Office 365 ATP Anti-Phishing E-Posta Koruması

    Bugün sizelere yine office 365 hizmetlerinden birisi olan Advanced Threat Protection (ATP) yeteneklerinden Anti-Phishing özelliğine değineceğiz. Bu özelliğin Türkçe karşılığı olan kimlik avından korunma, isminden anlaşılacağı üzere kimlik bilgilerimizi çalmak isteyen kötü niyetli kişilerden Anti-Phishing özelliği sayesinde nasıl korunabileceğimizden bahsetmeye çalışacağım. Günümüzde artık bir çok hacker (Siyah Şapkalı) kişiler sunucu açıklarını kollamaktansa direk kişilere sosyal mühendislik yeteneklerini kullanarak kimlik bilgilerimizi ele geçirerek bir çok işlem yapabilmktedir. Bunun önüne geçebilmek için bazen gerçekten teknoloji bile yetersiz kalabiliyor. Böyle bir durumla karşılaşmamak adına insanların bu konularda eğitilmesi ve bilgilendirilmesi gerekmektedir. Şunuda unutmamak lazım gelen kimlik avı saldırılarını bir çoğu gerçekten ilgili servisten geliyormuş gibi inandırıcı olmaktadır. Anti-Phishing özelliği sayesinde bu tarz saldırıların önüne bir nebzede olsun geçebilmekteyiz. Anti-Phishing sayesinde gelen kimlik avı maillerini isterseniz sildirebilir veya karatinaya taşıyabiliriz.

Yukarıda ki görsele dikkat edecek olursak tıpkı Office 365 servisinden gelmiş gibi sözde kullanıcının posta kutusunda virüs varmış gibi hesabın güvence altına alınması adına yönergeleri izelyin şeklinde bir e-posta aldığını linke tıklatılarak ilgili kullanıcının parolasını ele geçirmeye amaçlayan bir kimlik avı eğer kullanıcı buna aldanırsa ve kimlik bilgilerini verirse muhtemelen hacker dediğimiz arkadaş illagal işler yapabilir. Tabii burada kullanıcıya Multi-Factor Authentication (MFA) servisini kullandırıyorsak hacker arkadaşın işi baya zorlaşaktır. Multi-Factor Authentication (MFA) hakkında bilgi almak ve kullanıcılarımız için MFA servisinin nasıl etkinleştirildiğini görmek için buraya tıklayarak bilgi alabilirsiniz.

Şimdi artık Anti-Phishing (kimlik avı) saldırılarından kurtulmak için ATP hizmetimiz içerisinde Anti-Phishing ilkelerini nasıl oluşturacağımızı uygulamalı olarak görelim. Öncelike yapmamız gereken portal.office.com üzerinden global admin yetkisine sahip bir kullanıcı ile giriş yapalım. Giriş yaptıktan sonra yukarıda ki adımları sırasıyla uyguluyoruz. Ya da direk olarak buradan Güvenlik ve Uyumluluk sayfasna giriş yapabilirsiniz.

Güvenlik ve Uyumluluk sayfamıza griş yaptıktan sonra yukarıda ki adımları uygulayarak ATP Anti-Phishing (ATP kimlik avından korunma) kutucuğuna tıklayarak ilk ilkemizi oluşturmaya başlayabiliriz.

Açılan sayfa içerisinde kimlik avı hakkında bilgi alabiliriz. Şimdi Oluştur butonuna tıklayalım.

Açılan menüden oluşturacağımız ilk ilkeye bir isim verelim. Hemen ardından ileri butonuna tıklayalım. Zaten sistem bizi yönlendireceği için çok zorluk çekmeyeceğiz.

Şimdi ise bir koşul eklememiz gerekecek. Bu koşul kullanıcılarımıza veya bir etki alanına göre eklenebilir. Yukarıda güzel bir örnek vermiş. Oluşturulan ilkeyi sadece yönetim ekibine veya belirli bir departmanada uygulayabiliriz.

Ben direk etki alanım yani domain ismim için uygulayacağım. İsterseniz oluşturacağınız ilkeyi belirli bir etki alanı,grup veya alıcıyıda bu ilkenin dışında bırakabilirsiniz.

Etki alanı seçeneğini seçtikten sonra yukarıda ki görsel bizi karşılayacaktır. Seçin butonuna basalım.

Şimdi Ekle butonuna basalım.

Eklemek istediğimiz etki alan veya alanlarını seçerek tekrar ekle butonuna basalım.

Ben tek bir domain seçtim. Bitti butonuna basalım.

Eklemiş olduğum etki alanı veya etki alanları yukarıda ki görselde olduğ gibi görünecektir. İleri butonuna tılayarak ilke oluşturma adımlarımıza devam edelim.

Bu görselde oluşturduğumuz ayarları gözden geçirelim. Bu ilkeyi oluştur butonuna tıklayalım.

Artık ilkemiz oluşmuş durumda. Asıl olay zaten bırda başlıyor. Oluşturduğumuz ilke ayarlarını biraz özelleştireceğiz. Yani ilkeyi daha kararlı bir hale getireceğiz. Herhangi bir ATP Anti-Phishing saldırısı geldiğinde ne gibi aksiyonlar gerçekleşecek bunlara bakacağız. Sırasıla seçeneklere göz atalım.

