EOP'de sahte zeka içgörüleri

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.

posta kutuları olmayan Exchange Online veya tek başına Exchange Online Protection (EOP) kuruluşlarında posta kutuları olan Microsoft 365 Exchange Online kuruluşlarında, gelen e-posta iletileri kimlik sahtekarlığına karşı otomatik olarak korunur. EOP, kuruluşunuzun kimlik avına karşı genel savunmasının bir parçası olarak kimlik sahtekarlığı zekasını kullanır. Daha fazla bilgi için bkz. EOP'de kimlik sahtekarlığı önleme koruması.

Gönderen bir e-posta adresini sahtekarlık ettiğinde, kuruluşunuzun etki alanlarından birinde veya kuruluşunuza e-posta gönderen bir dış etki alanındaki kullanıcı olarak görünür. Gönderenleri istenmeyen posta veya kimlik avı e-postası göndermek üzere sahtekarlık yapan saldırganların engellenmesi gerekir. Ancak, yasal gönderenlerin sahtekarlık yaptığı senaryolar vardır. Örneğin:

  • İç etki alanlarını sahtekarlık için geçerli senaryolar:

    • Üçüncü taraf gönderenler, şirket anketleri için kendi çalışanlarınıza toplu posta göndermek için etki alanınızı kullanır.
    • Harici bir şirket sizin yerinize reklam veya ürün güncelleştirmeleri oluşturur ve gönderir.
    • Bir yardımcı düzenli olarak kuruluşunuzdaki başka bir kişiye e-posta göndermesi gerekir.
    • İç uygulama e-posta bildirimleri gönderir.
  • Dış etki alanlarını kimlik sahtekarlığına yönelik geçerli senaryolar:

    • Gönderen bir posta listesindedir (tartışma listesi olarak da bilinir) ve posta listesi, özgün gönderenden gelen e-postayı posta listesindeki tüm katılımcılara aktarır.
    • Dış şirket, başka bir şirket (örneğin, otomatik bir rapor veya hizmet olarak yazılım şirketi) adına e-posta gönderir.

Size doğrulanmamış e-posta (SPF, DKIM veya DMARC denetimlerinden geçmeyen etki alanlarından gelen iletiler) yasal olarak gönderen sahte gönderenleri hızla belirlemek ve bu gönderenlere el ile izin vermek için Microsoft Defender portalındaki kimlik sahtekarlığına ilişkin bilgi sahtekarlık içgörülerini kullanabilirsiniz.

Bilinen gönderenlerin bilinen konumlardan sahte iletiler göndermesine izin vererek, hatalı pozitif sonuçları (kötü olarak işaretlenmiş iyi e-posta) azaltabilirsiniz. İzin verilen sahte gönderenleri izleyerek, güvenli olmayan iletilerin kuruluşunuza gelmesini önlemek için ek bir güvenlik katmanı sağlarsınız.

Benzer şekilde, kimlik sahtekarlığına izin verilen sahte gönderenleri gözden geçirmek ve bu gönderenleri el ile engellemek için sahte zeka içgörülerini kullanabilirsiniz.

Bu makalenin geri kalanında, Microsoft Defender portalında ve PowerShell'de (Exchange Online Microsoft 365 kuruluşları için PowerShell'de posta kutuları Exchange Online; Exchange Online olmayan kuruluşlar için tek başına EOP PowerShell)'de kimlik sahtekarı zeka içgörülerinin nasıl kullanılacağı açıklanmaktadır. posta kutuları).

Not

  • Sahte zeka içgörülerinde yalnızca sahte zeka tarafından algılanan sahte gönderenler görünür. İçgörüde izin verme veya engelleme kararını geçersiz kıldığınızda, sahte gönderen, konumundaki Kiracı İzin Ver/Engelle Listeler sayfasındaki https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemKimlik Sahtekarı gönderenler sekmesinde görünen el ile izin verme veya engelleme girdisi olur. Ayrıca sahte gönderenler için kimlik sahtekarlık zekası tarafından algılanana kadar el ile izin verme veya engelleme girdileri oluşturabilirsiniz. Daha fazla bilgi için bkz . Kiracı İzin Ver/Engelle Listesi'nde kimlik sahtekarı gönderenler.

  • Kimlik sahtekarlığı zekası içgörülerindeki İzin Ver veya EngelleEylem değerleri, kimlik sahtekarlığı algılamaya (Microsoft 365'in iletiyi sahte olarak tanımlayıp tanımlamadığına) başvurur. Eylem değeri, iletinin genel filtrelemesini mutlaka etkilemez. Örneğin, hatalı pozitif sonuçları önlemek için, kötü amaçlı olmadığını tespit ettiğimizde sahte bir ileti teslim edilebilir.

  • Kiracı İzin Ver/Engelle listesindeki kimlik sahtekarlığı bilgileri içgörüleri ve Kimlik Sahtekarlığı gönderenler sekmesi, Güvenlik & Uyumluluk Merkezi'ndeki istenmeyen posta önleme ilkesi sayfasında bulunan kimlik sahtekarlığı zekası ilkesinin işlevselliğinin yerini alır.

