Bir önceki makalemiz ile Exchange Online Advanced Threat Protection komutlarının kullanımlarını göstermiştik. Bu makalemizde de Exchange Online Protection servisine ilişkin Malware PowerShell komutları ile kaldığımız yerden devam ediyoruz.
Anti-Malware PowerShell Komutları
· New-MalwareFilterPolicy
· Remove-MalwareFilterPolicy
· Set-MalwareFilterPolicy
Anti-Malware PowerShell Komutları
New-MalwareFilterPolicy
New-MalwareFilterPolicy komutu, organizasyon içerisinde yeni kötü amaçlı yazılım filtre politikalarını oluşturmak için kullanılır. Parametre olarak ( Name, Action, AdminDisplayName, BypassInboundMessages, BypassOutboundMessages, Confirm, CustomAlertText, CustomExternalBody, CustomExternalSubject, CustomFromAddress, CustomFromName, CustomInternalBody, CustomInternalSubject, CustomNotifications, DomainController, EnableExternalSenderAdminNotifications, EnableExternalSenderNotifications, EnableFileFilter, EnableInternalSenderAdminNotifications, EnableInternalSenderNotifications, ExternalSenderAdminAddress, FileTypes, InternalSenderAdminAddress, WhatIf ) parametrelerini alır.
Name: Name parametresi, yeni oluşturulacak olan kötü amaçlı yazılım filtre ilkesi için bir ad belirtmek için kullanılır. Değer boşluk içeriyorsa, tırnak ( “) içerisine alınmalıdır.
Action: Action parametresi, kötü amaçlı yazılım bir mesaj içerisinde tespit edildiğinde gerçekleştirilecek eylemin ne olacağını belirtmek için kullanılır. Bu parametre için geçerli değerler şunlardır:
BlockMessage: Kötü amaçlı yazılım tespit edildiğinde mesajı engellemek için kullanılır.
ReplaceWithDefaultAlert: Kötü amaçlı yazılım tespit edildiğinde, varsayılan uyarı metni ile mesaj içeriğini değiştirir.
ReplaceWithCustomAlert: Kötü amaçlı yazılım tespit edildiğinde, bizim oluşturmuş olduğumuz uyarı metni ile mesaj içeriğini değiştirir.
Varsayılan değer BlockMessage değeridir.
AdminDisplayName: AdminDisplayName parametresi, kötü amaçlı yazılım filtresi politikasına bir açıklama eklemek için kullanılır. Değer boşluk içeriyorsa, tırnak ( “) içerisinde yazılmalıdır.
BypassInboundMessages: BypassInboundMessages parametresi, gelen mesajları malware taramasına zorlar ya da taranmadan iletilmesini sağlar. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $false değeridir. Varsayılan olarak gelen mesajlar için malware tarama özelliği etkin olur.
BypassOutboundMessages: BypassOutboundMessages parametresi, giden mesajları malware taramasına zorlar ya da taranmadan iletilmesini sağlar. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $false değeridir. Varsayılan olarak gelen mesajlar için malware tarama özelliği etkin olur.
Confirm: Confirm parametresi, onay gerektiren işlemlerde onayın otomatik olarak verilmesi için kullanılır. Değer olarak $true ya da $false değerlerini alır. Varsayılan olarak $false değerine sahiptir.
CustomAlertText: CustomAlertText parametresi, kötü amaçlı yazılım tespit edildiğinde mesaja özel bir uyarı metni eklemek için kullanılır. Bu parametrenin kullanılabilmesi için ReplaceWithCustomAlert parametresinin kullanılması gereklidir. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomExternalBody: CustomExternalBody parametresi, harici bir alıcıya gönderilen bir mesaj içerisinde kötü amaçlı yazılım içerdiğinde özel bildirim iletisinin gövdesinde ne yazılacağını belirtmek için kullanılır. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomExternalSubject: CustomExternalSubject parametresi, harici bir alıcıya gönderilen bir mesaj içerisinde kötü amaçlı yazılım içerdiğinde özel bildirim iletisinin konusunda ne yazılacağını belirtmek için kullanılır. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomFromAddress: CustomFromAddress parametresi, iç ve dış alıcılara gönderilen bir mesaj içerisinde kötü amaçlı yazılım içerdiğinde özel bildirim iletisinin hangi mail adresi tarafından gönderileceğini belirtmek için kullanılır. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomFromName: CustomFromName parametresi, iç ve dış alıcılara gönderilen bir mesaj içerisinde kötü amaçlı yazılım içerdiğinde özel bildirim iletisinin kimin tarafından gönderileceğini belirtmek için kullanılır. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomInternalBody: CustomInternalBody parametresi, kötü amaçlı yazılım gönderen gönderene, iletilecek olan özel bildirim iletisinin gövdesinde ne yazılacağını belirtmek için kullanılır. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomInternalSubject: CustomInternalSubject parametresi, kötü amaçlı yazılım gönderen gönderene, iletilecek olan özel bildirim iletisinin konusunda ne yazılacağını belirtmek için kullanılır. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomNotifications: CustomNotifications parametresi, mesaj kötü amaçlı yazılım içerdiğinde gönderene özel bildirim mesajı etkinleştirir veya devre dışı bırakır. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $ false değeridir.
