Microsoft Defender for Cloud Apps Brute Force Atakları Önleme
Microsoft defender for cloud apps uygulaması Microsoft ve 3.party bulut uygulamalarınıza gelebilecek siber saldırıları tespit etme ve tehditlere karşı koruma sağlamaktadır. Bugün işleyeceğimiz konu ise Cloud Apps hizmetimiz içerisinde hali hazırda gelen Brute Force attack Office 365 ( Office 365 kaba kuvvet saldırısı) ilkesinin dayanıklılığını test edeceğiz. Tabii Cloud Apps uygulamamız sadece Brute force atakları tespit etmek için kullanılmıyor. Bir çok özelliği bulunmaktadır. İlerleyen zamanlarda bu özellikleri tek tek değerlendirmeye çalışacağız. Bu uygulamamızda Brute force aracı olan o365spray uygulamasını kullanacağız. Lafı uzatmadan başlayalım.
Öncelikle Microsoft Defender for Cloud Apps yönetim paneline admin yetkisine sahip bir kullanıcıyla giriş yapalım. Hemen ardından yukarıda ki adımları takip ederek Brute Force attack Office 365 ilkemize gidelim.
İlkemizi açtığımızda özetle ; Create filters for the policy bölümüne geldiğimizde 4 dakika içerisinde 4 defa tekrarlanan aktivite sonucunda belirlediğim bir kullanıcıya bildirim maili giderek (ben admin hesabımı ekliyorum.) Brute Force bir atak yapılan kullanıcı disable edilerek kullanıcının Microsoft 365 servislerine erişimi engellenecektir.
python3 o365spray.py --validate --domain doaminismi.com
İlgili domain adresinin Office 365 kullanıp kullanmadığını kontrol edebilirsiniz.
python3 o365spray.py --spray -U ouserlist.txt -P opasslist.txt --count 4 --lockout 5 --domain cybercloud.cf
şimdi ise o365spray aracımızı kullanarak hacker isimli kullanıcımıza 5 dakika içerisinde 4 defa parola denemesi için yapılandırdığım uygulamamı çalıştırıyorum.
Not :
o365spray uygulamasını burada bulunan github linkinden indirebilirsiniz.
Brute Force atak yapılan ilgili kullanıcımız için admin kullanıcımıza bildiğim maili geldi. Mail içeriğine baktığımızda hangi kullanıcıya atak yapılmış, hangi lokasyon üzerinden gerçekleşmiş bunları görebiliyoruz. Review this alert (uyarıyı inceleyin) linkine tıklayalım.
İlgili alert açılacaktır. Brute Force attack Office 365 uyarısı açılacaktır. Yaptığımız Brute force atağa istinaden tüm detayları görebiliriz.
Şimdi ise atak yaptığımız kullanıcıya Office.com adresinden oturum açmaya çalışalım. Sonuç görselde olduğu gibi ilgili kullanıcımız hesabına giriş yapamıyor.
Yine admin panelimizden kullanıcı detaylarını kontrol ettiğimizde kullanıcının bloklandığını görebiliriz. Böylelikle Brute Force attack Office 365 ilkemizin başarılı bir şekilde çalıştığını görebiliriz.