Günümüzde artık donanımsal olarak sistemler stabil çalışır duruma geldi. İşletim sistemleri de buna entegre olarak ara sıra ortaya çıkan durumlar haricinde sorunsuz çalışmakta diyebiliriz. Bunları olumlu gelişme olarak bir yana alırsak, teknolojinin artık her alanda yaygınlaşması ile birlikte en büyük sorun ve maliyetlerin başını güvenlik kavramı çekmekte.
Kurumlar sistemlerinde Firewall, Antivirus yazılımı, Güncel sistemler kullanmak gibi bir çok doneye sahip olarak güvenlik sorunlarının riskini düşürmüş olsa da yine burada karşımıza en zayıf halka olarak son kullanıcı çıkmakta.
Son kullanıcıya günümüzde sıkça rastlanan yöntem olan, oltalama yöntemi ile saldırılar olmakta. Burada mail sunucu tarafında alınacak aksiyonların hayata geçmesi önemli. Bu aksiyonları almamıza rağmen nadiren de olsa sistemler oltalama ve kimlik avı maillerini kullanıcıya ulaştırabilmekte. Dünya genelinde bu konuda başarılı olup çok sayıda kişi ve kuruluştan para aldıkları da göz önünde olan bir durum. Kripto paralarla birlikte bu saldırganların yakalanması zorlaşmış bir durum almaktadır.
Geniş bir girişten sonra makalemizin konusu olan kimlik avına el atacağız. Kimlik avı aslında sahip veya üyesi olunmayan domain üzerinde o domainin bir üyesiymişçesine mail atma yöntemidir.
Örnek olarak, kimlik avında sizi hedefleyen bir kişi veya grup, banka hesap bilgilerinizi ele geçirmek amacıyla, bankanızdan geliyormuş gibi görünen bir e-postayı size gönderebilir.
Biz Ofis 365 sistemler üzerinde buna nasıl çare buluruz, bunu ele alıyor olacağız. Ofis 365 üzerinde mevcut bir güvenlik yapısı var. Bunu daha katı hale getirmek için ATP ismi verilen Advanced Threat Protection ürünün alarak sistemi daha güvenli hale getirmek mümkün. Biz bu ürünü almadan önceden ne yapıyorduk ve şimdi ne yapmamız gerekir noktasını ele alacağız. Yakın zamanda çıkan Kimlik Avı Engelleme hizmetinden önce ben bir kural yardımı ile kimlik avı dolandırıcılığının önüne geçiyordum. Bu kuralı fikir oluşturması için görelim. Yönetim Konsolumuzdan Exchange ekranına girelim.
Açılan ekranda Posta Akışı menüsünden Kurallar sekmesine gelelim.
Aşağıda kuruluş dışından kuruluşuma atılan maillerde, domain adı benim kuruluşumun domani ise bu maili engelle ve bir kopyasını sistem yöneticisine gönder şeklinde bir kural var. Ben yapımı Kimlik Avı devreye girmeden bu şekilde koruyordum. Ofis 365 tarafında zaten önerilen yöntemde buydu.
Sonucun başarılı olduğunu söylemek tüm mailleri kestiğini söylemek mümkün. Şimdi ise bu özelliği Ofis 365 Güvenlik Konsoluna gelen yenilikle yapıyor olacağız. Öncelikle bu işlem için Yönetim konsolundan Yönetim Merkezleri menüsü altından Güvenlik& Uyumluluk ekranına girelim.
Açılan ekranımızdan Tehdit Yönetimi menüsü altından İlke linkine tıklayalım.
Bu ekranımızda güvenlik ile ilgili olarak bir çok ayarı yapabiliriz. Biz makalemizin konusu olan ATP Kimlik Avı kısmına yoğunlaşacağız. Buradaki işlemleri yapabilmek için Atp Kimlik Avı Koruma ikonuna tıklayalım.
Tanımlanmış bir ilkemiz olmadığı için +Oluştur butonuna tıklayalım.
Burada oluşturacağımız filtre için bir isim ve açıklama girerek İleri butonuna tıklayalım.
Bu filtremiz için bir koşul belirlememiz gerekmekte. +Koşul ekle butonuna tıklayalım.
Burada belirli kişi veya grupları kurala dahil edebilir veya kural dışı tutabiliriz. Biz tüm domain yapımıza gelecek olan kimlik avı maillerini engellemek istediğimiz için Etki alanı şunlardan herhangi biriyse: olan koşulu seçelim.
Bu ekranımızda bir veya birden fazla domainimiz var ise ve bu filtreden etkilenmesini istediğimiz belli başlı domainler var ise bunları seçmemiz gerekiyor. Seçin butonuna tıklayalım.
Açılan ekranda gerekli eklemeleri yapabilmek için +Ekle butonuna tıklayalım.
Ben bütün yapımı korumak istediğim için tüm domainleri seçiyorum ve Ekle butonuna tıklıyorum.
Domainlerimiz ekranımıza eklendiğine göre Bitti butonu ile bu kısmı tamamlayabiliriz.
Bir önceki ekranımıza geri geldik. Koşul eklendi, Domainler seçildi İleri butonu ile sonraki adıma geçelim.
Oluşturulan ilke ile ilgili bir özet ekranı geldi. Bu ilkeyi oluştur butonuna tıklayarak adımı tamamlayalım.
İlkemiz oluştu ve aktif durumda.
İlke üzerine tıklayarak detayları görelim. İlke üzerinde extra ayarlar yapacaksanız düzenle linklerine tıklayarak kuralı biraz daha katı hale getirebilir, domain ekleyebilir kaldırabilirsiniz.
Bu işlemle ilgili olarak dönen aksiyonları raporlama imkanına sahibiz. Tehdit yönetimi ekranında Pano menüsüne girdiğimizde Kimlik Avı Kampanyası tarafından hedeflenen… kısmına tıklayalım.
Aşağıdaki gibi 3 nolu pencerede kimlik avı ile mail gelen kullanıcılarım, bu maillerin adetleri gibi göstergeler bulunmakta. Bunların üzerine tıklayınca detay vermekte. Ancak bu rapor makalemin başındaki kural sayesinde oluşmakta.
Biz oluşturduğumuz ilke için oluşacak olan rapora Tehdit Yönetimi menüsü altında yer alan inceleme başlığından tıkladığımızda açılan ekrandan Karantina ikonuna tıklayarak erişim sağlayabiliriz.
Belirlenen kriterde rapor ekranımızda bize sunulacaktır. Ben makalemi canlı ortam üzerinden yazdığım için bazı kısımları siyah boya ile boyamak durumunda kaldım.
Bir başka makalede görüşmek dileğiyle.