Office 365 Anti-Phishing Policy ile Spoofing Önleme
İçindekiler:
- 1 Office 365 Anti-Phishing Policy Nedir?
- 2 Office 365 Anti-Phishing Policy Oluşturma
- 2.1 Varsayılan policy düzenleme
- 2.2 Kimliğe Bürünme Ayarları | Impersonation Settings
- 2.3 Office 365 Anti-Phishing Spoof Intelligence ayarları
- 2.4 Office 365 Anti-Phishing Gelişmiş Ayarlar – Advanced settings
Bu yazımda, Office 365 Anti-Phishing Policy ile kimlik avı saldırılarına karşı önlem alma konusuna bakacağız. Exchange Online içeren herhangi bir Office 365 ile birlikte yerleşik gelen bu Exchange Online Protection özelliği, Defender for Office 365’le birlikte ek yetenekler kazanıyor.
E-posta güvenliğini arttırmak ve korumanızı güçlendirmek için farklı kimliğe bürünen, sahtekarlık içeren e-postaları tespit etmek ve onlara karşı önlem almak için bu Office 365 Anti-Phishing Policy uygulamanız sağlıklı olacaktır.
Office 365 Anti-Phishing Policy Nedir?
Kısaca özletmek gerekirse, Office 365’in Spoof intelligence policy ile birlikte çalışan ve kimlik avına karşı önlem almaya yarayan hizmeti. Office 365 Anti-Spam ayarlarını spoof intelligence policy makalesinde ayarlamıştık. Bu makalede ise, güvenlik ayarlarına bakacağız. Öncesinde lisanslama kısmına bakalım:
Office 365 Anti-Phishing hangi lisanslarda var?
E-posta hizmetini kullanan, yani Exchange Online Protection içeren her Microsoft 365 lisansı Office 365 Anti-Phishing özelliğini kullanır. Fakat Defender for Office 365 ile birlikte ekstra iki farklı özellik daha geliyor.
Özellik | Exchange Online Protection | Microsoft Defender for Office 365 |
Default Policy | Yapabilir | Yapabilir |
Yeni ilke oluşturma | Yapabilir | Yapabilir |
Policy düzenleme* | Yapabilir | Yapabilir |
Impersonation ayarları | Hakkı Yok | Yapabilir |
Spoof ayarları | Yapabilir | Yapabilir |
Gelişmiş phishing ayarları | Hakkı Yok | Yapabilir |
Office 365 Anti-Phishing Policy Oluşturma
Office 365 Anti-Phishing Policy oluşturmak için, öncelikle Office 365 güvenlik ve uyumluluk sayfasına gitmemiz gerekiyor. Aşağıdaki adımları takip edebilirsiniz;
- Office 365 Protection sayfasına giriş yapın.
- Sol menüde Policies & rules‘e tıklayın.
- Threat policies‘e tıklayın ve
- Sağ taraftaki menüden Anti-Phishing‘ı tıklayın.
Sayfa açıldıktan sonra, + Create butonuna tıklayarak yeni bir policy oluşturabilirsiniz, ama ben herkese uygulamak istiyorum derseniz “Default Policy” kısmını tıklayıp düzenlemek daha doğru.
Varsayılan policy düzenleme
Default Policy’yi tıkladığınızda, aşağıdaki resimde de göreceğiniz gibi boş üst kısımda herşey pasif olarak geliyor. Yukarıdaki tabloda da belirtmiştim bazı özellikleri read-only olarak açar. Adını, önem derecesini veya açıklamasını ve kimlere uygulanacağını değiştiremeyiz ama geri kalan detayları değiştirebilirsiniz.
dipnot: Varsayılan ilke içinde kimlik sahtekarlığı için ayarlar yapılandırılmış olarak gelir. Fakat kimliğe bürünme olarak geçen ayarlar varsayılan ilke içinde yapılandırılmadan boş olarak geliyor. Gelişmiş bir koruma için bunu değiştirmeniz gerekir.
