Microsoft Defender'da Yapay Zeka Aracılarıyla Kimlik Avı Taramasını Otomatikleştirme

Microsoft Defender'da Yapay Zeka Aracılarıyla Kimlik Avı Taramasını Otomatikleştirme

10 Mart 2026

Giriş: Yapay Zeka Çağında Kimlik Avına Karşı Savaş

Kimlik avı, karmaşıklığı ve hacmi sürekli olarak gelişen, en kalıcı ve etkili siber tehditlerden biri olmaya devam ediyor. 2026 yılına gelindiğinde, üretken yapay zeka araçlarının yükselişiyle birlikte saldırganlar, benzeri görülmemiş bir ölçekte son derece ikna edici ve kişiselleştirilmiş kimlik avı e-postaları oluşturma yeteneğine sahip olacak ve bu da Güvenlik ve Operasyon (SOC) ekipleri tarafından manuel tespit ve önceliklendirmeyi neredeyse imkansız bir görev haline getirecek. Kullanıcılardan gelen kimlik avı raporlarının hacmi analistleri hızla bunaltabilir, bu da yanıtta gecikmelere yol açabilir ve güvenlik ihlali riskini artırabilir [1].

Geleneksel olarak, kimlik avı taraması süreci birkaç manuel adımı içeriyordu: bir kullanıcı şüpheli bir e-postayı bildirdi, bir güvenlik analisti e-posta başlığını inceledi, bağlantıları ve ekleri (genellikle yalıtılmış ortamlarda) analiz etti, gönderenin itibarını kontrol etti ve son olarak tehdidin niteliğine ve iyileştirme eylemlerine karar verdi. Bu süreç, küçük ölçekte etkili olmasına rağmen yavaştır, insan hatasına açıktır ve büyük hacimli modern saldırılara karşı ölçeklenemez [2].

Bu zorluğun üstesinden gelmek için Microsoft, Office 365 için Microsoft Defender'ın devrim niteliğinde bağımsız bir bileşeni olan Phishing Triage Agent'ı piyasaya sürdü. Gelişmiş yapay zekayla desteklenen bu aracı, şüpheli kimlik avı e-postalarını birkaç saniye içinde analiz etmek, araştırmak ve düzeltmek için tasarlanmış olup SOC ekiplerinin daha karmaşık ve stratejik tehditlere odaklanmasını sağlar. Kimlik Avı Triyaj Aracısı, kuruluşların kimlik avı saldırılarına yanıt verme biçimini dönüştürerek güvenlik otomasyonunda önemli bir ilerlemeyi temsil eder [3].

Bu teknik ve eğitici makale, Kimlik Avı Önceliklendirme Aracısı'na, çalışma ilkelerine, avantajlarına ve onu Office 365 için Microsoft Defender ortamında etkinleştirmeye ve yapılandırmaya yönelik adım adım bir kılavuza derinlemesine bir bakış sunmayı amaçlamaktadır. Odak noktamız, bu teknolojinin 2026 ve sonrasında kuruluşunuzun kimlik avı tehditlerine karşı güvenlik duruşunu nasıl güçlendirebileceği olacaktır.

Kimlik Avı Taraması Mücadelesi ve Yapay Zeka Aracısı Çözümü

Kimlik avının etkinliği, insan doğasını ve güvenini istismar etme yeteneğinde yatmaktadır. Saldırganlar AI ile şunları yapabilir:

  • Kitlesel Kişiselleştirme: Bankalardan, tedarikçilerden ve hatta iş arkadaşlarınızdan gelen meşru iletişimleri taklit eden son derece kişiselleştirilmiş kimlik avı e-postaları oluşturarak başarı olasılığını artırın.

  • Algılamadan Kaçınma: Gizleme ve polimorfizm tekniklerini kullanarak geleneksel e-posta filtrelerini aşan kimlik avı e-postalarının çeşitlerini oluşturun.

  • İleri Sosyal Mühendislik: Mağdurları kandırmak için güncel olaylardan veya eğilimlerden yararlanarak daha karmaşık ve inandırıcı anlatılar geliştirin.

Bu senaryoyla karşı karşıya kalındığında insanın tepkisi yetersiz kalıyor. Phishing Triage Agent'ın devreye girdiği yer burasıdır. Yapay zeka ve makine öğrenimi ilkelerine dayalı olarak çalışarak şunları yapmanıza olanak tanır:

  • Derin Bağlamsal Analiz: Aracı yalnızca şüpheli anahtar kelimeleri veya bağlantıları kontrol etmekle kalmaz, aynı zamanda e-postanın bağlamını, tonunu ve amacını anlamak için gelişmiş dil modellerini kullanır. Kurallara dayalı filtreler veya baskı altındaki insan analistlerin fark edemeyeceği ince anormallikleri tespit edebilir.

