Microsoft 365, kimlik ve erişim konusunda her nekadar varsayılan önlemler alsa da önerileri dikkate almayan kullanıcıların sayısı oldukça fazla. Özellikle eski erişim protokollerini ve oturum açma yöntemlerini kullanmaya devam eden kullanıcılar kötü aktörler için basit birer hedef halindeler.
Bir çok tenant’a bağlanıp kontrol ettiğimizde kullanıcılar için olağan dışı lokasyonlardan oturum açma denelerini görüyoruz. Neyse ki varsayılan olarak aktif olan smart lockout gibi özellikler sayesinde kötü aktörler belirli sayıda başarısız deneden sonra otomatik olarak devre dışı bırakılıyor. Fakat her hesap bu kadar şanslı olamıyor. Hesap, bir oltalama mail yada benzer bir yöntemle de ele geçirilebiliyor.
Peki kullanıcılarınızdan birinin hesabı ele geçirildiyse veya şüpheleniyorsanız bir admin olarak ne yapmalısınız?
Önce neyle karşı karşıya olduğumuzu iyice analiz etmeliyiz. Bunun için Azure Active Directory üzerinden Oturum Açma günlüklerini menüsüne giriş yapın. Burada tüm kullanıcıların veya şüphelendiğiniz kullanıcının oturum açma işlemlerini kontrol edebilirsiniz.
Oturum açma logunun üzerine tıkladığınızda aşağıdaki gibi detaylı bir bilgi penceresi karşınıza çıkacak. Burada oturum açma denemesi hangi kaynaktan, uygulamadan yapılmış neden başarısız olmuş gibi bir çok sorunun cevabını bulabilirsiniz.
Azure Active Directory’ye giriş yapmışken Güvenlik>>Riskli kullanıcılar menüsüne de uğramakta fayda var. Burada olağan dışı oturum açma denemeleri bulunan kullanıcıları görme ihtimaliniz çok yüksektir. Kullanıcının üzerinde tıkladığınızda riskli oturum açma loglarını ayrıca görüntüleyebilirsiniz. Eğer bu riski oluşturan oturum açma denemeleri bilginiz dahilinde bir işlemden kaynaklanıyorsa Kullanıcı riskini kapat seçeneği ile kullanıcıyı buradan kaldırabilirsiniz. Böylece daha önce hatalı denemeler gerçekleştirdiğiniz cihazlarda yaşadığınız bloğu kaldırmış olursunuz ve oturum açma problemleri yaşamazsınız.
Ardından Audit logs yani Denetim loglarına bakalım. Denetim logları default olarak açık gelmez. Daha önce sizin aktif etmiş olmanız gerekir. Eğer aktif edilmişse Uyumluluk yani yeni adıyla Microsoft Purview yönetim merkezinden Audit (Denetim) menüsüne girerek son 90 gündeki aktiviteleri kullanıcı veya aktivite bazında kontrol edebilirsiniz.
Örneğin testuser@tayfuntech.com adresli kullanıcının gerçekleştirdiği tüm aktiviteleri görmek için aşağıdaki gibi bir sorgu yapıyorum. Bu sayede şüpheli hesap tarafından gerçekleştirilmiş işlemleri kontrol edebilirim.
Eğer Denetim loglarını da kontrol ettiyseniz şüpheli hesap ile ilgili aşağı yukarı bir fikir elde etmiş olmalısınız. Bundan sonraki gündemimiz hesap güvenliğini sağlamak olmalı.
Hızlı bir şekilde parola sıfırlama ve MFA etkinleştirme işlemlerini tamamlayalım.
Microsoft 365 Yönetim Merkezi’nden Kullanıcılar>>Etkin Kullanıcılar menüsüne giriş yapın. Burada şüpheli hesap üzerine tıklayın ve parola sıfırlama (anahtar) iconuna tıklayarak kullanıcını parolasını sıfırlayalım.
Ardından yine Etkin kullanıcılar menüsünde Çok Faktörlü Kimlik Doğrulama (Multi-factor Authentication) seçeneğine tıklayın.
Açılan menüde kullanıcımızı bulalım ve ekranın sağındaki Etkinleştir butonuyla MFA etkinleştirmeyi tamamlayalım. Siz bu etkinleştirme işlemini gerçekleştirdikten 30-40 saniye sonra kullanıcının tüm etkin oturumları kapanıp tekrar kullanıcı adı-parola bilgilerini isteyecektir. Oturum açma sonrası ek olarak MFA kayıt ekranında Microsoft Authenticator uygulamasına kayıt olmaları ya da SMS kodu almak için telefon numaralarını girmeleri istenecektir. Bir kereye mahsus olan bu prosedürü tamamladıklarında MFA tamamen kullanılabilir hale gelecektir.
