Office 365 Real-Time Detection (Explorer) Nedir?
İçindekiler:
Office 365 Real-Time Detection nedir bundan bahsedeceğim bugün. Bazı durumlarda Office 365 Explorer diye geçer. Makale içinde sebeplerini de ekleyeceğim, ama biraz uzun bir makale olacak, çayınızı alıp okumaya başlayın.
Kurumunuzda, Defender for Office 365 varsa ve doğru yetkilere sahipseniz Explorer veya Real-time detection şeklinde güvenlik sayfanızda bu özelliği görebilirsiniz. Peki bu fark nereden çıkıyor? Kısaca tanımını yaparak giriş yapayım;
Office 365 Real-Time Detection Nedir?
Office 365 Real-Time Detection dedim ama Explorer’de buna dahil diyebilirim. Aralarındaki fark aslında şu eğer Defender for Office 365 Plan 1 olan bir paket kullanıyorsanız Sol resimde olduğu gibi Real-time detections butonu göreceksiniz, ama Defender for Office 365 Plan 2 kullanıyorsanız birkaç gelişmiş özellikle birlikte Explorer olarak panelimizde yer alacak.
Explorer veya Real-time detection Office 365 içinde güvenlik ekiplerinizin tehditleri araştırmasına, takip etmesine ve çözmesine yardımcı olur. Aşağıdakine benzer bir görüntü ile karşılaşacaksınız kullandıkça. Ayrıca dipnot belirteyim, resimleri Microsoft’un sayfasından çaldım. Boş demo ekranından daha güzel duruyorlar. 🙂
Office 365 Explorer raporlarında ne görebiliriz?
- E-postalar ile gönderilen malware’leri görebiliriz.
- E-posta eklerindeki veya depolama alanlarında bulunan dosyaların içindeki malwareleri görebiliriz.
- Phishing URL’lerin detaylarına ulaşabiliriz.
- Otomatik araştırmalar yapabiliriz ve sonuçlara göre aksiyonlar aldırabiliriz.
- Kötü amaçlı e-postaları ve detaylarını araştırabiliriz.
Bu böyle yazdıkça uzar gider tabii ki, ama Office 365 Explorer ile yapabileceğimiz herşeyin raporuna buradan erişebileceğiz.
Office 365 Real-Time Detection ve Explorer arasındaki farklar
- Real-time detection Defender for Office 365 Plan 1’de kullanılabilir. Plan 2’de ise Explorer olarak karşımıza çıkar.
- Real-time detection raporları anlık olarak raporlara erişmenizi sağlıyor, bunu Explorer’da yapar ek olarak
- Tüm e-postalar görünümü real-time detection’da bulunmuyor.
- Gelişmiş filtreleme özelliği sadece Explorer’de bulunuyor.
Office 365 Real-time Protection ve Explorer lisans ve yetkiler
Office 365 Real-time Protection veya Explorer kullanmak için Defender for Office 365 lisansına sahip olmanız gerekiyor.
- Explorer’e ihtiyacınız varsa Defender for Office 365 Plan 2 almalısınız.
- Real-time detection ihtiyacınızı karşılayacaksa Defender for Office 365 Plan 1 sizin için yeter.
- Defender for Office 365 tarafından korunması gereken bütün kullanıcılar için lisansların atanması gerekir.
Bir de bu işin yetki tarafı var. Gerçekçi olmak gerekirse, malesef ki Türkiye’de herkes global admin. Ondan yetkiyi basıp geçebilirsiniz ama normalde burayı kullanması için Security & Compliance Center’da aşağıdaki yeterlilikleri sağlaması gerekiyor.
- Organization Management
- Security Administrator (Azure Active Directory’de yetkilendirin)
- Security Reader
- Aşağıdaki yetkileri de Exchange Online‘dan verin.
- Organization Management
- View-Only Organization Management
- View-Only Recipients
- Compliance Management
Office 365 Explorer ile hangi raporları görebilirim?
