Exchange Çevrimiçi Korumasını Geliştirmek İçin En İyi 20 Teknik

Bu makalenin temel amacı, Microsoft güvenliğinin en iyi uygulamalarını izleyerek ve gerçek kurulumdan geçerek veri kaybı veya güvenliği ihlal edilmiş bir hesap için exchange çevrimiçi korumasını iyileştirmektir. Microsoft, iki düzeyde Microsoft 365 e-posta güvenliği sunar: Exchange Çevrimiçi Koruma (EOP) ve Microsoft Defender Gelişmiş Tehdit Koruması. Bu çözümler, Microsoft platformunun güvenliğini artırabilir ve Microsoft 365 e-posta güvenliği endişelerini azaltabilir.

1 E-posta Şifrelemesini Etkinleştir

2 İstemci Kuralları Yönlendirme Bloklarını Etkinleştirin

3 Güç kabuğu

4 Posta kutusu yetkilendirmesine izin verme

5 Bağlantı Filtreleme

6 Spam ve Kötü Amaçlı Yazılım

7 Kötü Amaçlı Yazılım

8 Kimlik Avına Karşı Koruma Politikası

9 Gelişmiş Filtrelemeyi Yapılandırın

10 ATP Güvenli Bağlantıları ve Güvenli Ekler Politikasını Yapılandırma

11 SPF, DKIM ve DMARC ekleyin

12 Takvim Ayrıntıları Paylaşımına İzin Verme

13 Denetim Günlüğü Aramasını Etkinleştir

14 Tüm Kullanıcılar için Posta Kutusu Denetimini Etkinleştir

15 Posta kutusu denetimi powershell komutu

16 Haftalık Rol Değişikliklerini Gözden Geçirin

17 Posta Kutusu Yönlendirme Kurallarını Haftalık Gözden Geçirin

18 Posta Kutusuna Sahip Olmayanlar Tarafından Erişim Raporunu İki Haftada Bir İnceleyin

19 Kötü Amaçlı Yazılım Algılama Raporunu Haftalık Gözden Geçirin

20 Hesap Sağlama Faaliyet Raporunuzu Haftalık Gözden Geçirin

E-posta Şifrelemesini Etkinleştir

Konu satırında veya gövdesinde belirli bir anahtar kelimeyle bir mesajı şifrelemek için e-posta şifreleme kuralları eklenebilir. En yaygın olanı, mesajı şifrelemek için konuya anahtar kelime olarak “Güvenli” eklemektir. M365/O365 Message Encryption, Outlook.com, Yahoo!, Gmail ve diğer e-posta hizmetleriyle çalışır. E-posta mesajı şifrelemesi, yalnızca amaçlanan alıcıların mesaj içeriğini görebilmesini sağlamaya yardımcı olur.

• Microsoft 365 Yönetim Merkezi'nde, Yönetici Merkezleri altında Exchange'e tıklayın

• Posta Akışı bölümünde, Kurallar'a tıklayın.

• Artı işaretine tıklayın ve Microsoft 365 İleti Şifrelemesini Uygula'ya tıklayın (birden çok koşul tanımlamanıza olanak tanır)

• Politikanıza bir ad verin ve Bu Kuralı Eğer Uygula bölümünden “konu veya gövde şunları içeriyor…” deyin ve ardından anahtar kelimenizi ekleyin. Burada “Şifrele” koyuyoruz

• Aşağıdakileri Yapın bölümünde, RMS şablonu için birini seçin ve Şifrele'yi seçin.

• Kaydet'e tıkladıktan sonra poliçenizi test edebilirsiniz. Bu durumda, bir Gmail kullanıcısına gönderilen bir iletiyi gösteriyoruz.

• Gmail kullanıcı gelen kutusu:

• Gmail kullanıcısı eki (message.html) kaydedip açtığında, Google kimlik bilgileriyle giriş yapmayı veya e-postalarına tek seferlik bir şifre gönderilmesini seçebilir.

