Geri
Office 365 Advanced Threat Protection ( ATP ) Nedir ?

Office 365 Advanced Threat Protection ( ATP ) Nedir ?

by Hakan MARANGOZ, 26 Mayıs 2017

Office 365 ATP E-postanızı bilinmeyen ve gelişmiş saldırılara karşı gerçek zamanlı olarak koruyan bir güvenlik çözümüdür. Bildiğiniz üzere son zamanlarda Siber saldırılarıların artmasıyla beraber mail tarafından gelen saldırılarda farklı saldırı tiplerini doğurmuştur. Özellikle son 1 yıldır Cryptolocker tarzı fatura bilgisi içeren virüslü mailler kullanıcılar tarafından fark edilememekte ve indirilmesi sonucu dataların şifrelenmesine yol açmaktadır. Microsoft bu konuyla ilgili ciddi yatırımlar sonucu Exchange Online tarafında ATP ürününü geliştirdi ve artık gelen maillerde korumayı bir üst levele taşıyacak bir güvenlik çözümü ile karşı karşıyayız.

ATP neleri içerir ?

1-Gelişmiş tehditlere karşı posta kutularınızı güvenlik altına alma

Her gün yeni kötü amaçlı yazılım kampanyaları başlatılıyor ve Office 365’in e-postanızı bunlara karşı korumaya yardımcı olan bir çözümü var. Güvenli olmayan eklere karşı koruma sağlayarak ve korumayı kötü amaçlı bağlantıları da içerecek şekilde genişleterek, Exchange Online Protection’ın güvenlik özelliklerini tamamlar ve daha iyi bir koruma sağlar.

2-Güvenli olmayan eklere karşı koruma

Güvenli Eklerle, imzaları biliniyor olsa bile kötü amaçlı eklerin ileti ortamınızı etkilemesini önleyebilirsiniz. Tüm şüpheli içerik, makine öğrenme tekniklerini kullanan ve içeriği etkinlik açısından değerlendiren; gerçek zamanlı, davranışsal bir kötü amaçlı yazılım çözümlemesinden geçirilir. Güvenli olmayan ekler, alıcıya gönderilmeden önce detonasyon odasında korumalı alana yerleştirilir. Bunun avantajı, kötü amaçlı yazılım içermeyen ve daha temiz bir posta kutusu elde etmektir.

3-Zengin raporlar alma ve iletilerdeki bağlantıları izleme

Kuruluşunuzda hedef alınan kişi ve karşılaştığınız saldırıların kategorisi hakkında kritik bilgiler elde edin. Raporlama ve ileti izleme özellikleri, bilinmeyen virüsler veya kötü amaçlı yazılımlar nedeniyle engellenmiş olan iletileri incelemenize olanak tanır. URL izleme özelliği ise iletilerde tıklanmış olan kötü amaçlı bağlantıları tek tek izlemenizi sağlar.

Kullanıcılar kötü amaçlı bağlantılara tıkladığında ortamınızı koruma

Exchange Online Protection, içerikleri kötü amaçlı yazılım içeren bağlantılara karşı tarayarak koruma sağlar. Güvenli Bağlantılar bu korumanın kapsamını genişleterek, kullanıcılar bir bağlantıya tıkladığında ortamınızı korur. İçerik taranırken, URL’ler Office 365 üzerinden geçecek şekilde yeniden yazılır. URL’ler, kullanıcı bunlara tıkladığı anda, gerçek zamanlı olarak incelenir. Bağlantı güvenli değilse, kullanıcı siteyi ziyaret etmemesi için uyarılır veya sitenin engellendiği konusunda bilgilendirilir. Raporlama imkanı da sunulur. Böylece yöneticiler bir bağlantıya hangi kullanıcıların, ne zaman tıkladığını izleyebilir.

Exchange Online Advanced Threat Protection’nın faydaları nelerdir ?

1.Bilinmeyen kötü amaçlı yazılım ve virüslere karşı Güvenli Ekler özelliğini kullanarak dayanıklı koruma sağlama

2.Güvenli Linkler özelliğini kullanarak kullanıcıları zararlı linklerden koruyan, kötü amaçlı sayfalara karşı gerçek zamanlı, tam koruma.

3.Yöneticileri organizasyonlarındaki olası tehlikelere karşı uyaran zengin bildirim ve URL takip özellikleri.