  • Sahte zeka içgörüleri 7 günlük verileri gösterir. Get-SpoofIntelligenceInsight cmdlet'i 30 günlük verileri gösterir.

Başlamadan önce bilmeniz gerekenler

Microsoft Defender portalında sahte zeka içgörülerini bulma

  1. konumundaki Microsoft Defender portalındahttps://security.microsoft.com, Kurallar bölümünde Email & İşbirliği>İlkeleri & Kurallar>Tehdit ilkeleri>Kiracı İzin Ver/Engelle Listeler gidin. Ya da doğrudan Kiracı İzin Ver/Engelle Listeler sayfasına gitmek için kullanınhttps://security.microsoft.com/tenantAllowBlockList.

  2. Sahte gönderenler sekmesini seçin.

  3. Sahte gönderenler sekmesinde sahte zeka içgörüleri şöyle görünür:

    Kimlik avı önleme ilkesi sayfasındaki Kimlik sahtekarlığı zekası içgörüleri

    İçgörü iki moda sahiptir:

    • İçgörü modu: Kimlik sahtekarlık zekası etkinleştirildiyse, içgörü size son yedi gün içinde kimlik sahtekarı zekası tarafından kaç ileti algılandığını gösterir.
    • Durum modu: Kimlik sahtekarı zekası devre dışı bırakılırsa, içgörü size son yedi gün içinde kimlik sahtekarı zekası tarafından kaç ileti algılandığını gösterir.

Kimlik sahtekarı zekası algılamalarıyla ilgili bilgileri görüntülemek için kimlik sahtekarlık zekası içgörüsünde Kimlik sahtekarlık etkinliğini görüntüle'yi seçerek Kimlik sahtekarı zekası içgörü sayfasına gidin.

Kimlik sahtekarı algılamaları hakkındaki bilgileri görüntüleme

Not

Unutmayın, bu sayfada yalnızca kimlik sahtekarı zekası tarafından algılanan sahte gönderenler görünür.

konumundaki Kimlik sahtekarı zekası içgörüleri sayfasıhttps://security.microsoft.com/spoofintelligence, Kiracı İzin Ver/Engelle Listeler sayfasındaki Sahte gönderenler sekmesindeki sahte zeka içgörülerinden Kimlik sahtekarlıketkinliğini görüntüle'yi seçtiğinizde kullanılabilir.

Kimlik sahtekarı zekası içgörü sayfasında, kullanılabilir bir sütun üst bilgisine tıklayarak girişleri sıralayabilirsiniz. Aşağıdaki sütunlar kullanılabilir:

  • Kimlik sahtekarlığına sahip kullanıcı: E-posta istemcilerindeki Kimden kutusunda görüntülenen sahte kullanıcının etki alanı. Kimden adresi, adres olarak 5322.From da bilinir.
  • Altyapı gönderme: Altyapı olarak da bilinir. Gönderen altyapı aşağıdaki değerlerden biridir:
    • Kaynak e-posta sunucusunun IP adresinin ters DNS aramasında (PTR kaydı) bulunan etki alanı.
    • Kaynak IP adresinin PTR kaydı yoksa, gönderen altyapı kaynak IP>/24 olarak <tanımlanır (örneğin, 192.168.100.100/24).
    • Doğrulanmış bir DKIM etki alanı.
  • İleti sayısı: Son yedi gün içinde sahte etki alanı ile kuruluşunuza gönderilen altyapının birleşiminden gelen iletilerin sayısı.
  • Son görülen: Sahte etki alanını içeren gönderen altyapıdan iletinin alındığı son tarih.
  • Kimlik sahtekarı türü: Aşağıdaki değerlerden biri:
    • İç: Sahte gönderen, kuruluşunuza ait bir etki alanındadır ( kabul edilen bir etki alanı).
    • Dış: Sahte gönderen bir dış etki alanında.
  • Eylem: Bu değer İzin Verildi veya Engellendi:

Sahte gönderenlerin listesini normalden sıkıştırma aralığına değiştirmek için Liste aralığını sıkıştır veya normal olarak değiştir'i ve ardından Listeyi sıkıştır'ı seçin.

Girişleri filtrelemek için Filtrele'yi seçin. Açılan Filtre açılır öğesinde aşağıdaki filtreler kullanılabilir:

  • Kimlik sahtekarı türü: Kullanılabilir değerler İç ve Dış değerleridir.
  • Eylem: Kullanılabilir değerler İzin Ver ve Engelle'dir

Filtre açılır öğesinde işiniz bittiğinde Uygula'yı seçin. Filtreleri temizlemek için Filtreleri temizle'yi seçin.

Belirli girdileri bulmak için Arama kutusunu ve ilgili değeri kullanın.

Kimlik sahtekarı algılama listesini csv dosyasına aktarmak için Dışarı Aktar'ı kullanın.