Office 365 Real-time detection ve Explorer raporları burada görebiliyor fakat hangi raporlar burada mevcut? Bunları ilk önce kategorileştirip daha anlaşılır hale getirmek istiyorum. Raporları anlamak için iki farklı başlık altında düşünmemiz gerekiyor. Birisi görünüm, diğeri ise filtreler. Aşağıdaki ekranda bu iki alanı işaretledim. Kısaca anlatayım mantığını, sonra detayına geçelim.
İlk işaretlediğim alan View, yani görünüm. Bu alanda hangi policy türüne ait raporları göreceğimizi seçiyoruz. Bu da daha kolay bulmamıza yardımcı oluyor. View alanını değiştirerek aşağıdaki sonuçları görüntüleyebiliriz;
- Malware policy’sine takılanları görebilirsiniz.
- Phish seçerek, phishing policylerine takılanları görebilirsiniz.
- Submissions gözden geçirmek üzere ayırdığınız e-postaları görebilirsiniz.
- All email seçtiğinizde ise bütün etkinlikleri getirecektir.
- Campaigns: Microsoft’un verdiği campaigng verilerine göre yakalananları görebilirsiniz.
- Content – Malware: Dosyaların içinde bulunan zararlı yazılımları da Conent altındaki Malware’yi seçerek bulabilirsiniz.
Ardından, alt kısımda ise detaylı filtreleme yaparak arama yapabiliyorsunuz. Örneğin, Office 365 tarafından gönderilen bir alert içinde bulunan Alert ID’yi kullanarak özel bir arama yapabilir ve sonuçlara erişebilirsiniz.
Biraz önce bahsettiğim gibi, Office 365 real-time detection da arama yaparken 6 farklı başlık altında inceleme yapabiliyorduk. Bunların detayına bakalım. Önce, e-posta üzerindeki sonuçlara göre inceleyelim;
Üç farklı filtreleme türü mevcut. E-postalar üzerinden, URL’ler üzerinden veya gelişmiş ayarlar üzerinden filtreleme yaparak Office 365 real-time detection u kullanabiliriz.
E-postalar üzerinden filtreleme
Gelen ve giden e-postalar üzerinden e-postaları kontrol ederek, Office 365 Explorer ile zararlı yazılımları tespit edebilirsiniz. Aşağıdaki filtreler, e-postalar için geçerlidir.
- Sender: Gönderen kullanıcı e-postası girerek, gönderici takip edebilirsiniz.
- Recipients: Alıcının e-posta adresi üzerinden, malware takibi yapabilirsiniz.
- Sender Domain: Bir alan adı girerek, o alan adından gönderilenleri kontrol edebilirsiniz.
- Subject: E-posta başlığına göre tarama yapabilirsiniz.
- Attachment Filename: E-posta ile gönderilen ekin adına göre arama yapabilirsiniz.
- Tags: Etiketlere göre tarama yapabilirsiniz.
- Impersonated domain: Kimliğe bürünen domain üzerinden kontrol edebilirsiniz. ( Spoof intelligence policy nedir adlı makalemde impersonated users & domain’den bahsettim.)
- Impersonated users: Kimliğe bürünen kullanıcı üzerinden kontrol edebilirsiniz.
- Exchange Transport Rule: Transport Rule’a takılanları kontrol edebilirsiniz.
- Connector: Inbound Connector’lerden geçen e-postalarda yaptığınız kısıtlama veya denetimlere takılanları görebilirsiniz.
- Delivery action: Gelen e-postanın iletim durumuna göre aksiyon alabilirsiniz:
- Delivered: Kullanıcıya teslim edildiyse
- Delivered to junk: Kullanıcıya teslim edildi ama gereksize düştüyse
- Blocked: Kullanıcıya iletimi engellendiyse
- Replaced: E-posta içeriği veya header’ı Değiştirildiyse
- Additional action: Alınan ek aksiyonlara göre görüntüleme yapabilirsiniz.
- Directionality: Gelen, giden veya kurum içi olarak filtreleyebilirsiniz.