• Bu durumda, bir kerelik şifre seçtik.

• Şifre için Gmail gelen kutusunu kontrol edin

• Şifreyi kopyalayın ve yapıştırın

• Portalda şifreli mesajı görüntüleyebilir ve şifreli bir cevap gönderebiliriz.

Kiracınızın şifreleme için ayarlandığını doğrulamak için aşağıdaki komutu kullanın ve Sender değerinin kiracınızda geçerli bir hesap olduğundan emin olun:

Test-IRMConfiguration -Gönderici [email protected]

"GENEL SONUÇ: GEÇTİ" ifadesini görürseniz, gitmeye hazırsınız demektir.

Ayrıca Okuyun : Microsoft 365 e-postalarını ATP ile Şifreleme?

İstemci Kuralları Yönlendirme Bloklarını Etkinleştir

Bu, e-postaları kullanıcıların posta kutularından harici e-posta adreslerine otomatik olarak ileten, istemci tarafından oluşturulan kurallarla veri hırsızlığını durdurmaya yardımcı olan bir aktarım kuralıdır. Bu, kuruluşlarda giderek yaygınlaşan bir veri sızıntısı yöntemidir.

Exchange Yönetici Merkezi>Posta akışı> Kurallar'a gidin

Artı işaretine tıklayın ve iletilere Microsoft 365 İleti Şifrelemesi ve hak koruması uygula… öğesini seçin.

Kurala aşağıdaki Özellikleri ekleyin:

• EĞER Gönderen 'kuruluş içinde' bulunuyorsa
• VE EĞER Alıcı 'kuruluşun dışında' bulunuyorsa
• VE EĞER Mesaj türü 'Otomatik Yönlendir' ise
• SONRA 'Müşteri Kuralları ile Harici E-posta Yönlendirmesine izin verilmez' açıklamasını içeren mesajı reddedin.

İpucu 1: 3. koşul için, Otomatik ilet seçeneğinin doldurulması için Mesaj Özellikleri > Bu mesaj türünü dahil et'i seçmeniz gerekir.

İpucu 2 : 4. koşul için, Mesajı engelle…> mesajı reddet'i seçmeniz ve doldurmak için bir açıklama eklemeniz gerekir.

• Tamamlandığında Kaydet'i tıklayın. Bu kural derhal uygulanacaktır. Müşteriler, var olduğunu bilmedikleri veya güvenliği ihlal edilmiş bir posta kutusunda kötü bir kişi tarafından oluşturulmuş harici iletme kurallarını vurgulamak için yararlı olan özel bir Teslim Edilmedi Makbuzu (NDR) mesajı alacaklardır. Oluşturulan taşıma kuralında belirli belirli kullanıcılar veya gruplar için istisnalar oluşturabilirsiniz.

Güç kalkanı

• Bir müşteri için Otomatik Yönlendirmeyi engellemek için Powershell betiği .
• İş Ortağı Merkezi kimlik bilgileri aracılığıyla tüm müşterileriniz için Otomatik Yönlendirmeyi engelleyen Powershell betiği .

Posta kutusu yetkilendirmesine izin verme

• Kullanıcılarınız posta kutuları için yetki vermezse, bir saldırganın bir hesaptan diğerine geçmesi ve verileri çalması daha zordur. Posta kutusu yetkilendirmesi , bir saldırının yayılmasını hızlandırabilecek şekilde başka birinin postanızı ve takviminizi yönetmesine izin verme uygulamasıdır.
• Mevcut posta kutusu yetkilendirme izinlerinin olup olmadığını belirlemek için Github'dan PowerShell betiğini çalıştırın . İstendiğinde, kiracı için genel yönetici kimlik bilgilerini girin.
• Mevcut herhangi bir yetkilendirme izni varsa, bunların listelendiğini göreceksiniz. Hiçbiri yoksa, sadece yeni bir komut satırı alacaksınız. Kimlik, atanmış yönetici izinlerinin atandığı posta kutusudur ve kullanıcı, bu izinlere sahip olan kişidir.
• Kullanıcıların erişim haklarını kaldırmak için aşağıdaki komutu çalıştırabilirsiniz:

