Anasayfa » Exchange Online Advanced Threat Protection – ATP

Makaleyi Paylaş

Cloud Computing

Exchange Online Advanced Threat Protection – ATP

Bu makalemizde Office 365 içerisinde yer alan Advanced Threat Protection (ATP) ürününü inceleyeceğiz. ATP ürünü ile gelen maillerde linklerin ve eklerin güvenirliliğini yönetebiliyor olacağız.

Exchange Online Protection (EOP) anti spam ve anti mallware bileşenleri ile Office 365 ürünlerinde ki tüm paketlerde standard olarak gelmektedir. EOP genel olarak kuruluşların ihtiyaçlarını karşılamaktadır. Fakat olağandışı tehditlere karşı kimlik hırsızlığı atakları veya sıfırıncı gün atakları olarak adlandırdığımız ataklara karşı korunmaya ihtiyacı vardır. Advanced Threat Protection (ATP) ürünü bu tarz ataklara karşı koruma sağlamaktadır.

Office 365 Gereksinimleri

 Advanced Threat Protection (ATP) ürününü Office 365 aboneliğinize ek olaraktan ekmeniz gerekmektedir. Aralık ayı itibariyle piyasaya çıkan Office 365 E5 paketi içerisine dahildir.

 

Lokal Exchange Gereksinimleri

Lokal Exchange kullanıcıları için daha önceden EOP ürününün kullanımını sağlayabiliyorduk. Yine aynı şekilde EOP ürününün kullanımı nasıl sağlıyorsak yine aynı şekilde ATP ürününün de kullanımını sağlayabiliyoruz.

Sponsor

 

Örnek Senaryolar

 

Bu senaryomuzda organizasyon içerisinde kimlik hırsızlığı atakları veya sıfırıncı gün ataklarının nasıl işlendiğini göreceğiz.

Genellikle gelen maillerdeki URL’ler kullanıcıya zararsız gözükse de kimlik hırsızlığı yapmak için kullanılan tekniktir. Kullanıcı linke tıkladığında kimlik bilgileri karşı tarafa gider.

clip_image002

Senaryo 1: Burada kullanıcı URL’e tıkladığında kimlik bilgilerinin karşı tarafa gittiğini görüyoruz.

Bir diğer tehdit ise genellikle finans, satınalma, muhasebe ve insan kaynakları departmanlarına yönelik sıfırıncı gün ataklarıdır. Bu ataklar ile kullanıcıya iletilen mailin içerisinde ki ekleri kullanıcı açtığında yıkıcı etkileri olabilir.

clip_image004

Senaryo 2: Sıfırıncı gün ataklarına maruz kalmış bir kullanıcı örneği.

 

Güvenli Linkler

 

ATP’nin ilk özelliği kimlik hırsızlıklarına karşı güvenli link özelliğini sağlamaktır. Bir mail EOP tarafından alındığında kontrol edilir. Gelen mail güvenli bağlantılar ilkesi ile eşleşirse ATP “safelinks.protection.outlook.com” altında, Microsoft tarafından barındırılan özel URL’ler ile mesajın içerisindeki URL’leri değiştirmek ve orijinal içeriği kullanıcıya yeniden yönlendirebilmeniz için tasarlanmıştır. Mail daha sonra kullanıcıya normal olarak teslim edilir.

clip_image006

Senaryo 3: ATP ile alınan bir mail de URL değiştirme.

Mail kullanıcıya geldikten sonra kullanıcı maili içerisindeki linki açmaya çalıştığında link kontrolü tekrardan gerçekleştirilerek açılır.

 

clip_image008

 Senaryo 4: Bir kullanıcı bir mailin içerisinde ATP ile yeniden yazılmış URL’e tıkladığında gerçekleşen işlem.

 

Güvenli Ekler

 

EOP ve diğer anti malware yazılımları bilinen tehditleri algılamak için kullanılır. Fakat sıfırıncı gün olarak adlandırdığımız saldırıları belirlemek konusunda etkili değillerdir. EOP zaten bilinen kötü amaçlı yazılımlara karşı koruma sağlamaktadır. ATP özelliği etkin olduğunda ise mailin içerisinde gelen ek Azure üzerinde izole edilmiş bir sanal makine içerisinde eki sizin yerinize açar ve ek içerisinde kötü amaçlı yazılım olup olmadığını tespit eder. Burayı patlama odası olarak ta adlandırabiliriz.

Mail içerisinde ki ekin kötü etkilerini belirlemek yaklaşık olarak 10 dakika sürer. Ekin olumsuz etkileri görünüyorsa ek alıcıya teslim edilmez.

clip_image010

Şekil 5: Güvenli eklerin nasıl çalıştığını gösteren işlem.

Bu özellik ile mailin teslim edilmesi sırasında bilinmeyen tehditlere karşı ek bir katman sağlamış olunur.

Şimdi ATP ürününe ait güvenli linkler ve güvenli eklerin nasıl yapılandırılacağına bakacağız.

Güvenli Link Politikası Tanımlama

 

Güvenli linkler politikası oluşturmak için Exchange Yönetim Merkezinden “Gelişmiş tehditler” bölümünü açıyoruz.

clip_image012

Resim 01

Güvenli bağlantılar kısmını açtıktan sonra ekle “+” butonuna tıklıyoruz. Gelen ekranda ilkenin adını, uygulayacağı işlemi ve kullanıcılara mı yoksa tüm etki alanına uygulanacağını belirledikten sonra ilkeyi kaydediyoruz.

clip_image014

Resim 02

 

Güvenli bağlantı politikasını “bulutnet.net” alan adını kullanan ve ATP lisansına sahip olan kullanıcılar üzerinde uygulamış olduk.

 

Güvenli Ekler Politikası Oluşturma

 

Güvenli ekler politikasını oluşturmak için Exchange Yönetim Merkezinden “Gelişmiş tehditler” bölümüne açıyoruz.

clip_image016

Resim 03

Güvenli ekler kısmını açtıktan sonra ekle “+” butonuna tıklıyoruz. Gelen ekranda ilkenin adını, uygulayacağı işlemi ve kullanıcılara mı yoksa tüm etki alanına uygulanacağını belirledikten sonra ilkeyi kaydediyoruz.

 

clip_image018

Resim 04

Güvenli ekler politikasını “bulutnet.net” alan adına ve ATP lisansına sahip olan kullanıcılara uygulamış olduk. Gelen mailin içeriğinde ek varsa ekler Azure üzerinde bulunan izole edilmiş sanal makine de açılıp kontrol işlemleri bittikten sonra kullanıcıya teslim edilecek.

Umarım faydalı bir makale olmuştur. Diğer makalemizde görüşmek dileğiyle.

 

 

Makaleyi Paylaş

Cevap bırakın