DomainController: DomainController parametresi, sadece Exchange Server 2016 ile beraber kullanılır. Active Directory veri tabanına veri yazmak için kullanılır.
EnableExternalSenderAdminNotifications: EnableExternalSenderAdminNotifications parametresi, kötü amaçlı yazılım dış gönderenlerden gelen iletiler tespit edildiğinde yönetici bildirim mesaj göndermek için kullanılır. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $ false değeridir.
EnableExternalSenderNotifications: EnableExternalSenderNotifications parametresi, kötü amaçlı yazılım dış gönderenlerden gelen iletiler tespit edildiğinde gönderenlere bildirim mesaj göndermek için kullanılır. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $ false değeridir.
EnableFileFilter: EnableFileFilter parametresi, mesaj içerisinde gelen kötü amaçlı yazılımları engellemeyi aktif etmek veya pasif etmek için kullanılır. Değer olarak $true ya da $false değerlerini alır.
EnableInternalSenderAdminNotifications: EnableInternalSenderAdminNotifications parametresi, kötü amaçlı yazılım iç gönderenlerden gelen iletiler tespit edildiğinde yönetici bildirim mesaj göndermek için kullanılır. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $ false değeridir.
EnableInternalSenderNotifications: EnableInternalSenderNotifications parametresi, kötü amaçlı yazılım iç gönderenlerden gelen iletiler tespit edildiğinde gönderenlere bildirim mesaj göndermek için kullanılır. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $ false değeridir.
ExternalSenderAdminAddress: ExternalSenderAdminAddress parametresi, dış gönderenlerden gelen iletiler kötü amaçlı yazılım içerdiğinde bildirimleri mesajları alacak yönetici e-posta adresini belirtmek için kullanılır.
FileTypes: FileTypes parametresi, yaygın olarak kullanılan ek engelleme tarafından engellenen dosya türlerini belirtir. Varsayılan değerleri ( ace, ani, app, docm, exe, jar, reg, scr, vbe, vbs ) değerleridir.
InternalSenderAdminAddress: InternalSenderAdminAddress parametresi, iç gönderenlerden gelen iletiler kötü amaçlı yazılım içerdiğinde bildirimleri mesajları alacak yönetici e-posta adresini belirtmek için kullanılır.
WhatIf: WhatIf parametresi, yazmış olduğunuz komutun sistem üzerinde nasıl bir değişikliğe sebep olacağını gösterir. Değişikliği gerçekleştirmez.
Örnek kullanım:
Bu komut, “Bulutnet Malware Filter Policy” isimli kötü amaçlı yazılım polititikasını oluşturup, iç gönderenlerden gelen iletilerde kötü amaçlı yazılım tespit edildiğindeadmin@bulutnet.net mail adresine sahip yöneticiye bildirim mesajı göndermek
New-MalwareFilterPolicy -Name “Bulutnet Malware Filter Policy” -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@bulutnet.net
Remove-MalwareFilterPolicy
Remove-MalwareFilterPolicy komutu, organizasyon içerisinde olan kötü amaçlı yazılım filtre politikalarını silmek için kullanılır. Parametre olarak ( Identity, Confirm, DomainController, Force, WhatIf ) parametrelerini alır.
Identity: Identity parametresi, silmek istenilen kötü amaçlı yazılım politikasını belirlemek için kullanılır. Bu parametreye verilecek olan değer benzersiz olmalıdır. Yani güvenli ekler politikasına ait “Name, Distinguished name (DN) veya GUID” değerlerinden birisi yazılmalıdır.
Confirm: Confirm parametresi, silme işlemi sırasında istenilen olayı otomatik olarak onay vermesi için kullanılır. Değer olarak ( true ya da false) değerini alır.
DomainController: DomainController parametresi, sadece Exchange Server 2016 ile beraber kullanılır. Active Directory veri tabanına veri yazmak için kullanılır.
Force: Force parametresi, yazılan silme işleminin zorunlu bir şekilde yapılacağını belirtir.
WhatIf: WhatIf parametresi, yazmış olduğunuz komutun sistem üzerinde nasıl bir değişikliğe sebep olacağını gösterir. Değişikliği gerçekleştirmez.