Remove-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType All

Bağlantı Filtreleme

İyi veya kötü kaynak e-posta sunucularını IP adreslerine göre belirlemek için EOP'de bağlantı filtrelemeyi kullanırsınız. Varsayılan bağlantı filtresi ilkesinin temel bileşenleri şunlardır:

IP İzin Listesi : IP adresi veya IP adresi aralığına göre belirttiğiniz kaynak e-posta sunucularından gelen tüm mesajlar için spam filtrelemeyi atlayın. IP İzin Listesinin genel güvenli gönderenler stratejinize nasıl uyması gerektiği hakkında daha fazla bilgi için bkz  . EOP'de güvenli gönderen listeleri oluşturma .

IP Engelleme Listesi : IP adresi veya IP adres aralığına göre belirttiğiniz kaynak e-posta sunucularından gelen tüm mesajları engelleyin. Gelen iletiler reddedilir, istenmeyen posta olarak işaretlenmez ve ek filtreleme yapılmaz. IP Engelleme Listesinin, genel engellenen gönderenler stratejinize nasıl uyması gerektiği hakkında daha fazla bilgi için bkz  . EOP'de engellenen gönderici listeleri oluşturma .

• Exchange Yönetim Merkezi > Koruma > Bağlantı Filtresi'nde > Varsayılan ilkeyi değiştirmek için kalem simgesine tıklayın.

• Bağlantı Filtreleme'yi tıklayın

• Burada IP adresine izin verebilir\engelleyebilirsiniz.

Spam ve Kötü Amaçlı Yazılım

Sorulacak Sorular:

1. Bir ileti spam olarak tanımlandığında hangi işlemleri yapmak istiyoruz?
   a. Mesajı Önemsiz Klasöre Taşı (Varsayılan)
   b. X Başlığı Ekle (Mesajı belirtilen alıcılara gönderir, ancak spam olarak tanımlamak için mesaj üstbilgisine X üstbilgisi metni ekler)
   c. Konu satırını metinle başa ekle (Mesajı hedeflenen alıcılara gönderir ancak konu satırını bu metinle önek konu satırı giriş kutusunda belirttiğiniz metinle başına ekler. Bu metni tanımlayıcı olarak kullanarak isteğe bağlı olarak filtrelemek veya mesajları gerektiği gibi yönlendirin.)
   d. Mesajı e-posta adresine yönlendir (Mesajı, amaçlanan alıcılar yerine belirlenmiş bir e-posta adresine gönderir.)
2. İzin verilen göndericileri/etki alanlarını eklememiz veya gönderenleri/etki alanlarını engellememiz mi gerekiyor?
3. Belirli bir dilde yazılmış mesajları filtrelememiz gerekiyor mu?
4. Belirli ülkelerden/bölgelerden gelen mesajları filtrelememiz gerekiyor mu?
5. Kullanıcılara kendileri için amaçlanan iletiler karantinaya gönderildiğinde onları bilgilendirmek için herhangi bir son kullanıcı spam bildirimi yapılandırmak istiyor muyuz? (Bu bildirimlerden, son kullanıcılar yanlış pozitifler yayınlayabilir ve bunları analiz için Microsoft'a bildirebilir.)

• Microsoft 365 Yönetim Merkezi'ne gidin > Yönetici Merkezlerinden Güvenlik'i seçin > Tehdit yönetimi > İlke > İstenmeyen posta önleme

• Varsayılan politikayı düzenleyin

• Daha önce sorulan sorulardan herhangi birini yapılandırmak için sekmeler arasında gezinin

•  İleti gönderenleri, spam filtrelemeyi atlamalarına izin verilen e-posta adresine veya e-posta etki alanına göre yapılandırmak için Listelere izin ver bölümünü genişletin  .
•  Mesaj gönderenleri, her zaman yüksek güvenilirliğe sahip spam olarak işaretlenecek olan e-posta adresine veya e-posta etki alanına göre yapılandırmak için Listeleri Engelle bölümünü genişletin  .