Impersonation (Kimliğe Bürünme)

Kimliğe bürünme seçeneklerinde bakalım neleri özelleştireceğiz. Düzenle butonuna basalım.

Özellikle korunmasını istediğiniz iç ve dış kullanıcılarınız varsa burayı açmanıda fayda ilgili kullanıcılarınızı seçerek kaydet butonuna basabilisiniz. Ben şimdilik bu seçeneği açmıyacağım.

Office 365 üzerinde birden çok domain kullanıyorsanız, Sahip olduğum tüm etki alanlarının otomatik olarak eklenmesini sağlayabilirsiniz. Devam edelim.

Burada ise kullanıcı veya etki alanına göre e-posta geliyorsa gerçekleştirilecek aksiyonu belirlememiz gerekmektedir. Ben Her iki seçeneğide karantinaya almasını istediğim için bu seçeneği seçerek devam ediyorum.

Posta kutusu analizini etkinleştirmek istiyorsanız butonu açık durumuna getirmeniz yeterli olacaktır. Açıklaması zaten yukarıda yazıyor. J

Güvendiğimiz bir kullanıcı veya bir etki alanından alıncacak bir e-postaya bu ilke hiç bir şekilde uygulanmayacaktır. Şöyle bir sıkıntı doğurabilir eğer gönderen etki alanı veya kullanıcı bir şekilde art niyetli bir kişinin eline geçtiyse sıkıntı çıkabilir. Tabii burda kullanıcının dikkatli olaması gerekecektir. Tabii budurum sadece bir ön görü güvendiğiniz kullanıcı veya etki alanı kalkıpta size Office 365 hesap bilgilerini buraya gir demeyecektir. J

Son olarak ayarlarımızı tekrar gözden geçirmemiz istenmektedir. Eğer bir değişikliğiniz yoksa kaydet butonuna basabiliriz.

Spoof (Kimlik Sahtekarlığı)

Sıra diğer seçnek olan kimlik sahtekarlığı seçeneklerini düzenleyelim.

Kimlik sahtekarlığından korunmak için karumayı etkinleştirmemiz gerekmektedir. Şöyle düşünün a.com sitesinin ismini kullanarak (yani illagal yöntemlerle başkasına ait olan bir domain ismi ile e-posta alırsanız ne olacak ? Bu seçeneği aktif ettiğimizde oluşturmuş olduğumuz ilkenin iş yükü biraz daha artmış olacaktır. Etkineştirmenizin faydalı olacağını düşünüyorum.

Peki böyle bir durumda ATP bizim için ne yapsın ? Tabii ki iletiyi karantinaya alsın ki iletiyi inceleyelim.

Son olarak ayarlarımızı gözden geçirerek kaydet butonuna basıyoruz.

Advanced settings (Gelişmiş Ayarlar)

Şimdi ise son ayar olan Gelişmiş ayarlar seçeneği için düzenle butonuna basalım.

Bir kimlik avı saldırısı tespit edildiğinde kuralın ne kadar agrasif olacağını belirliyoruz.Dört farklı seçenek bulunmaktadır. Buraya dikkat etmemiz gerekmektedir. Eğer gelen e-postada ufak bir şey sezinlerse gelen e-postayı silecek veya karantinaya alacaktır. Ben hiç bir şekilde kurumumu riske atamam en ufak şüpheli harekette kural çalışacaktır. Burayı tamamen sizlere bırakıyorum.

Yine bir ayarları gözden geçirin sayfasındayız. J Kaydet butonuna basalım.

İlkemizde ki tüm aksiyonları belirledik. Yine ilkemizi ufaktan bir gözden geçirerek kapat butonuna basabiliriz.

Yukarıda ki görselde ilkemizin başarılı bir şekilde açık olduğnu görebiliriz. İsterseniz sonradan ilkeyi pasif bir durumada çekebilirsiniz.

Sonuç olarak ;

Karantiyı kontol etmek istiyorum. Bu durumda karantinaya nasıl gidebileceğinizi yukarıda ki görselde görebilirsiniz.

Karantinada şüpheli bir e-posta bulunmaktadır. Davut’tan bir e-posta istedim sağolsun oda beni kırmadı gönderdi. J Bakalım ATP düzgün çalııyormu hesabı J İletinin üzerine tıklayalım.

İsterseniz iletiyi sebest bırakabilir iletnin ön izlemesini gerçekleştirebilirsizniz.

İltinin ön izlemsini yaptığımda gerçekten bir kimlik avı e-postası olduğunu görebiliyorum. Böyelikle ilkemizin daha doğrusu Anti-Phishing özelliğimizin başarılı bir şekilde çalıştığını görebiliyorum.

Başka yazılarda görüşmek üzere…

Mehmet PARLAKYIGIT

Office Apps & Services MVP | Arena Bilgisayar A.Ş'de Microsoft Satış Mühendisi olarak çalışmakta.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.