Office 365 için Defender ile kimlik avı nasıl engellenir

Office 365 için Defender ile kimlik avı nasıl engellenir

04/14/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine, kimlik avı saldırılarını etkili bir şekilde engellemek için Office 365 için Microsoft Defender'ı (MDO) yapılandırma ve optimize etme konusunda rehberlik etmeyi amaçlamaktadır. Kimlik avı, kimlik bilgilerini çalmayı, kötü amaçlı yazılım yüklemeyi veya mağdurları gizli bilgileri ifşa etmeleri için kandırmayı amaçlayan en yaygın ve tehlikeli siber tehditlerden biri olmaya devam ediyor. MDO, temel Exchange Çevrimiçi Koruma (EOP) korumasının ötesine geçen, karmaşık saldırılara karşı gelişmiş savunmalar sağlayan güçlü bir kimlik avı önleme özellikleri paketi sunar [1].

Giriş

Kimlik avı saldırıları, genel e-postalardan hedef odaklı kimlik avı, balina avcılığı ve iş e-postası ihlali (BEC) olarak bilinen yüksek hedefli ve ikna edici kampanyalara dönüştü. Bu taktikler insanın güvenini istismar eder ve geleneksel savunmaları aşabilir. Office 365 için Microsoft Defender, kötü amaçlı e-postaları kullanıcıların gelen kutularına ulaşmadan önce tespit etmek ve engellemek için yapay zeka, makine öğrenimi ve davranış analizini kullanarak bu gelişmiş tehditlerle mücadele etmek üzere tasarlanmıştır [2].

Bu pratik kılavuz, kimlik avı koruması, posta kutusu istihbaratı, kimliğe bürünme koruması ve güvenli bağlantılar ve ekler dahil olmak üzere MDO'da kimlik avı önleme politikalarının yapılandırılmasını kapsayacaktır. Okuyucunun, kuruluşunun kimlik avı saldırılarına karşı savunmasını güçlendirebilmesi ve kullanıcıları en iyi uygulamalar konusunda eğitebilmesi için adım adım talimatlar, yapılandırma örnekleri ve doğrulama yöntemleri sağlanacaktır.

Office 365 için Defender kimlik avına karşı neden önemlidir?

  • Gelişmiş Koruma: EOP'nin ötesine geçerek sıfır gün tehditlerinin ve polimorfik saldırıların algılanmasını sağlar.
  • Tehdit İstihbaratı: Ortaya çıkan saldırı vektörlerini ve modellerini belirlemek için Microsoft'un geniş tehdit istihbaratından yararlanır.
  • Davranış Analizi: Kimlik avına işaret eden anormallikleri belirlemek için e-postaların ve URL'lerin davranışını analiz eder.
  • Kimliğe Bürünme Koruması: Güvenilir yöneticilerin, markaların veya iş ortaklarının kimliğine bürünmeye çalışan e-postalara karşı koruma sağlar.
  • Güvenli Bağlantılar ve Ekler: Tıklama veya açma sırasında URL'leri ve ekleri gerçek zamanlı olarak tarayarak kötü amaçlı içeriğe karşı koruma sağlar.
  • Görünürlük ve Raporlama: Kimlik avı saldırılarını anlamak ve bunlara yanıt vermek için ayrıntılı raporlama ve inceleme araçları sağlar.

Önkoşullar

Office 365 için Microsoft Defender'da kimlik avı önleme ilkelerini yapılandırmak ve optimize etmek için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Office 365 Plan 1 veya Plan 2 için Microsoft Defender'ı içeren bir lisans. Bu genellikle Microsoft 365 E5 Security, Microsoft 365 E5, Office 365 E5 gibi paketlerin bir parçasıdır veya eklenti olarak satın alınabilir [3].
  2. Yönetim Erişimi: Microsoft 365 Defender portalında (https://security.microsoft.com) Güvenlik Yöneticisi veya Uyumluluk Yöneticisi izinlerine sahip bir hesap.
  3. Doğrulanmış Etki Alanları: E-posta etki alanlarınızın Microsoft 365'te yapılandırılması ve doğrulanması gerekir.
  4. E-posta DNS Kayıtları: SPF (Gönderen Politikası Çerçevesi), DKIM (Etki Alanı Anahtarlarıyla Tanımlanmış Posta) ve DMARC (Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uyumluluk), alanlarınız için doğru şekilde yapılandırılmalıdır. Bu, sahteciliğe ve kimliğe bürünmeye karşı koruma açısından kritik öneme sahiptir.