• Spam özellikleri sekmesi, politikanızı daha ayrıntılı hale getirmenize ve spam filtresindeki ayarları sıkılaştırmanıza olanak tanır.

kötü amaçlı yazılım

Bu, varsayılan kötü amaçlı yazılımdan koruma ilkesi aracılığıyla şirket genelinde zaten kurulmuştur. Metin yoluyla ek bildirimler veya dosya uzantılarına dayalı yüksek filtreleme gibi belirli bir kullanıcı grubu için daha ayrıntılı politikalar oluşturmanız mı gerekiyor?

• Güvenlik portalına gidin > Tehdit yönetimi > İlke > Kötü amaçlı yazılımdan koruma

• Değiştirilecek varsayılan politikayı seçin
• Kötü amaçlı yazılım algılama yanıtı için Hayır'ı seçin

• Bilgisayarınıza zarar verebilecek ek türlerini engellemek için özelliği kapatın

• Kötü amaçlı yazılım sıfır saat otomatik temizlemeyi aç

• Bildirimleri buna göre değiştirin

• Alıcı tabanlı kurallar oluşturarak bu ilkenin uygulanacağı kullanıcıları, grupları veya alanları belirtin

• Ayarlarınızı gözden geçirin ve kaydedin.

Kimlik Avı Önleme Politikası

Microsoft 365 abonelikleri, önceden yapılandırılmış kimlik avına karşı koruma için varsayılan bir ilkeyle gelir, ancak ATP için doğru lisansa sahipseniz, kiracı içinde kimliğe bürünme girişimleri için ek ayar yapılandırabilirsiniz. Bu ek ayarları burada yapılandıracağız.

• Güvenlik portalına gidin > Tehdit yönetimi > İlke > ATP kimlik avına karşı koruma

• Varsayılan ilkeye tıklayın > Kimliğe bürünme bölümünde Düzenle'ye tıklayın
• İlk bölümde, anahtarı açık konuma getirin ve kuruluş içinde sahtekarlığa uğrama olasılığı en yüksek olan üst düzey yöneticileri veya kullanıcıları ekleyin.

• Korunacak Etki Alanlarını Ekle bölümünde, sahip olduğum etki alanlarını otomatik olarak dahil etmek için anahtarı değiştirin

• Eylemler bölümünde, bir kullanıcının veya alanın kimliğine bürünürse yapmak istediğiniz eylemi seçin. Karantinaya almanızı veya Önemsiz klasörüne taşınmanızı öneririz.

• Posta Kutusu Zekası bölümünde, korumayı açın ve önceki adımdaki gibi hangi işlemin gerçekleştirileceğini seçin.

• Son bölüm, gönderenleri ve etki alanlarını beyaz listeye almanıza olanak tanır. Buraya gmail.com gibi genel alan adları eklemekten kaçının.

• Ayarlarınızı gözden geçirdikten sonra Kaydet'i seçebilirsiniz.