Kimlik sahtekarı algılamalarıyla ilgili ayrıntıları görüntüleme

İlk sütunun yanındaki onay kutusunun dışındaki bir satıra tıklayarak listeden bir kimlik sahtekarı algılaması seçtiğinizde, aşağıdaki bilgileri içeren bir ayrıntı açılır öğesi açılır:

  • Bunu neden yakaladık? section: Bu göndereni neden sahte olarak algıladığımız ve daha fazla bilgi için yapabilecekleri.

  • Etki alanı özeti bölümü: Ana Spoof intelligence içgörü sayfasından aynı bilgileri içerir.

  • WhoIs veri bölümü: Gönderenin etki alanı hakkında teknik bilgiler.

  • Gezgin araştırma bölümü: Office 365 için Defender kuruluşta bu bölüm, Kimlik Avı sekmesinde gönderen hakkında ek ayrıntıları görmek için Tehdit Gezgini'ni açma bağlantısı içerir.

  • Benzer E-postalar bölümü: Kimlik sahtekarı algılama hakkında aşağıdaki bilgileri içerir:

    • Tarih
    • Konu
    • Alıcı
    • Gönderen
    • Gönderen IP'i

    Gösterilen sütunları kaldırmak için Sütunları özelleştir'i seçin. İşiniz bittiğinde Uygula'yı seçin.

İpucu

Ayrıntılar açılır öğesinden çıkmadan diğer girişlerle ilgili ayrıntıları görmek için, açılır öğenin üst kısmındaki Önceki öğe ve Sonraki öğe'yi kullanın.

Kimlik sahtekarlığı algılamasını İzin Ver veya engelle olarak değiştirmek için sonraki bölüme bakın.

Sahte zeka kararını geçersiz kılma

konumundaki Kimlik sahtekarı zekası içgörüleri sayfasında https://security.microsoft.com/spoofintelligence, sahte zeka kararını geçersiz kılmak için aşağıdaki yöntemlerden birini kullanın:

  • İlk sütunun yanındaki onay kutusunu seçerek listeden bir veya daha fazla girdi seçin.

    1. Görüntülenen Toplu eylemler eylemini seçin.
    2. Açılan Toplu eylemler açılır listesinde Kimlik sahtekarlığına izin ver'i veya Kimlik sahtekarlığına engel olun'ı ve ardından Uygula'yı seçin.
  • Onay kutusundan başka bir satıra tıklayarak listeden girdiyi seçin.

    Açılan ayrıntılar açılır öğesinde, açılır listenin üst kısmındaki Kimlik sahtekarlığına izin ver veya Kimlik sahtekarlığına engel olun'ı ve ardından Uygula'yı seçin.

Kimlik sahtekarı zekası içgörü sayfasına geri döndüğünüzde, girdi listeden kaldırılır ve konumundaki Kiracı İzin Ver/Engelle Listeler sayfasındaki Kimlik sahtekarı gönderenler sekmesine https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemeklenir.

İzin verilen sahte gönderenler hakkında

İzin verilen sahte gönderenden gelen iletilere (otomatik olarak algılanır veya el ile yapılandırılır) yalnızca kimlik sahtekarlığı yapılan etki alanının ve gönderen altyapının birleşimi kullanılarak izin verilir. Örneğin, aşağıdaki sahte gönderenin kimlik sahtekarlığına izin verilir:

  • Etki alanı: gmail.com
  • Altyapı: tms.mx.com

Yalnızca bu etki alanından/gönderen altyapı çiftinden gelen e-postaların kimlik sahtekarlığına izin verilir. gmail.com sahtekarlık yapmaya çalışan diğer gönderenlere otomatik olarak izin verilmez. Tms.mx.com kaynaklı diğer etki alanlarındaki gönderenlerden gelen iletiler yine kimlik sahtekarlığına göre denetleniyor ve engellenebilir.

Exchange Online PowerShell veya tek başına EOP PowerShell'de sahte zeka içgörülerini kullanma

PowerShell'de, sahte zeka tarafından algılanan izin verilen ve engellenen sahte gönderenleri görüntülemek için Get-SpoofIntelligenceInsight cmdlet'ini kullanırsınız. Sahte gönderenlere el ile izin vermek veya engellemek için New-TenantAllowBlockListSpoofItems cmdlet'ini kullanmanız gerekir. Daha fazla bilgi için bkz. Kiracı İzin Ver/Engelle Listesinde sahte gönderenler için izin verme girdileri oluşturmak için PowerShell kullanma ve Kiracı İzin Ver/Engelle Listesi'nde sahte gönderenler için blok girdileri oluşturmak için PowerShell kullanma.

Bilgi sahtekarlığı içgörülerindeki bilgileri görüntülemek için aşağıdaki komutu çalıştırın:

Get-SpoofIntelligenceInsight

Ayrıntılı söz dizimi ve parametre bilgileri için bkz. Get-SpoofIntelligenceInsight.

Kimlik sahtekarlığı ve kimlik avı yönetiminin diğer yolları

Kimlik sahtekarlığı ve kimlik avı koruması konusunda dikkatli olun. Etki alanınızı sahtekarlık yapan gönderenleri denetlemenin ve kuruluşunuza zarar vermelerini önlemeye yardımcı olmanın ilgili yolları şunlardır: