyi yapılandırma
     • Exchange aktarım kuralı (posta akışı kuralı)
     • Özel kullanım modu (Kullanıcı geçersiz kılma): Posta kutusunda güvenli liste koleksiyonundakiGüvenilir gönderenler ve etki alanları listemdeki adreslerden gelen yalnızca güven e-postası ve Güvenli posta listeleri ayarı.
     • Şirket içi kuruluş nedeniyle filtreleme atlandı
     • İlkeden IP bölgesi filtresi: Bu ülkelerden filtresi istenmeyen posta önleme ilkeleri.
     • İlkeden dil filtresi: İstenmeyen posta önleme ilkelerindeBelirli dilleri içerir filtresi.
     • Kimlik Avı Benzetimi: Gelişmiş teslim ilkesinde üçüncü taraf kimlik avı simülasyonlarını yapılandırma
     • Karantina sürümü: Karantinaya alınmış e-postayı serbest bırakma
     • SecOps Posta Kutusu: Gelişmiş teslim ilkesinde SecOps posta kutularını yapılandırma
     • Gönderen adres listesi (Yönetici Geçersiz Kılma): İstenmeyen posta önleme ilkelerinde izin verilen gönderenler listesi veya engellenen gönderenler listesi.
     • Gönderen adres listesi (Kullanıcı geçersiz kılma):Posta kutusunda güvenli liste koleksiyonundakiEngellenen Gönderenler listesindeki gönderen e-posta adresleri.
     • Gönderen etki alanı listesi (Yönetici Geçersiz Kılma): İstenmeyen posta önleme ilkelerinde izin verilen etki alanları listesi veya engellenen etki alanları listesi.
     • Gönderen etki alanı listesi (Kullanıcı geçersiz kılma):Posta kutusunda güvenli liste koleksiyonundakiEngellenen Gönderenler listesindeki gönderen etki alanları.
     • Kiracı İzin Ver/Engelle Listesi dosya bloğu: Dosyalar için blok girdileri oluşturma
     • Kiracı İzin Ver/Engelle Listesi gönderen e-posta adresi bloğu: Etki alanları ve e-posta adresleri için blok girdileri oluşturma
     • Kiracı İzin Ver/Engelle Listesi kimlik sahtekarı bloğu: Sahte gönderenler için blok girdileri oluşturma
     • Kiracı İzin Ver/Engelle Listesi URL bloğu: URL'ler için blok girdileri oluşturma
     • Güvenilen kişi listesi (Kullanıcı geçersiz kılma):Posta kutusunda güvenli liste koleksiyonundakiKişilerimden gelen e-postaya güven ayarı.
     • Kiracı İzin Ver/Engelle Listesi dosya bloğu: Dosyalar için blok girdileri oluşturma
     • Güvenilen etki alanı (Kullanıcı geçersiz kılma): Posta kutusunda güvenli liste koleksiyonundakiGüvenilir Gönderenler listesindeki gönderen etki alanları.
     • Güvenilen alıcı (Kullanıcı geçersiz kılma):Alıcı e-posta adresleri veya posta kutusunda güvenli liste koleksiyonundakiGüvenilir Alıcılar listesindeki etki alanları.
     • Yalnızca güvenilir gönderenler (Kullanıcı geçersiz kılma): Yalnızca Güvenli Listeler: Yalnızca Güvenilir Gönderenler Listenizdeki veya Güvenilir Alıcılar Listenizdeki kişi veya etki alanlarından gelen postalar, posta kutusundaki güvenli liste koleksiyonundaki Gelen Kutusu ayarınıza teslim edilir.

   • Geçersiz kılma kaynağı: Birincil geçersiz kılma kaynağıyla aynı kullanılabilir değerler.

     İpucu

     Tüm e-posta, Kötü Amaçlı Yazılım ve Kimlik Avı görünümlerinin ayrıntılar alanındaki Email sekmesinde (görünüm) ilgili geçersiz kılma sütunları Sistem geçersiz kılmaları ve Sistem geçersiz kılmaları kaynağı olarak adlandırılır.

   • URL tehdidi: Geçerli değerler şunlardır:

     • Kötü amaçlı yazılım
     • Kimlik avı
     • Spam

5. Tarih/saat ve özellik filtrelerini yapılandırmayı bitirdiğinizde Yenile'yi seçin.

Tüm e-posta, Kötü Amaçlı Yazılım veya Kimlik Avı görünümlerinin ayrıntılar alanındaki Email sekmesi (görünüm), şüpheli e-postayı araştırmak için ihtiyacınız olan ayrıntıları içerir.

Örneğin, etkilenen iletilerin nereye gittiğinin tam bir resmini almak için Email sekmesindeki (görünüm) Teslim Eylemi, Özgün teslim konumu ve Son teslim konumu sütunlarını kullanın. Değerler 4. Adım'da açıklanmıştır.

Csv dosyasına filtrelenmiş veya filtrelenmemiş 200.000 adede kadar sonucu seçmeli olarak dışarı aktarmak için Dışarı Aktar'ı kullanın.

Teslim edilen kötü amaçlı e-postayı düzeltme

Teslim edilen kötü amaçlı e-posta iletilerini tanımladıktan sonra, bunları alıcı posta kutularından kaldırabilirsiniz. Yönergeler için bkz . Microsoft 365'te teslim edilen kötü amaçlı e-postayı düzeltme.

İlgili makaleler

Office 365'te teslim edilen kötü amaçlı e-postaları düzeltme

Office 365 için Microsoft Defender

Office 365 için Defender için raporları görüntüleme