Ayrıca Okuyun : Microsoft Bulut Uygulama Güvenliği: Kesin Kılavuz

Gelişmiş Filtrelemeyi Yapılandırın

• 365'te bir bağlayıcınız (3. taraf e-posta filtreleme hizmeti veya karma yapılandırma) varsa ve MX kaydınız Microsoft 365'i veya Office 365'i göstermiyorsa, gelişmiş e-posta filtreleme ayarlanabilir. Bu yeni özellik, e-postaları gerçek duruma göre filtrelemenize olanak tanır. bağlayıcı üzerinden gelen iletilerin kaynağı.
• Bu, listelemeyi atlama olarak da bilinir ve bu özellik, gerçek kaynak IP adresi olması gereken bilinen son harici IP adresini almak için dahili olarak kabul edilen tüm IP adreslerini gözden kaçırmanıza veya atlamanıza olanak tanır.
• Microsoft Defender ATP kullanıyorsanız, bu, Microsoft'un IP tabanlı bilinen kötü niyetli listesinden güvenli bağlantılar/güvenli ekler/anti-dolandırıcılık çevresinde makine öğrenimi yeteneklerini ve güvenliğini artıracaktır.
• Bir bakıma, Microsoft'un orijinal e-postanın IP'lerini görüntülemesine ve veritabanlarını kontrol etmesine izin vererek ikincil bir koruma katmanı elde ediyorsunuz.

Gelişmiş filtreleme yapılandırma adımları için: buraya tıklayın

ATP Güvenli Bağlantıları ve Güvenli Ekler Politikasını Yapılandırma

Microsoft Defender Gelişmiş Tehdit Koruması (Microsoft Defender ATP), Exchange, Teams, OneDrive ve SharePoint genelinde güvenli bağlantılar ve güvenli ekler için ilkeler oluşturmanıza olanak tanır. Gerçek zamanlı patlama, bir kullanıcı herhangi bir bağlantıya tıkladığında ve içerik bir sanal alan ortamında yer aldığında meydana gelir. Ekler, tam olarak e-posta üzerinden teslim edilmeden önce de korumalı alan ortamında açılır. Bu, sıfırıncı gün kötü niyetli eklerin ve bağlantıların algılanmasını sağlar.

• Güvenlik portalı > Tehdit yönetimi > İlke > ATP güvenli eklerine gidin

• Genel ayarlar'ı tıklayın

• SharePoint, OneDrive ve Microsoft Teams için ATP'yi açın

• Yeni bir politika oluşturun

• Ad, Açıklama ekleyin ve Dinamik Teslimat'ı seçin. Teslimat yöntemleri hakkında daha fazla bilgi için burayı  tıklayın .

• Eylemi Dinamik Teslimat olarak seçin

• Alıcı etki alanını ekleyin ve kiracıda ana etki alanını seçin.

• Ayarlarınızı gözden geçirmek için İleri'ye tıklayın ve Bitir'e tıklayın

• Güvenli Bağlantılar için Tehdit yönetimi > Politika > ATP Güvenli Bağlantılar'a geri dönün

• Varsayılan politikayı kullanın veya yeni bir politika oluşturun ve aşağıda görüntülenen gerekli ayarları açın.

• Belirli URL'leri beyaz listeye almayı seçebilirsiniz

• Güvenli ekler ilkesi gibi, kiracıdaki tüm kullanıcılara etki alanı adına göre uygulayın.

• Ayarlarınızı gözden geçirmek için İleri'ye tıklayın ve Bitir'e tıklayın

SPF, DKIM ve DMARC ekleyin

• Yerinde SPF kayıtları/DKIM kayıtları/DMARC var mı?
• SPF, gönderenin IP adresini gönderen etki alanının iddia edilen sahibine karşı doğrulayarak e-posta iletilerinin kaynağını doğrular ve bu da sahteciliği önlemeye yardımcı olur.
• DKIM, gönderdiğiniz e-postaların mesaj başlığındaki e-posta mesajlarına dijital imza eklemenizi sağlar. Alanınızdan e-posta alan e-posta sistemleri, aldıkları gelen e-postanın meşru olup olmadığını belirlemek için bu dijital imzayı kullanır.
• DMARC, alıcı posta sistemlerinin SPF veya DKIM denetimlerinde başarısız olan iletilerle ne yapacağını belirlemesine yardımcı olur ve e-posta ortaklarınız için başka bir güven düzeyi sağlar.

Kayıt eklemek için:

• Microsoft 365 Yönetim merkezinde Etki Alanları'na gidin ve kayıt eklemek istediğiniz etki alanına tıklayın.