Kimliğe Bürünme Ayarları | Impersonation Settings
Sırasıyla giderken, ilk değiştireceğimiz Office 365 Anti-Phishing ayarı kimliğe bürünmeyi engellemek için olan Impersonation settings. Aşağıdaki yazıları gördüğünüz alanın yanında bulunan edit butonuna tıklayalım ve detayına girelim.
add users to protect ile önemli kullanıcıları ekleme
Office 365 Anti-Phishing ayarlarındaki önemli noktalardan birisi, kurumdaki yöneticilerin adından giden e-postaları engellemek için ekstra önlem almak faydalı olacaktır. Örneği CEO, CFO, CIO gibi kişilerin e-posta adreslerini buraya eklerek özel önlem alabilirsiniz.
Kısaca özetlemek gerekirse, belirttiğiniz e-posta adreslerini kurum içinden veya kurum dşından kullanıcıların taklit etmesini engeller. Buraya sadece 60 kişi ekleyebiliyorsunuz, daha fazla ekmek isterseniz yeni bir policy daha ekleyebilirsiniz.
add domain to protect ile alan adı koruması
Kullanıcı bazlı yaptığımız işlemi domain bazlı da yapabiliyoruz. İki farklı alanımız mevcut burada;
- Automatically include the domains i own kısmını On olarak işaretlerseniz bütün domainleri otomatik ekler.
- Include custom domain kısmını aktif ettiğinizde de alt kısımdan manuel ekleyebilirsiniz.
action ile yakalanan e-postalarına önlem alma
Biraz önce koruma kurallarımızı oluşturduk ama ayrıca bunlar ile ilgili aksiyon da aldırmamız gerekecek. Eğer sorunlu bir e-posta yakalarsa ne olsun? Bu alanda altı farklı aksiyon alma imkanımız var.
If email is sent by an impersonated users kısmından aksiyon alırsanız, kullanıcılar üzerinden yapılan kimlik sahtekarlığı yakalandığında aksiyon alır.
If email is sent by an impersonated domain kısmından aksiyon alırsanız, domain üzerindeki kurala yakalanan e-postalara aksiyon alır.
Redirect message to other email addresses
Yakalanan e-postayı bt ekibinin grup adresine veya bir bireysel kişiye yönlendirmesini yapmak isterseniz bu aksiyonu seçin ve e-posta adresini ekleyin..
Move message to the recipients junk email folders
Seçiminizi bunu yaptığınızda Office 365 Anti-Phishing kuralınıza yakalanan e-postalar kullanıcının gereksiz posta kutusuna düşecektir. Varsayılan olarak burası seçili geliyor.
Quarantine the message
Gönderilen e-postaları karantinaya alır ve admin tarafından kontrol edildikten sonra kullanıcıya teslim edilecek veya zaman aşımından sonra tamamen silinir.
Deliver the message and add other addresses to the bcc line
E-posta her ne kadar Office 365 Anti-Phishing ilkesine takılsa da alıcıya teslim eder, ayrıca alıcıya haber vermeden BCC’ye ekleyerek başka bir kullanıcıya da denetlemesi için gönderir.
delete the message before it’s delivered
Pek tavsiye etmesem de, gelen e-postayı yargısız infaz yaparak tamamen sistemden siler.
don’t apply any action
Herhangi bir aksiyon almaz, bunu sadece test modu gibi kullanmak için açamanız gerekir.
Bunun dışında ekranın alt kısmında turn on impersonation safety tips adında bir ayar göreceksiniz. Tıkladığınızda da, yakalanan e-postalar eğer kullanıcılara gösteriliyorsa bu tür e-postalar için uyarı mesajları göstermeniz için alan var.
- Show tips for impersonated users
- Burayı aktif ettiğinizde kimden kısmı korumalı bir kullanıcı içeriyorsa bilgilendirir.
- Show tip for impersonated domain
- Gönderen adresi korumalı bir domain içeriyorsa bilgilendirir.
- Show tip for unusual characters
- Gönderici adresi olağan dışı karakterler içeriyorsa bilgilendirme yapar. Örnek BiLGi@CanGunesS.com
Mailbox intelligence ile e-posta bazlı analiz
Office 365 Anti-Phishing Policy ile makine öğrenimini de kullanarak kullanıcıları analiz eder ve çalışma modellerine göre hangi kullanıcılarla sık iletişim kurduğunu belirler. Ardından, e-postanın bu kişilerden birinin kimliğine bürünen bir saldırgandan geldiğini daha kolay anlamanıza yardımcı olur. Varsayılan olarak aktif olarak eglen bu özelliğe ek birkaç küçük ayar yapabilirsiniz.
