Office 365 Advanced Threat Protection – Exchange Online Advanced Threat Protection – ATP
Bu makalemizde Office 365 içerisinde yer alan Advanced Threat Protection (ATP) ürününü inceleyeceğiz. ATP ürünü ile gelen maillerde linklerin ve eklerin güvenirliliğini yönetebiliyor olacağız.
Exchange Online Protection (EOP) anti spam ve anti mallware bileşenleri ile Office 365 ürünlerinde ki tüm paketlerde standard olarak gelmektedir. EOP genel olarak kuruluşların ihtiyaçlarını karşılamaktadır. Fakat olağandışı tehditlere karşı kimlik hırsızlığı atakları veya sıfırıncı gün atakları olarak adlandırdığımız ataklara karşı korunmaya ihtiyacı vardır. Advanced Threat Protection (ATP) ürünü bu tarz ataklara karşı koruma sağlamaktadır.
Office 365 Gereksinimleri
Advanced Threat Protection (ATP) ürününü Office 365 aboneliğinize ek olaraktan ekmeniz gerekmektedir. Aralık ayı itibariyle piyasaya çıkan Office 365 E5 paketi içerisine dahildir.
Lokal Exchange Gereksinimleri
Lokal Exchange kullanıcıları için daha önceden EOP ürününün kullanımını sağlayabiliyorduk. Yine aynı şekilde EOP ürününün kullanımı nasıl sağlıyorsak yine aynı şekilde ATP ürününün de kullanımını sağlayabiliyoruz.
Örnek Senaryolar
Bu senaryomuzda organizasyon içerisinde kimlik hırsızlığı atakları veya sıfırıncı gün ataklarının nasıl işlendiğini göreceğiz.
Genellikle gelen maillerdeki URL’ler kullanıcıya zararsız gözükse de kimlik hırsızlığı yapmak için kullanılan tekniktir. Kullanıcı linke tıkladığında kimlik bilgileri karşı tarafa gider.
Senaryo 1: Burada kullanıcı URL’e tıkladığında kimlik bilgilerinin karşı tarafa gittiğini görüyoruz.
Bir diğer tehdit ise genellikle finans, satınalma, muhasebe ve insan kaynakları departmanlarına yönelik sıfırıncı gün ataklarıdır. Bu ataklar ile kullanıcıya iletilen mailin içerisinde ki ekleri kullanıcı açtığında yıkıcı etkileri olabilir.
Senaryo 2: Sıfırıncı gün ataklarına maruz kalmış bir kullanıcı örneği.
Güvenli Linkler
ATP’nin ilk özelliği kimlik hırsızlıklarına karşı güvenli link özelliğini sağlamaktır. Bir mail EOP tarafından alındığında kontrol edilir. Gelen mail güvenli bağlantılar ilkesi ile eşleşirse ATP “safelinks.protection.outlook.com” altında, Microsoft tarafından barındırılan özel URL’ler ile mesajın içerisindeki URL’leri değiştirmek ve orijinal içeriği kullanıcıya yeniden yönlendirebilmeniz için tasarlanmıştır. Mail daha sonra kullanıcıya normal olarak teslim edilir.
Senaryo 3: ATP ile alınan bir mail de URL değiştirme.
Mail kullanıcıya geldikten sonra kullanıcı maili içerisindeki linki açmaya çalıştığında link kontrolü tekrardan gerçekleştirilerek açılır.
Senaryo 4: Bir kullanıcı bir mailin içerisinde ATP ile yeniden yazılmış URL’e tıkladığında gerçekleşen işlem.
Güvenli Ekler
EOP ve diğer anti malware yazılımları bilinen tehditleri algılamak için kullanılır. Fakat sıfırıncı gün olarak adlandırdığımız saldırıları belirlemek konusunda etkili değillerdir. EOP zaten bilinen kötü amaçlı yazılımlara karşı koruma sağlamaktadır. ATP özelliği etkin olduğunda ise mailin içerisinde gelen ek Azure üzerinde izole edilmiş bir sanal makine içerisinde eki sizin yerinize açar ve ek içerisinde kötü amaçlı yazılım olup olmadığını tespit eder. Burayı patlama odası olarak ta adlandırabiliriz.
Mail içerisinde ki ekin kötü etkilerini belirlemek yaklaşık olarak 10 dakika sürer. Ekin olumsuz etkileri görünüyorsa ek alıcıya teslim edilmez.
Şekil 5: Güvenli eklerin nasıl çalıştığını gösteren işlem.
Bu özellik ile mailin teslim edilmesi sırasında bilinmeyen tehditlere karşı ek bir katman sağlamış olunur.
Şimdi ATP ürününe ait güvenli linkler ve güvenli eklerin nasıl yapılandırılacağına bakacağız.
Güvenli Link Politikası Tanımlama
Güvenli linkler politikası oluşturmak için Exchange Yönetim Merkezinden “Gelişmiş tehditler” bölümünü açıyoruz.
Resim 01
Güvenli bağlantılar kısmını açtıktan sonra ekle “+” butonuna tıklıyoruz. Gelen ekranda ilkenin adını, uygulayacağı işlemi ve kullanıcılara mı yoksa tüm etki alanına uygulanacağını belirledikten sonra ilkeyi kaydediyoruz.
Resim 02
Güvenli bağlantı politikasını “bulutnet.net” alan adını kullanan ve ATP lisansına sahip olan kullanıcılar üzerinde uygulamış olduk.
Güvenli Ekler Politikası Oluşturma
Güvenli ekler politikasını oluşturmak için Exchange Yönetim Merkezinden “Gelişmiş tehditler” bölümüne açıyoruz.
Resim 03
Güvenli ekler kısmını açtıktan sonra ekle “+” butonuna tıklıyoruz. Gelen ekranda ilkenin adını, uygulayacağı işlemi ve kullanıcılara mı yoksa tüm etki alanına uygulanacağını belirledikten sonra ilkeyi kaydediyoruz.
Resim 04
Güvenli ekler politikasını “bulutnet.net” alan adına ve ATP lisansına sahip olan kullanıcılara uygulamış olduk. Gelen mailin içeriğinde ek varsa ekler Azure üzerinde bulunan izole edilmiş sanal makine de açılıp kontrol işlemleri bittikten sonra kullanıcıya teslim edilecek.
Umarım faydalı bir makale olmuştur. Diğer makalemizde görüşmek dileğiyle.