• “ DNS kayıtları ”na tıklayın ve Exchange Online altında listelenen MX ve TXT kaydını not alın.

• SPF kaydımız için DNS ayarlarınıza v=spf1 include:spf.protection.outlook.com -all TXT kaydını ekleyin
• DKIM kayıtlarımız için DNS'de iki CNAME kaydı yayınlamamız gerekiyor.

CNAME Kaydı için aşağıdaki biçimi kullanın :

Nerede :
= birincil alanımız = MX kaydımızın öneki (ör. domain-com.mail.protection.outlook.com)
= domain.onmicrosoft.com
Örnek : DOMAIN = techieberry.com

CNAME Kaydı #1:
Ana Bilgisayar Adı: selector1._domainkey.techiebery.com
Adres veya değer için işaretler: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

CNAME Kaydı #2 :
Ana Bilgisayar Adı : selector2._domainkey.techiebery.com
Adres veya değer için işaretler: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

• Kayıtları yayınladıktan sonra güvenlik portalı > Tehdit yönetimi > Politika > DKIM'e gidin

• DKIM'i etkinleştirmek istediğiniz Etki Alanı'nı seçin ve Etkinleştir'e tıklayın.
• SPF ve DKIM kayıtları yerindeyken artık DMARC'yi kurabiliriz. Eklemek istediğimiz TXT kaydının formatı aşağıdaki gibidir:

_dmarc.domain TXT IN TXT “v=DMARC1; pct=100; p=politika

Nerede :
= korumak istediğimiz alan
= 3600
= bu kuralın e-postanın %100'ü için kullanılması gerektiğini
belirtir = DMARC Başarısız olursa alıcı sunucunun hangi politikayı izlemesini istediğinizi belirtir.
NOT: Yok olarak ayarlayabilir, karantinaya alabilir veya reddedebilirsiniz.

Örnek :

• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=yok”
• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=karantina”
• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=reddetmek”

Takvim Ayrıntıları Paylaşımına İzin Verme

Kullanıcılarınızın takvim ayrıntılarını harici kullanıcılarla paylaşmasına izin vermemelisiniz. Bu özellik, kullanıcılarınızın takvimlerinin tüm ayrıntılarını harici kullanıcılarla paylaşmasına olanak tanır. Saldırganlar, genellikle bir saldırı başlatmadan önce kuruluşunuz hakkında bilgi edinmek (keşif gerçekleştirmek) için zaman harcarlar. Herkese açık takvimler, saldırganların kuruluş ilişkilerini anlamasına ve belirli kullanıcıların, örneğin seyahat ederken olduğu gibi, bir saldırıya karşı ne zaman daha savunmasız olabileceğini belirlemesine yardımcı olabilir.

• Microsoft 365 yönetici merkezinde > Ayarlar – Kuruluş ayarları

• Hizmetlere tıklayın ve takvimi seçin

• Ayarları “ Yalnızca zamanla ilgili takvim serbest/meşgul bilgisi ” olarak değiştirin

• PowerShell aracılığıyla bir kiracıda bu ayarı etkinleştirin
• PowerShell kullanarak İş Ortağı Merkezi kimlik bilgileri aracılığıyla tüm kiracılarda bu ayarı etkinleştirin

Denetim Günlüğü Aramasını Etkinleştir

Azure AD, Exchange Online, Microsoft Teams ve SharePoint Online/OneDrive İş dahil olmak üzere her kullanıcının ve yöneticinin hizmetle etkileşiminin bir kaydına sahip olduğunuzdan emin olmak için Microsoft 365 veya Office 365 hizmetiniz için denetim verileri kaydını etkinleştirmelisiniz. Bu veriler, meydana gelmesi durumunda bir güvenlik ihlalinin araştırılmasını ve kapsamının belirlenmesini mümkün kılacaktır. Denetim günlüğünü aramaya başlayabilmeniz için önce sizin (veya başka bir yöneticinin) denetim günlüğünü açmanız gerekir .