  • Korumalı Alan Simülasyonu: Bağlantılar ve ekler için, aracı, kuruluşun gerçek ağını açığa çıkarmadan bağlantının (yönlendirmeler, kötü amaçlı yazılım indirme) veya ekin (kötü amaçlı komut dosyalarının yürütülmesi) davranışını gözlemleyerek yalıtılmış bir ortamda (korumalı alan) etkileşimi simüle eder. Bu, doğru ve güvenli bir risk değerlendirmesi yapılmasını sağlar [4].

  • Otomatik Düzeltme: Aracı, yaptığı analize dayanarak e-postayı karantinaya almak, kullanıcının gelen kutusundan kalıcı olarak silmek ve hatta göndereni ağ geçidi düzeyinde engellemek gibi önceden tanımlanmış düzeltme eylemlerini gerçekleştirebilir.

Otonom Triyajın Yenilikçi Avantajları

Kimlik Avı Triyaj Aracısının uygulanması, güvenlik operasyonlarına dönüştürücü faydalar sağlar:

  • Eşsiz Hız: Kimlik avı e-postalarının taranması ve düzeltilmesi saatler veya dakikalardan yalnızca saniyelere indirilir. Bu, kullanıcıların kötü amaçlı bağlantılara tıklaması veya tehlikeli ekleri açması için fırsat penceresini en aza indirir.saldırıların yayılmasını içeren sos.

  • Gelişmiş Doğruluk: Bağlamsal analiz ve korumalı alan simülasyonu sayesinde, aracı daha yüksek bir tehdit algılama oranına ulaşır ve en önemlisi hatalı pozitiflerde önemli bir azalma elde eder. Bu, SOC ekiplerinin uyarı yorgunluğunu önler ve kaynakların gerçek tehditlere tahsis edilmesini sağlar.

  • Devasa Ölçeklenebilirlik: Temsilci, kimlik avı e-postalarını insan ekipler için mümkün olmayan hacimlerde işleyebilir, böylece saldırının boyutu veya yoğunluğu ne olursa olsun korumanın kuruluş genelinde tutarlı olmasını sağlar.

  • SOC Kaynak Optimizasyonu: Kimlik Avı Önceliklendirme Aracısı, düşük ve orta riskli tehditlerin önceliklendirilmesini otomatikleştirerek, güvenlik analistlerinin daha karmaşık araştırmalara, proaktif tehdit avına ve güvenlik stratejileri geliştirmeye odaklanmasını sağlayarak genel SOC olgunluk düzeyini yükseltir.

  • Tutarlı Yanıt: Otomasyon, her kimlik avı olayının önceden tanımlanmış güvenlik politikaları takip edilerek tutarlı bir şekilde ele alınmasını sağlar ve insan müdahalesi ile oluşabilecek değişkenliği ortadan kaldırır.

Uygulamanın Önkoşulları

Kimlik Avı Triyaj Aracısının yeteneklerinden yararlanmak için kuruluşunuzun aşağıdaki öğelere ihtiyacı olacaktır:

  • Office 365 Lisanslaması için Microsoft Defender: Kimlik Avı Triyaj Aracısı, Office 365 için Microsoft Defender Plan 2 lisansları veya bu planı içeren Microsoft 365 E5/A5/G5 paketleriyle kullanılabilen gelişmiş bir özelliktir.

  • Yönetici Erişimi: Microsoft Defender portalında ("security.microsoft.com") Genel Yönetici, Güvenlik Yöneticisi veya Uyumluluk Yöneticisi izinlerine sahip Hesaplar.

  • Office 365 için Defender Temel Yapılandırması: Temel kimlik avı koruması, spam koruması ve kötü amaçlı yazılımdan koruma politikalarının halihazırda yapılandırılmış ve çalışır durumda olması beklenir.

  • Kullanıcı Mesajı Raporlama Politikası: Aracının harekete geçebilmesi için kullanıcıların kimlik avı e-postalarını raporlamaya yönelik kolay bir mekanizmaya sahip olması gerekir (örneğin, Outlook'taki Rapor Mesajı eklentisi).

Adım Adım Kılavuz: Kimlik Avı Triyaj Aracısını Etkinleştirme ve Yapılandırma

Kimlik Avı Triyaj Aracısını etkinleştirmek ve yapılandırmak, Office 365 için Microsoft Defender ortamınızla sorunsuz bir şekilde entegre olmak üzere tasarlanmış basit bir işlemdir.

Adım 1: Microsoft Defender Portalında Kimlik Avı Önceliklendirme Aracısını Etkinleştirme

Bu ilk adım, güvenlik kontrol panelinde özelliğin etkinleştirilmesini ve aracının çalışmaya başlamasını içerir.