4.Herhangi bir tehlike anında veya sonrasında mesajlarınıza erişme imkanı

Exchange Online Advanced Threat Protection’nı nasıl satın alabilirim ?

ATP özelliği Office E5 paketi ile beraber gelmektedir. Bunun yanı sıra diğer tüm Exchange Online paketlerini kullanan müşteriler kullanıcı başı aylık 2$’lık bir add-on satın alarak ATP özelliğini kullanabilmektedir.

Exchange Online Advanced Threat Protection Nasıl Yapılandırılır ?

ATP yapılandırma ekranımız 2 bölümden oluşturmaktadır.

1.Güvenli Ekler ;

Exchange Yönetim Merkezi\Gelişmiş Tehditler\Güvenli Ekler

*Ad : Güvenli ekler kuralına vereceğimiz ismi belirliyoruz.

*Güvenli ekler bilinmeyen kötü amaçlı yazılım yanıtı : Aşağıdaki kısımdan size uygun alanı işaretleyiniz. Ben bu kısımda “değiştir” seçeneğini işaretliyorum. Zararlı ekli bir mail geldiğinde kullanıcıya maili ek’siz olarak iletmektedir. Mailin orjinal ekli halini aşağıda belirttiğimiz adrese göndermektedir.

*Algılandığında eki yönlendir : Kullanıcılara tehlikeli bir ekli dosya geldiğinde bunun iletileceği adresi belirtmekteyiz.

*Uygulanan : Son olarak bu kuralın hangi alan adı için uygulanacağını belirtiyoruz.

Tanımlamalarımızı gerçekleştirdikten sonra kaydet seçeneği ile kuralı tamamlıyoruz.

Yukarıdaki tanımlamaları ayarladıktan sonra ATP lisansına sahip kullanıcılarımızda artık gelen mailler tarama dahilinde kontrol edilecektir. Zararlı bir içerik bulunduğunda mailin saf hali kullanıcıya , zararlı içerikli mail ise yukarıdaki belirttiğimiz adrese gönderilecektir.

2. Güvenli Bağlantılar (Linkler) ;

Exchange Yönetim Merkezi\Gelişmiş Tehditler\Güvenli Bağlantılar

*Ad : Güvenli Bağlantılar kuralına vereceğimiz ismi belirliyoruz.

*İletilerdeki zararlı olabilecek bilinmeyen URL’ler olduğunda uygulanacak eylemi seçin : Bu kısmı açık yapıyoruz ki kullanıcı bağlantıya tıkladığında URL’ler yeniden yazılsın ve bilinen kötü amaçlı bağlantılarla karşılaştırsın.

*Kullanıcıların orijinal URL’ye tıklamalarına izin verme : Tehlikeli olarak belirlenen linklerin tıklanıp tıklanamayacağı ayarı buradan yapılmaktadır. Biz güvenlik adına bu kısmı açıyoruz.

*Uygulanan : Son olarak bu kuralın hangi alan adı için uygulanacağını belirtiyoruz.

İlgili kuralımızı kaydederek kuralımızı aktif hale getirmiş oluyoruz.

Kuralı aktif ettikten sonra kendime bir zararlı içerik içeren mail atıyorum ve linkin içerisine geçerli olmayan bir adres ekliyorum.

Gelen maildeki linke tıkladığımda ilgili adres Microsoft tarafından kötü amaçlı siteler kategorisinde sınıflandırıldığı için engelleme mesajı ile karşılaşıyorum.

Raporlama ;

Son olarak maillerde gelen zararlı linklere hangi kullanıcıların tıklayıp tıklamadığı yada gelen linkin zararlı içerik olup olmadığını görebileceğimiz bir raporlama bölümü bulunmaktadır.

Exchange Yönetim Merkezi \Posta Akışı\URL izleme

Rapor çekmek istediğimiz tarih aralığını belirttikten sonra ara kısmından ilgili raporu görüntüleyebiliriz.

Aşağıda işaretlediğim bölümde görmüş olduğunuz gibi yukarıdaki test mailimizde engellenen link’le ilgili engellendi bilgisi aşağıda görüntülenmektedir.

Daha fazla bilgi için ;

https://technet.microsoft.com/library/mt148491.aspx

https://technet.microsoft.com/tr-tr/library/mt148489.aspx

https://technet.microsoft.com/tr-tr/library/mt148490.aspx