Örnek kullanım:
Bu komut, “Bulutnet Malware Filter Policy” isimli kötü amaçlı yazılım filtre politikasını silmek için kullanılırç
Remove-MalwareFilterPolicy “Bulutnet Malware Filter Policy”
Set-MalwareFilterPolicy
Set-MalwareFilterPolicy komutu, organizasyon içerisinde olan kötü amaçlı yazılım filtre politikalarını düzenlemek için kullanılır. Parametre olarak ( Identity, Action, AdminDisplayName, BypassInboundMessages, BypassOutboundMessages, Confirm, CustomAlertText, CustomExternalBody, CustomExternalSubject, CustomFromAddress, CustomFromName, CustomInternalBody, CustomInternalSubject, CustomNotifications, DomainController, EnableExternalSenderAdminNotifications, EnableExternalSenderNotifications, EnableFileFilter, EnableInternalSenderAdminNotifications, EnableInternalSenderNotifications, ExternalSenderAdminAddress, FileTypes, InternalSenderAdminAddress, MakeDefault, WhatIf ) parametrelerini alır.
Identity: Identity parametresi, düzenlenmek istenilen kötü amaçlı yazılım politikasını belirlemek için kullanılır. Bu parametreye verilecek olan değer benzersiz olmalıdır. Yani güvenli ekler politikasına ait “Name, Distinguished name (DN) veya GUID” değerlerinden birisi yazılmalıdır.
Action: Action parametresi, kötü amaçlı yazılım bir mesaj içerisinde tespit edildiğinde gerçekleştirilecek eylemin ne olacağını belirtmek için kullanılır. Bu parametre için geçerli değerler şunlardır:
DeleteMessage: Kötü amaçlı yazılım tespit edildiğinde mesajı silmek için kullanılır.
ReplaceWithDefaultAlert: Kötü amaçlı yazılım tespit edildiğinde, varsayılan uyarı metni ile mesaj içeriğini değiştirir.
ReplaceWithCustomAlert: Kötü amaçlı yazılım tespit edildiğinde, bizim oluşturmuş olduğumuz uyarı metni ile mesaj içeriğini değiştirir.
Varsayılan değer BlockMessage değeridir.
AdminDisplayName: AdminDisplayName parametresi, kötü amaçlı yazılım filtresi politikasına bir açıklama eklemek için kullanılır. Değer boşluk içeriyorsa, tırnak ( “) içerisinde yazılmalıdır.
BypassInboundMessages: BypassInboundMessages parametresi, gelen mesajları malware taramasına zorlar ya da taranmadan iletilmesini sağlar. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $false değeridir. Varsayılan olarak gelen mesajlar için malware tarama özelliği etkin olur.
BypassOutboundMessages: BypassOutboundMessages parametresi, giden mesajları malware taramasına zorlar ya da taranmadan iletilmesini sağlar. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $false değeridir. Varsayılan olarak gelen mesajlar için malware tarama özelliği etkin olur.
Confirm: Confirm parametresi, onay gerektiren işlemlerde onayın otomatik olarak verilmesi için kullanılır. Değer olarak $true ya da $false değerlerini alır. Varsayılan olarak $false değerine sahiptir.
CustomAlertText: CustomAlertText parametresi, kötü amaçlı yazılım tespit edildiğinde mesaja özel bir uyarı metni eklemek için kullanılır. Bu parametrenin kullanılabilmesi için ReplaceWithCustomAlert parametresinin kullanılması gereklidir. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomExternalBody: CustomExternalBody parametresi, harici bir alıcıya gönderilen bir mesaj içerisinde kötü amaçlı yazılım içerdiğinde özel bildirim iletisinin gövdesinde ne yazılacağını belirtmek için kullanılır. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomExternalSubject: CustomExternalSubject parametresi, harici bir alıcıya gönderilen bir mesaj içerisinde kötü amaçlı yazılım içerdiğinde özel bildirim iletisinin konusunda ne yazılacağını belirtmek için kullanılır. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomFromAddress: CustomFromAddress parametresi, iç ve dış alıcılara gönderilen bir mesaj içerisinde kötü amaçlı yazılım içerdiğinde özel bildirim iletisinin hangi mail adresi tarafından gönderileceğini belirtmek için kullanılır. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomFromName: CustomFromName parametresi, iç ve dış alıcılara gönderilen bir mesaj içerisinde kötü amaçlı yazılım içerdiğinde özel bildirim iletisinin kimin tarafından gönderileceğini belirtmek için kullanılır. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomInternalBody: CustomInternalBody parametresi, kötü amaçlı yazılım gönderen gönderene, iletilecek olan özel bildirim iletisinin gövdesinde ne yazılacağını belirtmek için kullanılır. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomInternalSubject: CustomInternalSubject parametresi, kötü amaçlı yazılım gönderen gönderene, iletilecek olan özel bildirim iletisinin konusunda ne yazılacağını belirtmek için kullanılır. CustomNotifications parametresinin $true olarak ayarlanması gerekir.