Adım Adım: MDO'da Kimlik Avı Koruması Politikalarını Yapılandırma

Kullanıcılarınızı korumak için özel bir kimlik avı önleme politikası yapılandıralım.

1. Microsoft 365 Defender Portalına Erişim

  1. Tarayıcınızı açın ve "https://security.microsoft.com" adresine gidin.
  2. Gerekli izinlere sahip bir hesapla oturum açın.

2. Özel Kimlik Avı Önleme Politikası Oluşturma

MDO'nun varsayılan bir kimlik avı önleme politikası olmasına rağmen, belirli kullanıcı grupları (ör. yöneticiler, yüksek riskli kullanıcılar) için özel politikalar oluşturulması ve koruma ayarlarının yapılması önemle tavsiye edilir.

  1. Sol gezinme bölmesinde E-posta ve İşbirliği > Politikalar ve Kurallar > Tehdit Politikaları'nı seçin.
  2. Politikalar bölümünde Kimlik avına karşı koruma seçeneğini tıklayın.
  3. Yeni ilke sihirbazını başlatmak için Oluştur'a tıklayın.

1. Adım: Politikaya Ad Verin

  1. Ad: `Kimlik Avını Önleme PolitikasıÖzel - Yöneticiler (veya hedef grubunuz için açıklayıcı bir ad).
  2. Açıklama: 'Yöneticiler ve yüksek riskli kullanıcılar için gelişmiş kimlik avı koruması.'
  3. İleri'ye tıklayın.

Adım 2: Kullanıcılar, Gruplar ve Etki Alanları

  1. Kullanıcılar, gruplar veya alanlar: Bu politikanın uygulanacağı kullanıcıları veya grupları seçin. Bu örnek için yöneticilerinizi içeren bir güvenlik grubu seçin.
    • İpucu: Kuruluşun tamamına başvurmadan önce küçük bir test grubuyla başlayın.
  2. Bu kullanıcıları, grupları ve alanları hariç tutun: (İsteğe bağlı) Bu politikanın dışında tutulması gereken varlıkları ekleyin.
  3. İleri'ye tıklayın.

3. Adım: Kimlik Avı Eşiği ve Kimliğe Bürünme Eşiği

Bu bölüm, kimlik avı ve kimliğe bürünmeye karşı koruma düzeyini yapılandırmanıza olanak tanır.

  1. Kimlik Avı Eşiği: Değerin "3" veya "4" (varsayılan 1'dir) olarak ayarlanması önerilir. Daha yüksek değerler daha fazla koruma sağlar ancak yanlış pozitifleri artırabilir.
  2. Kullanıcıların Korunmasını Etkinleştirin: Kullanıcı Ekle'yi tıklayın ve kimliğe bürünmeye karşı korumak istediğiniz yöneticilerin veya önemli kişilerin (ör. CEO, CFO) e-posta adreslerini ekleyin. MDO, bu kişilerin kimliğine bürünmeye çalışan e-postaları aktif olarak izleyecektir.
  3. Korunacak alan adlarını etkinleştirin: Alan Adı Ekle'yi tıklayın ve kendi alan adlarınızı ekleyin (ör. "sirketiniz.com"). Bu, dahili ve harici alan sahteciliğine karşı koruma sağlar.
  4. Eylemler: Kimliğe bürünme olarak algılanan iletiler için eylemleri ayarlayın:
    • Mesajın kullanıcının kimliğine bürünme olduğu tespit edilirse: "Mesajı karantinaya al" veya "Mesajı alıcının Önemsiz E-posta klasörüne taşı".
    • Mesajın alan adı kimliğine bürünme olduğu tespit edilirse: Mesajı karantinaya al.
    • İpucu: Meşru e-postaları kaybetmemek için "Mesajı alıcının Önemsiz E-postasına taşı" veya "Karantina" klasörüyle başlayın.
  5. Posta Kutusu İstihbaratı: Açık olduğundan emin olun. Bu, MDO'nun her kullanıcı için normal iletişim modellerini belirlemek ve anormallikleri tespit etmek için makine öğrenimi zekasını kullanmasına olanak tanır.
  6. Sahtekarlık Koruması: Açık olduğundan emin olun ve kimliği doğrulanmamış sahtekarlık iletileri için eylemi 'Mesajı alıcının Önemsiz E-posta klasörüne taşı' veya 'Mesajı karantinaya al' olarak ayarlayın.
  7. İleri'ye tıklayın.

4. Adım: İnceleme

  1. Tüm politika ayarlarını gözden geçirin.
  2. Oluştur'u tıklayın.

3. Güvenli Ekleri Yapılandırma

Güvenli Ekler, ekleri kullanıcılara teslim etmeden önce sanallaştırılmış bir ortamda (korumalı alan) açarak sıfır gün kötü amaçlı yazılımlarına karşı koruma sağlar.