• Denetim Günlüğü Nasıl Açılır?
• Denetim Günlüğü Nasıl Aranır?

• Güvenlik portalına gidin>Ara>Denetim Günlüğü araması
• Aşağıdakileri almadığınızdan emin olun:

• Denetimi açtıktan sonra aşağıdakileri göreceksiniz:

• Aktivite, tarih aralığı, kullanıcılar ve dosya\klasör\site bazında özel bir arama oluşturabilirsiniz.
• Belirli bir olaya dayalı Yeni Uyarı Politikası oluşturun

• Denetim günlüğünde PowerShell aracılığıyla arama yapmak istiyorsanız aşağıdaki komutları kullanırsınız:

$auditlog = Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• Belirli özellikleri bir CSV dosyasına aktarmak için aşağıdaki komutu kullanabilirsiniz:

$denetleme günlüğü | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Dışa Aktarma-Csv -Ekle -Yol c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Tüm Kullanıcılar için Posta Kutusu Denetimini Etkinleştir

Varsayılan olarak, sahip olmayan tüm erişim denetlenir, ancak sahip erişiminin de denetlenmesi için posta kutusunda denetimi etkinleştirmeniz gerekir. Bu, bir kullanıcının hesabı ihlal edildiğinde Exchange Online etkinliğine yasa dışı erişimi keşfetmenize olanak tanır. Tüm kullanıcılar için denetimi etkinleştirmek için bir PowerShell betiği çalıştırmamız gerekecek .

NOT : Günlüğe kaydedilen posta kutusu etkinliğini aramak için denetim günlüğünü kullanın. Belirli bir kullanıcı posta kutusu için etkinlik arayabilirsiniz.

• Güvenlik portalına gidin>Ara>Denetim Günlüğü araması

Posta Kutusu Denetim Eylemlerinin Listesi

Posta kutusu denetimi powershell komutları

Bir posta kutusu denetim durumunu kontrol etmek için:

Get-Mailbox [email protected] | fl *denetim*

Bir posta kutusu denetimini aramak için:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/22021

Sonuçları bir csv dosyasına aktarmak için:

Search-MailboxAuditLog [email protected] -ShowDetails -BaşlangıçTarihi 01/01/2021 -Bitiş Tarihi 01/31/2021 | Dışa Aktarma-Csv C:\users\AuditLogs.csv -NoTypeInformation

İşlemlere göre günlükleri görüntülemek ve dışa aktarmak için :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 01/31/2021 -ShowDetails | Dışa Aktarma-Csv C:\AuditLogs.csv -NoTypeInformation

Oturum açma türlerine göre günlükleri görüntülemek ve dışa aktarmak için :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes Owner,Delegate,Admin -ShowDetails | Dışa Aktarma-Csv C:\AuditLogs.csv -NoTypeInformation

Rol Değişikliklerini Haftalık Gözden Geçirin

Bunu yapmalısınız, çünkü bir saldırgana kiracılığınızda daha tehlikeli ve etkili şeyler gerçekleştirmesi için yüksek ayrıcalıklar verebilecek yasa dışı rol grubu değişikliklerini izlemelisiniz.

• Güvenlik portalına gidin>Ara>Denetim Günlüğü araması
• Aramaya “ Rol ” yazın ve “ Role Üye Eklendi ” ve “ Bir Kullanıcıyı Dizin Rolünden Kaldırdı ” yı seçin.