CustomNotifications: CustomNotifications parametresi, mesaj kötü amaçlı yazılım içerdiğinde gönderene özel bildirim mesajı etkinleştirir veya devre dışı bırakır. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $ false değeridir.
DomainController: DomainController parametresi, sadece Exchange Server 2016 ile beraber kullanılır. Active Directory veri tabanına veri yazmak için kullanılır.
EnableExternalSenderAdminNotifications: EnableExternalSenderAdminNotifications parametresi, kötü amaçlı yazılım dış gönderenlerden gelen iletiler tespit edildiğinde yönetici bildirim mesaj göndermek için kullanılır. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $ false değeridir.
EnableExternalSenderNotifications: EnableExternalSenderNotifications parametresi, kötü amaçlı yazılım dış gönderenlerden gelen iletiler tespit edildiğinde gönderenlere bildirim mesaj göndermek için kullanılır. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $ false değeridir.
EnableFileFilter: EnableFileFilter parametresi, mesaj içerisinde gelen kötü amaçlı yazılımları engellemeyi aktif etmek veya pasif etmek için kullanılır. Değer olarak $true ya da $false değerlerini alır.
EnableInternalSenderAdminNotifications: EnableInternalSenderAdminNotifications parametresi, kötü amaçlı yazılım iç gönderenlerden gelen iletiler tespit edildiğinde yönetici bildirim mesaj göndermek için kullanılır. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $ false değeridir.
EnableInternalSenderNotifications: EnableInternalSenderNotifications parametresi, kötü amaçlı yazılım iç gönderenlerden gelen iletiler tespit edildiğinde gönderenlere bildirim mesaj göndermek için kullanılır. Değer olarak $true ya da $false değerlerini alır. Varsayılan değer $ false değeridir.
ExternalSenderAdminAddress: ExternalSenderAdminAddress parametresi, dış gönderenlerden gelen iletiler kötü amaçlı yazılım içerdiğinde bildirimleri mesajları alacak yönetici e-posta adresini belirtmek için kullanılır.
FileTypes: FileTypes parametresi, yaygın olarak kullanılan ek engelleme tarafından engellenen dosya türlerini belirtir. Varsayılan değerleri ( ace, ani, app, docm, exe, jar, reg, scr, vbe, vbs ) değerleridir.
InternalSenderAdminAddress: InternalSenderAdminAddress parametresi, iç gönderenlerden gelen iletiler kötü amaçlı yazılım içerdiğinde bildirimleri mesajları alacak yönetici e-posta adresini belirtmek için kullanılır.
MakeDefault: MakeDefault parametresi, düzenlenen politikayı varsayılan kötü amaçlı yazılım filtre politikası yapmak için kullanılır.
WhatIf: WhatIf parametresi, yazmış olduğunuz komutun sistem üzerinde nasıl bir değişikliğe sebep olacağını gösterir. Değişikliği gerçekleştirmez.
Örnek kullanım:
Bu komut, “Bulutnet Malware Filter Policy” isimli kötü amaçlı yazılım filtre politikasında belirlenen tehditleri silmek ve admin@bulutnet.net admin hesabına bilgi göndermek için kullanılr.
Set-MalwareFilterPolicy -Identity “Bulutnet Malware Filter Policy” -Action DeleteMessage -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@bulutnet.net
Bu komut, FileTypesAdd değişkeni içerisine “Default” isimli kötü amaçlı yazılım filtre politikasında engellenen dosya uzantılarının listesini aktarır.
$FileTypesAdd = Get-MalwareFilterPolicy -Identity Default | select -Expand FileTypes
Ardından “com” ve “bat” dosya uzantılarını FileTypesAdd değişkeni içerisine ekler.
$FileTypesAdd += “com”,“bat”
Son olarak FileTypesAdd değişkeni içerinde tanımlanan dosya uzantılarını “Default” isimli kötü amaçlı yazılım filtre politikasında kullanmak için uygular.
Set-MalwareFilterPolicy -Identity Default -EnableFileFilter $true -FileTypes $FileTypesAdd
Bu makalemizde Exchange Online Protection servisine ilişkin New-MalwareFilterPolicy, Remove-MalwareFilterPolicy, Set-MalwareFilterPolicy komutlarının nasıl kullanılacağını göstermiş olduk. Umarım faydalı bir makale olmuştur. Bir sonraki makalemizde görüşmek üzere.