  1. Microsoft Defender Portalına erişin: Tarayıcınızı açın ve "security.microsoft.com" adresine gidin. Gerekli yönetici izinlerine sahip bir hesapla oturum açın.

  2. Tehdit Politikaları'na gidin: Sol gezinme bölmesinde E-posta ve İşbirliği'ni genişletin ve Politikalar ve Kurallar'ı seçin. Ardından Tehdit Politikaları'nı tıklayın.

  3. Kimlik Avı Önceliklendirme Aracısını Bulun: Tehdit Politikaları içerisinde yapay zeka kaynaklarına ayrılmış bir bölüm bulacaksınız. Kimlik Avı Önceliklendirme Aracısı (Önizleme/GA) seçeneğini seçin. "Önizleme/GA" tanımı, bölgenize ve Microsoft'un yayın planına bağlı olarak özelliğin genel önizleme aşamasında olabileceğini veya halihazırda genel kullanılabilirliğe ulaşmış olabileceğini belirtir.

  4. Acenteyi etkinleştirin: Durum anahtarını Açık konumuna getirin. Bu, aracıyı etkinleştirecektir. Daha sonra uygulamanın kapsamını tanımlamanız gerekecektir. Kapsamın tamamını görmek için Tüm kuruluş'u seçin. Aşamalı bir uygulama için belirli kullanıcı gruplarını veya etki alanlarını da tercih edebilirsiniz.

  5. Değişiklikleri Kaydet: Uygulanacak politikalara ilişkin tüm ayarları kaydettiğinizden emin olun.

Adım 2: Otomatik Düzeltme Eylemlerini Tanımlama

Etkinleştirmeden sonra, Kimlik Avı Triyaj Aracısının farklı tehdit düzeylerine nasıl yanıt vermesi gerektiğini yapılandırmak çok önemlidir. Bu, aracının iyileştirmede ne kadar agresif olması gerektiğini özelleştirmenize olanak tanır.

  1. Otomatik Aracı Eylemlerine Erişim: Aynı Phishing Triage Agent yapılandırma ekranında Otomatik Eylemler bölümüne gidin.

  2. Yüksek Güven Düzeyinde Tehditlere Göre Yapılandırma: Kimlik avı olduğu Yüksek Güven Düzeyinde olarak sınıflandırılan e-postalar için (yani aracının kötü niyetli olduğundan oldukça eminse), Kalıcı Olarak Sil eylemini seçin. Bu eylem, e-postayı kullanıcının gelen kutusundan ve herhangi bir klasörden kaldırarak daha fazla etkileşimi engeller.gelecek.

  3. Orta Düzeyde Güvenceli Tehditlere Göre Yapılandırma: Orta Düzeyde Güvenceli e-postalar için (kimlik avına ilişkin güçlü ancak kesin olmayan kanıtların olduğu durumlarda), Karantinaya Taşı seçeneğini seçin ve yöneticiye bildir. Bu yaklaşım, bir insan analistinin kalıcı olarak silinmeden önce karantinaya alınan e-postayı incelemesine olanak tanıyarak yanlış pozitiflik riskini azaltır ancak tehdidi hâlâ kontrol altında tutar.

  4. Diğer Düzeltme Seçenekleri: Düşük güvenilirliğe sahip tehditler için Önemsiz Dosyaya Taşı veya tekrarlanan kimlik avı gönderenleri için Göndereni Engelle gibi diğer seçenekleri keşfedin. Bu ayarlardaki esneklik, temsilci yanıtı üzerinde ayrıntılı kontrole olanak tanır.

  5. Değişiklikleri Kaydet: Düzeltme ayarlarını onaylayın.

Adım 3: Sonuçların İzlenmesi ve Analizi

Kimlik Avı Önceliklendirme Aracısının etkinliğini değerlendirmek ve beklendiği gibi çalıştığından emin olmak için Office 365 için Microsoft Defender, özel kontrol panelleri ve raporlar sunar.

  1. E-posta ve İşbirliği Raporlarına Erişim: Microsoft Defender portalının yan menüsünde Raporlar > E-posta ve işbirliği'ne gidin.

  2. "Yapay Zeka Aracı Verimliliği" Raporunu görüntüleyin: "Yapay Zeka Aracı Verimliliği" raporunu (veya biraz farklılık gösterebilecek benzer bir adı) arayın. Bu rapor aşağıdakiler gibi önemli metrikleri gösterecek şekilde tasarlanmıştır:

  3. Önlenen Saldırı Sayısı: Kaç tane kimlik avı e-postasının insan müdahalesine gerek kalmadan aracı tarafından tespit edildiği ve düzeltildiği.

  4. Ortalama Yanıt Süresi: Temsilcinin manuel önceliklendirmeye kıyasla hareket ettiği hız.

  5. Yanlış Pozitifler/Negatifler: Aracının doğruluğunun analizi, iyileştirme politikalarında ince ayar yapılmasına olanak tanır.