Eğer MFA etkinleştirme konusunda bir problem yaşıyorsanız (kullanıcının kullanmak istememesi de buna dahil) o zaman bu hesaba POP, IMAP ve SMTP gibi eski mail uygulamaları ile erişilmesini engellemelisiniz.
Bunun için yine Etkin kullanıcılar menüsünde kullanıcının üzerinde tıkladıktan sonra Mail başlığındaki E-posta uygulamalarını yönet seçeneğine tıklayın. Burada IMAP, POP ve SMTP protokollerinin kutucuklarındaki işaretleri kaldırın. Eğer ciddi bir durum ile karşı karşıyaysanız Oturum açma günlüklerinde kötü aktörün eriştiği protokolü tespit edin ve onu da buradan kaldırın. Örneğin kötü aktörümüz Outlook on the web (OWA) ile hesaba erişiyorsa siz de buradan OWA erişimini derhal pasif hale getirin. Süreç sona erdiğinde tekrar aktif hale getirebilirsiniz.
Son zamanlarda ele geçirilen hesaplar mail akışını izlemek ve mali ya da yönetimsel bilgiler edinmek için kullanılıyor. Aynı zamanda ele geçirilen hesap üzerinde gizli kurallar, delegasyon ve yönlendirme gibi işlemler de yapıldığı oluyor. Bu nedenle mailbox üzerindeki izinler, yönlendirmeler gibi menüleri de kontrol etmenizde fayda var.
Microsoft 365 Güvenlik Merkezi’nde İlkeler ve Kurallar>>Tehdit İlkeleri>>İstenmeyen Posta Önleme>>İstenmeyen posta önleme giden ilkesi menülerini takip edin. Burada Yönlendirme kuralları seçeneğinden yönlendirmeyi kapatın. Bu sayede tenantınızdaki posta kutularından dış kullanıcılara mail yönlendirmesinin tamamen önüne geçmiş olursunuz. Tabi mevcut yapılandırmanızda bir posta kutunuzdan dış posta kutusuna yönlendirme yapıyorsanız bunu da kapatmış olursunuz. Fakat geçici olarak bu gibi durumları göze almak gerekir.
Ele geçirilen hesaplardan kurallar oluşturulduğundan bahsetmiştik. Önce Exchange Yönetim Merkezi’nden Transport rule oluşturulmuş mu bunu kontrol edelim.
Exchange Yönetim Merkezinde Mail akışı>>Kurallar menülerini takip edin. Burada, özellikle mailleri silme veya reddetme gibi mail akışınıza zarar verecek kurallar olmadığına dikkat edin.
Buraya kadar gelmişken Mail akışı>>Bağlayıcılar (Connectors) menüsüne de uğrayalım. Tenant’ınıza eklenecek bağlayıcılar aracılığıyla harici posta sunucularından mail gönderimi sağlanabilir. Bu da sizi, kötü aktörlerin spam mail gönderimleri için muhteşem bir proxy haline getirir. Eğer burada bilgimiz dışında bir bağlayıcı varsa hemen silelim.
Buraya kadar her şey yolundaysa ve berabersek son olarak kullanıcının OWA (Outlook web) veya Outlook’u üzerinden oluşturulmuş kurallar var mı kontrol edelim. Her iki arayüzde de yalnızca OWA veya Masaüstü versiyonunda çalışan kurallar olabileceği için ayrı ayrı kontrol etmekte fayda var.
Outlook masaüstü versiyonundan Dosya>>Kurallar ve Uyarıları Yönet seçeneklerine tıklayıp var olan kuralları görebilir ve silebilirsiniz.
Aynı zamanda OWA üzerinden Ayarlar ikonuna tıkladıktan sonra Tüm Outlook ayarları>>Posta>>Kurallar menülerini takip edip kuralları yönetebilirsiniz.
Yukarıdaki işlemleri tamamladığınızda şüpheli hesap ile ilgili hem önlemlerimizi almış hem de bıraktığı izleri ortadan kaldırmış olacağız. Eğer atladığım bir kontrol varsa burayı mutlaka güncelleyeceğim. Sizin de bu konuyla ilgili bir sorunuz olursa yorum kısmından bana ulaşabilirsiniz.