  1. Sol gezinme bölmesinde E-posta ve İşbirliği > Politikalar ve Kurallar > Tehdit Politikaları'nı seçin.
  2. İlkeler bölümünde Güvenli Ekler'i tıklayın.
  3. Oluştur'u tıklayın.
  4. Ad: 'Güvenli Ek Politikası'.
  5. Açıklama: `Sıfırıncı gün kötü amaçlı yazılımlara karşı koruma sağlamak için korumalı alana alınmış e-posta eklerini tarar.'
  6. Güvenli Ek Kötü Amaçlı Yazılımlara Yanıt Eylemi: "Engelle"yi seçin.
  7. Algılanan ekleri yeniden yönlendir: (İsteğe bağlı) Daha ayrıntılı analiz için ekleri bir güvenlik posta kutusuna yönlendirebilirsiniz.
  8. Uygula: Kullanıcılar, Gruplar veya Etki Alanları seçeneğini seçin ve ilgili kullanıcılarınızı veya gruplarınızı ekleyin.
  9. Oluştur'u tıklayın.

4. Güvenli Bağlantıları Yapılandırma

Güvenli Bağlantılar, e-postalardaki ve belgelerdeki URL'leri, tıklama sırasında gerçek zamanlı olarak itibarlarını kontrol etmek için yeniden yazar ve kötü amaçlı bağlantılara karşı koruma sağlar.

  1. Sol gezinme bölmesinde E-posta ve İşbirliği > Politikalar ve Kurallar > Tehdit Politikaları'nı seçin.
  2. Politikalar bölümünde Güvenli Bağlantılar'ı tıklayın.
  3. Oluştur'u tıklayın.
  4. Ad: 'Güvenli Bağlantılar Politikası'.
  5. Açıklama: E-postalar ve belgelerdeki kötü amaçlı URL'lere karşı koruma sağlar.
  6. E-posta iletilerine Güvenli Bağlantılar Uygula: Bunun Etkin olduğundan emin olun.
  7. Office 365 uygulamalarındaki içeriğe Güvenli Bağlantılar Uygula: Bunun Etkin olduğundan emin olun.
  8. Eylemler: Engellenen URL'ler için eylemleri yapılandırın (ör. "Kötü amaçlı URL'leri engelle").
  9. Aşağıdaki URL'leri yeniden yazmayın: (İsteğe bağlı) Yeniden yazılmaması gereken dahili veya güvenilir URL'ler ekleyin.
  10. Uygula: Kullanıcılar, Gruplar veya Etki Alanları seçeneğini seçin ve ilgili kullanıcılarınızı veya gruplarınızı ekleyin.
  11. Oluştur'a tıklayın.

Doğrulama ve Test Etme

Kimlik avına karşı koruma politikalarının etkililiğinin doğrulanması, korumanın beklendiği gibi çalıştığından emin olmak için çok önemlidir.

1. Saldırı Simülasyonu Eğitimini Kullanma

MDO, kullanıcı dayanıklılığını ve politikalarınızın etkinliğini test etmenize olanak tanıyan bir kimlik avı saldırısı simülasyon aracı içerir.

  1. Microsoft 365 Defender portalında E-posta ve İşbirliği > Eğitim Saldırısı Simülasyonu'na gidin.
  2. Simülasyon başlat'a tıklayın.
  3. Bir grup test kullanıcısına yönelik simüle edilmiş bir kimlik avı kampanyası oluşturmak ve başlatmak için sihirbazı izleyin.
  4. Kaç kullanıcının güvenliğinin ihlal edildiğini ve MDO politikalarının simüle edilmiş kimlik avı e-postalarına müdahale edip etmediğini görmek için sonuçları izleyin.

2. Koruma Günlüklerini Kontrol Etme

  1. Microsoft 365 Defender portalında E-posta ve işbirliği > Gezgin'e gidin.
  2. Politikaların kötü amaçlı e-postaları tespit edip etmediğini görmek amacıyla "Kimlik Avı", "Sahtekarlık" veya "Kötü Amaçlı Yazılım" kararlarına sahip e-postaları aramak için filtreleri kullanın.