Enable mailbox intelligence
Resimden önce bahsettiğim özellik, eğer bu kısım on olarak kalırsa sık iletişim kurulan kişileri algılayıp sahte e-postaları tespit etmesinde destek olacak.
Enable mailbox intelligence based impersonation
Varsayılanda Off olarak gelen bu özelliği aktif ettiğinizde ise, her kullanıcının bireysel gönderen haritasına göre gelişmiş kimliğe bürünme sonuçları da etkinleşmiş olacak. Etkinleştiğinde ise, false pozitif kavramlarının iyileşmesine destek olacak.
If email is sent by an impersonated user:
Yukarıdaki kurallara takılan bir e-posta olduğunda nasıl bir aksiyon alacağımızı soruyor. Makalenin biraz üst kısmında yazdığım alanlar burada da geçerli. Tekrar yazmıyorum.
Add trusted sender and domains kısmından güvenilirleri ekle
Aslında oldukça basit bir alan, güvenli olarak gördüğünüz kullanıcıları ve domainleri burada tanımlayın. Unutmayın, spoofing mailler sadece kötü amaçlı e-postalar değildir. Outbound Spam Policy adlı makalemde de bahsetmiştim. Aynı zamanda sizin adınıza çalışan vendor firmalar da olabilir. Örneğin: destek@cangunes.com adresinden on-behalf e-posta atan çağrı merkezi gibi..
Güvenli kişileri ve alan adlarını da ekledikten sonra, sizden gözden geçirmenizi ayrıca bitir butonunu tıklamanızı istiyor. 🙂 Save diyerek kapatabilirsiniz. Ama makale burada bitmedi, ikinci ve üçüncü alanlarımız da var.. 🙂 Sadece Impersonation kısmını tamamladık. Gerisi daha kısa tabii ki.
Office 365 Anti-Phishing Spoof Intelligence ayarları
Alan adlarını taklit eden gönderenlerden gelen e-postaları nasıl filterelemek istediğimizi bu alanda belirteceğiz. Edit diyerek düzenlemeye başlıyoruz.
Spoofing filter settings
Bu ayar varsayılan olarak sizde açık gelecektir. Uyarı
Unauthenticated sender settings
Outlook’da kimliği doğrulanmamış göndericilerin kimliğini etkinleştirir veya devredışı bırakır.
- SPF veya DKIM kontrollerini geçemeyen gönderenin fotoğrafına ? işareti ekler.
- Gönderenin DKIM imzasında e-posta adresi farklı görünüyorsa, orjinal adresi de gönderici adına ekler. x kişi adına gönderildi gibi bir uyarı görür kullanıcı.
Hemen peşinden ise action tabı geliyor. Daha önce de bahsettiğim konu olduğu için tekrar yazmayacağım ama burada sadece 2 tanesi geliyor. Birisi sadece e-postayı gereksiz kutusuna at, diğeri ise karantinaya al. Ardından da , ayarları gözden geçirmenizi ve kaydetmenizi isteyecek. Daha sonra son konumuza geçeceğiz.
Office 365 Anti-Phishing Gelişmiş Ayarlar – Advanced settings
Son alanımızda ise Office 365 Anti-Phishing için ne derece hassassınız onu konuşacağız. 🙂 Burası da thresholds ayarladığımız yer. Edit diyelim ve düzenlemeye başlayalım.
Makine öğrenimini kullanarak yaptığımız modellemenin hassasiyetini kontrol edeceğiz. Threshold kısmında bize 4 farklı seçenek sunuyor.
- Standard: İletinin önem derecesine göre hareket eder ve en idealidir.
- Aggressive: Standard’a göre biraz daha seçici davranmaya çalışır.
- More aggressive: Orta ve yüksek derecede kimlik avı gibi yüksek güven derecesiyle tarama yapar
- Most aggressive: Bütün e-postalarda yüksek derecede kimlik avı var gibi davranarak önlem alır.
Bu ayarları yapılandırdıktan sonra kapatabilirsiniz. Office 365 Anti-Phishing yapıladırmamızı tamamlamış olduk. Sadece bu yazıyı değil, yazı içinde paylaştığım diğer makaleler de işinize yarayacaktır es geçmeyin.