  6. Saldırı Eğilimleri: En yaygın kimlik avı türleri ve saldırganlar tarafından kullanılan taktikler hakkında bilgiler.

  7. Tehdit Gezgini'ni kullanın: Daha ayrıntılı araştırmalar için Defender for Office 365'teki Tehdit Gezgini belirli e-postaları aramanıza, aktörün kararını görüntülemenize ve tehdidin yolunu anlamanıza olanak tanır.

  8. Özel Uyarıları Yapılandırın: Microsoft Sentinel'de (tümleşikse), yüksek miktarda aracı kimlik avı tespitleri veya insan müdahalesi gerektiren son derece karmaşık kimlik avı girişimleri hakkında sizi bilgilendirecek özel uyarılar yapılandırabilirsiniz.

Ek Hususlar ve En İyi Uygulamalar

  • Kullanıcı Eğitimi: Aracı, taramayı otomatik hale getirse de, kullanıcıların şüpheli e-postaları belirleme ve bildirme konusunda sürekli eğitimi hayati önem taşıyor. Aracı, kullanıcı raporlarına göre hareket eder ve güçlü bir güvenlik kültürü ilk savunma hattıdır.

  • Periyodik Politika İncelemesi: Tehdit ortamı sürekli değişiyor. Saldırganların en son taktiklerine karşı etkili kaldıklarından emin olmak için Kimlik Avı Önceliklendirme Aracısı yapılandırmalarını ve iyileştirme politikalarını düzenli olarak inceleyin.

  • SOC Entegrasyonu: Kimlik Avı Önceliklendirme Aracısı sonuçlarının ve uyarılarının, birleşik bir güvenlik görünümü ve daha geniş olay yanıtlarını düzenlemek için SIEM/SOAR sisteminizle (Microsoft Sentinel gibi) entegre olmasını sağlayın.

  • İlk Denetim Modu: Daha temkinli bir yaklaşım isteyen kuruluşlar için, daha agresif eylemler uygulamadan önce aracının performansını izlemek için aracıyı başlangıçta bir denetim modunda veya daha hafif düzeltme eylemleriyle (ör. önemsiz duruma geçme) yapılandırmayı düşünün.

  • Sürekli Geri Bildirim: Yapay zeka modellerine geri bildirim sağlamak için raporları ve ölçümleri kullanın; böylece zaman içinde doğruluklarının ve etkinliklerinin artmasına yardımcı olun.

Sonuç

Office 365 için Microsoft Defender'ın Kimlik Avı Önceliklendirme Aracısı, 2026'da kimlik avına karşı mücadelede çok önemli bir ilerlemeyi temsil ediyor. Kimlik avı e-postalarının önceliklendirilmesini, araştırılmasını ve düzeltilmesini otomatikleştirerek yalnızca yanıt süresini önemli ölçüde hızlandırmakla kalmıyor, aynı zamanda algılama doğruluğunu da geliştiriyor ve güvenlik ekiplerine daha stratejik zorluklara odaklanabilmeleri için zaman kazandırıyor. Bu aracının etkili bir şekilde uygulanması, siber dayanıklılığını güçlendirmek ve kullanıcılarını yapay zeka çağının giderek karmaşıklaşan tehditlerine karşı korumak isteyen her kuruluş için kritik bir adımdır. Bu teknolojiyi benimseyen şirketler, kimlik avı savunmasını manuel, reaktif bir savaştan, savaşa dönüştürebilir.proaktif ve akıllı çalışma.

Referanslar

[1] Microsoft Teknoloji Topluluğu. "Ignite 2025: Microsoft Defender'daki yenilikler neler?" Şu adreste bulunabilir: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/ignite-2025-whats-new-in-microsoft-defender/4469996 [2] Microsoft Teknoloji Topluluğu. "RSA 2026: Microsoft Defender'daki yenilikler neler?" Şu adresten ulaşılabilir: [https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/rsa-2026-what%E2%80%99s-new-in-microsoft-defender/4503046] (https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/rsa-2026-what%E2%80%99s-new-in-microsoft-defender/4503046) [3] LinkedIn. "RSA 2026: Microsoft Defender'daki yenilikler neler? | Sami Lamppu." Şu adreste bulunabilir: [https://www.linkedin.com/posts/sami-lamppu_rsa-2026-whats-new-in-microsoft-defender-activity-7442586162021433344-5Fez] (https://www.linkedin.com/posts/sami-lamppu_rsa-2026-whats-new-in-microsoft-defender-activity-7442586162021433344-5Fez) [4] Microsoft Teknoloji Topluluğu. "Aylık haberler - Nisan 2026." Şu adreste bulunabilir: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/monthly-news---april-2026/4508050