Tüm müşteri kiracılarındaki Rol Değişikliklerini izleyin

Posta Kutusu Yönlendirme Kurallarını Haftalık Gözden Geçirin

Harici etki alanlarına posta kutusu yönlendirme kurallarını en az her hafta gözden geçirmelisiniz. Bir PowerShell betiği kullanarak tüm posta kutularınızdaki harici etki alanlarına posta iletme kuralları listesini gözden geçirmek veya Denetim Günlüğü Aramasından geçen hafta posta iletme kuralı oluşturma etkinliğini gözden geçirmek dahil, bunu yapmanın birkaç yolu vardır. Diğer konumlara posta iletme kurallarının birçok meşru kullanımı olsa da, saldırganlar için çok popüler bir veri hırsızlığı taktiğidir. Kullanıcılarınızın e-postalarının çalınmadığından emin olmak için bunları düzenli olarak gözden geçirmelisiniz. Aşağıda bağlantısı verilen PowerShell betiğini çalıştırmak, System32 klasörünüzde "MailboxDelegatePermissions" ve "MailForwardingRulesToExternalDomains" olmak üzere iki csv dosyası oluşturacaktır.

• Tek bir kiracıda izleme
• Tüm Microsoft 365/Office 365 Müşteri kiracılarında Harici Posta Kutusu İletmelerini İzleme

Sahip Olmayanlar Tarafından Posta Kutusu Erişimi Raporunu İki Haftada İnceleyin

Bu rapor, posta kutusu sahibi dışında birinin hangi posta kutularına eriştiğini gösterir. Temsilci izinlerinin birçok meşru kullanımı olsa da, bu erişimin düzenli olarak gözden geçirilmesi, harici bir saldırganın erişimi uzun süre sürdürmesini önlemeye yardımcı olabilir ve içeriden kötü niyetli etkinliklerin daha erken keşfedilmesine yardımcı olabilir.

• Exchange Yönetim Merkezi'nde, Uyumluluk Yönetimi>Denetim'e gidin.
• “ Sahip olmayan bir posta kutusu erişim raporu çalıştır… ” seçeneğine tıklayın.

• Bir veri aralığı belirtin ve bir arama yapın

Kötü Amaçlı Yazılım Algılama Raporunu Haftalık Olarak İnceleyin

Bu rapor, bir kötü amaçlı yazılım ekinin kullanıcılarınıza ulaşmasını engelleyen belirli Microsoft örneklerini gösterir. Bu rapor kesinlikle eyleme geçirilebilir olmasa da, incelemeniz size kullanıcılarınıza hedeflenen genel kötü amaçlı yazılım hacmi hakkında bir fikir verecektir ve bu da sizi daha agresif kötü amaçlı yazılım azaltma yöntemlerini benimsemeye yönlendirebilir.

• Güvenlik portalına gidin>Raporlar>Kontrol Paneli

• En alta gidin ve e-postada kötü amaçlı yazılım algılandı'ya tıklayın

• Algılama Raporunu görüntüleyin ve + Plan oluştur'a tıklayın

• Haftalık bir rapor planı oluşturun ve uygun e-posta adresine gönderin

Hesap Sağlama Etkinliği Raporunuzu Haftalık Olarak İnceleyin

Bu rapor, hesapları harici uygulamalara sağlama girişimlerinin geçmişini içerir. Hesapları yönetmek için genellikle bir üçüncü taraf sağlayıcı kullanmıyorsanız, listedeki herhangi bir giriş büyük olasılıkla yasa dışıdır. Ancak, bunu yaparsanız, işlem hacimlerini izlemenin ve kullanıcıları yöneten yeni veya olağandışı üçüncü taraf uygulamaları aramanın harika bir yoludur.

• Microsoft 365 Yönetim merkezinde>Yönetici Merkezlerinden Azure Active Directory>Azure Active Directory>Denetim Günlükleri'nde

• Etkinlik bölümünde, "harici" kelimesini arayın ve Harici kullanıcı davet et'i seçin.

Daha iyi bir güvenlik için exchange çevrimiçi korumasını bu şekilde geliştirirsiniz.

Şimdi sizden duymak istiyorum:

Bugünkü rapordan hangi bulguyu en ilginç buldunuz? Ya da belki ele aldığım bir şey hakkında bir sorunuz var.

Her iki durumda da, sizden haber almak isterim. Öyleyse devam edin ve aşağıya bir yorum bırakın.