3. Güvenli Bağlantıları ve Ekleri Test Etme

Korunan bir kullanıcıya, bilinen kötü amaçlı bir bağlantı (ör. güvenli bir kimlik avı test sitesinden) veya kötü amaçlı yazılım test dosyası (ör. EICAR) içeren bir test e-postası gönderin ve MDO'nun bağlantıyı yeniden yazıp yazmadığını veya eki engelleyip engellemediğini kontrol edin.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Kullanıcı Eğitimi: En önemli savunma hattı. Kullanıcıları kimlik avı e-postalarını tanımaları ve bildirmeleri konusunda düzenli olarak eğitin. Öğrenmeyi güçlendirmek için Eğitim Saldırısı Simülasyonunu kullanın.
  • SPF, DKIM ve DMARC'yi kurun: Bu DNS kayıtları, e-posta kimlik doğrulaması ve sahteciliğe karşı koruma için çok önemlidir. Tüm etki alanlarınız için bunların doğru şekilde yapılandırıldığından emin olun.
  • Ayrıntılı Politikalar: Özellikle yüksek risk altındakiler (ör. yöneticiler, finans) olmak üzere farklı kullanıcı grupları için kişiselleştirilmiş kimlik avı önleme politikaları oluşturun.
  • Kimlik Avı Eşiğini Artırın: Yanlış pozitifleri izleyerek daha fazla koruma sağlamak için özel politikalarda kimlik avı eşiğini 3 veya 4'e yükseltmeyi düşünün.
  • Raporları İzleme: Eğilimleri, hedefli saldırıları ve korumanın iyileştirilebileceği alanları belirlemek için MDO'daki tehdit koruma raporlarını düzenli olarak inceleyin.
  • Uç Nokta için Defender ile Entegrasyon: E-posta koruması ve uç nokta koruması, katmanlı savunma için birlikte çalışır. Bir kullanıcı kötü amaçlı bir bağlantıyı tıklatırsa Defender for Endpoint, cihazdaki tehdidin algılanmasına ve düzeltilmesine yardımcı olabilir.

Genel Sorun Giderme

  • Yasal kimlik avı e-postalarının ulaşması: Kimlik avı önleme politika ayarlarınızı, özellikle de kimlik avı eşiklerini ve kimliğe bürünme ve kimlik sahtekarlığına yönelik eylemleri kontrol edin. SPF, DKIM ve DMARC'nin doğru şekilde yapılandırıldığından emin olun. Tehdit Gezgini'ndeki günlükleri inceleyin.
  • Yanlış pozitifler (yasal e-postalar engellendi): Kimlik avı eşiklerini daha düşük bir değere ayarlayın. Kimliğe bürünme ve kimlik sahtekarlığı ayarlarını kontrol edin. Güvenilir gönderenleri veya etki alanlarını istisnalar listesine ekleyin (gerekirse dikkatli olun).
  • Yeniden yazılmamış bağlantılar veya doğrulanmamış ekler: Güvenli Bağlantılar ve Güvenli Ekler politikalarının etkinleştirildiğini ve doğru kullanıcılara atandığını doğrulayın. E-postanın MDO aracılığıyla yönlendirildiğini doğrulayın.
  • Eğitim Saldırısı Simülasyon Sorunları: Test kullanıcılarının doğru gruplara dahil edildiğini ve simülasyon e-postalarını kullanıcılara ulaşmadan engelleyebilecek hiçbir politikanın bulunmadığını doğrulayın.

Sonuç

Office 365 için Microsoft Defender, kimlik avına karşı mücadelede güçlü ve vazgeçilmez bir araçtır. Kimlik avına karşı koruma, Güvenli Ekler ve Güvenli Bağlantılar politikalarını yapılandırıp optimize ederek kuruluşlar, çok çeşitli kötü amaçlı e-posta saldırılarına karşı güçlü bir savunma oluşturabilir. İleri teknolojiyi sürekli kullanıcı eğitimiyle birleştirmek, şirket kimliklerini, verilerini ve itibarını etkili bir şekilde koruyan katmanlı bir güvenlik stratejisi oluşturur. Sürekli gelişen kimlik avı taktiklerine karşı etkili kalabilmek için sürekli dikkatli olmak ve politikalara uyum sağlamak çok önemlidir.

Referanslar:

[1] Microsoft Learn. Office 365 için Microsoft Defender. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/microsoft-defender-for-office-365?view=o365-worldwide [2] Microsoft Learn. Office 365 için Microsoft Defender'daki kimlik avına karşı koruma politikaları. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/defender-office-365/anti-phishing-policies-about [3] Microsoft Learn. Office 365 için Microsoft Defender lisanslama gereksinimleri. Şu adresten ulaşılabilir: [https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365] (https://learn.microsoft.com/pt-br/microsoft-365/security/defender-for-office365/mdo-faq?view=o365-worldwide#what-are-the-licensing-requirements-for-microsoft-defender-for-office-365)