- Detection technology: Hangi policy veya uygulamayı kullanarak yakaladığınıza göre kontrol yapabilirsiniz.
- Original delivery location: E-postanın nerede olduğuna göre tarayabilirsiniz.
- Gelen Kutusu:
- Gereksiz
- Silinmişler
- Karantinada
- Ulaştırılamamış
- Bilinmeyenler
- External olarak işaretlenenler vb.
- Lastest delivery location: Bilinen son yerine göre filtrelenebilir. Bir üstteki seçeneklerle aynı.
- Phish confidence level: Hangi seviyede phishing e-postası olduğuna göre kontrol edilebilir.
- System overrides: Sistem tarafından engellenen veya onaylanan e-postaları buradan filtreleyebilirsiniz.
Gelişmiş Filtreleme
Gelişmiş filtreleme yöntemleri ile de Office 365 Real-time detection raporlarını detaylı şekilde raporlayabiliriz. Aşağıdaki yöntemler farklı alanlardaki bilgileri kullanarak filtreleme yapar.
- Internet Message ID: Çok yeni bir özellik, muhtemelen nework message id gibi çalışıyordur, deneyemedim.
- Network Message ID: Explorer, tıklanan e-postaları bir network message ID ile eşler. Bu ID üzerinden de arama yapabilirsiniz.
- Sender IP: Bir ip adresi yazarak, o ip üzerinden sorgulama yapabilirsiniz.
- Attachment SHA256: Bir ek üzerinden filtreleme yapabilirsiniz. (Office 365 Safe Attachments)
- Cluster ID: Bunu bilemedim.
- Altert Policy ID: Office 365 Alert kısmındna oluşturduğunuz veya bir policy yaparken eklediğiniz bir uyarıya takıldığında bir id oluşur. Bu ID ile filtreleyebilirsiniz.
- Campaign ID: Campaign verileri içinde oluşan ID’ye göre filtreleme yapabilirsiniz.
- ZAP URL signal: Zero-hour auto purge olarak geçen sistem. ZAP olarak belirlenen URL’leri bu filtreyi kullanarak görebilirsiniz.
URL Üzerinden Filtreleme
Gelen e-postalar, ekler, teams yazışmaları ve diğer bulut lokasyonlarındaki dosyaların içinde bulunan bağlantılar üzerinden de raporları Office 365 Explorer ile görebiliyoruz. Peki, bunları nasıl filtreleyip bulacağız derseniz;
- URL domain: URL’ye ait domaini aratabilirsiniz.
- URL domain and path: bir URL’ye ait domaini bir path ile birlikte filtreleyebilirsiniz.
- URL: Bir URL’yi direk yapıştırıp kontrol edebilirsiniz.
- URL path: Bir URL pathi aratabilirsiniz.
- Click verdict: Oluşturuduğunuz policyler ile engellediğiniz linkleri, kimler tıklamış onlara bakmak isterseniz burayı kullanabilirsiniz.
Office 365 Safe Links adlı makalemi de okumanız bu kısım için önemli olabilir.
Ekstra kaynaklar:
Çok fazla detaya girmedim bu makalede, sonuçta basit şekilde filtrelerinizi uygulayıp raporları görüyorsunuz. Ben sadece teknik detaylarını paylaşmaya çalıştım. Raporu genişletmek ve Office 365 Explorer kullanmak tamamen size kalmış. Ben yine de, ihtiyacınız olan bütün makaleleri buraya ekliyorum.
- Threat Explorer and Real-time detections – Office 365 | Microsoft Docs
- Automated investigation and response in Microsoft 365 Defender – Microsoft 365 security | Microsoft Docs
- Investigate malicious email that was delivered in Office 365, Find and investigate malicious email – Office 365 | Microsoft Docs
- Safe Attachments for SharePoint, OneDrive, and Microsoft Teams – Office 365 | Microsoft Docs
- Views in Threat Explorer and real-time detections – Office 365 | Microsoft Docs
- View email security reports in the Security & Compliance Center – Office 365 | Microsoft Docs