Günümüz dijital çağında veri güvenliği ve uyumluluk, her ölçekteki kuruluş için büyük önem taşımaktadır. Microsoft Purview, kurumsal verilerin yönetimi, korunması ve uyumluluğunun sağlanması için uçtan uca bir veri yönetimi çözümü sunmaktadır. Bu özellikler arasında, Microsoft Purview Message Encryption (MPME), e-posta iletişimlerinin güvence altına alınması için önemli fayda sağlamaktadır.
Author: Ali Koc
Export Admin Activity on Powershell
Monitoring and exporting administrative activities in your Microsoft 365 environment is crucial for maintaining security and compliance. In this article, we will walk you through the process of exporting Microsoft 365 admin activities using PowerShell.
Prerequisites
Before getting started, ensure you meet the following prerequisites:
- Microsoft 365 PowerShell Modules: You need to install the Microsoft 365 PowerShell modules, including
Exchange Online PowerShell V2andMicrosoft 365 Compliance Center. - Authorized User Account: You must have a user account with sufficient permissions to view and export admin activities.
Step 1: Install and Import PowerShell Modules
The first step is to install and import the necessary PowerShell modules. Run the following commands:
Eğer oluşan bu çıktıyı export etmek isterseniz, yine bir export ps1 calıstırmanız gerekmektedir.
# Install the Exchange Online PowerShell V2 module
Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser -Force
# Install the Microsoft 365 Compliance Center module
Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser -Force
# Import the modules
Import-Module ExchangeOnlineManagement
Import-Module Microsoft.Online.SharePoint.PowerShell
Step 2: Connect to Microsoft 365
After installing the modules, connect to your Microsoft 365 environment using the following commands:
# Connect to Exchange Online
$UserCredential = Get-Credential
Connect-ExchangeOnline -Credential $UserCredential
# Connect to Microsoft 365 Compliance Center
Connect-IPPSSession -Credential $UserCredential
Step 3: Query Admin Activities
To query Microsoft 365 admin activities, use the Search-UnifiedAuditLog cmdlet. This cmdlet allows you to search for administrative activities across various Microsoft 365 services and to export the query results to a CSV file, use the Export-Csv cmdlet:
Here is an example query:
# Gerekli parametreleri belirleyin
$StartDate = (Get-Date).AddDays(-30) # Son 30 günü sorgular
$EndDate = Get-Date
$RecordTypes = @(“ExchangeAdmin”, “AzureActiveDirectory”) # Yönetici aktiviteleri
# Her bir RecordType için Audit Log’u sorgulayın ve dışa aktarın
foreach ($RecordType in $RecordTypes) {
$AuditLogs = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate -RecordType $RecordType -ResultSize 5000
# Sonuçları işleyerek DisplayName’i ekleyin ve dışa aktarın
$AuditLogs | Select-Object -Property CreationDate, UserIds, Operations, AuditData, DisplayName | Export-Csv -Path “C:\AdminActivities_$RecordType.csv” -NoTypeInformation
}
Conclusion
In this article, you learned how to export Microsoft 365 admin activities using PowerShell. By performing this task regularly, you can monitor admin activities and meet your security and compliance requirements.
For more customization or specific activities, refer to the documentation for the Search-UnifiedAuditLog cmdlet.
What is Break Glass User ? Why it’s Important!
Günümüzde, kuruluşlar dijital verilerini korumak için çeşitli güvenlik önlemleri alıyorlar. Ancak, beklenmedik durumlarda, özellikle acil durumlarda, hızlı ve güvenli bir şekilde erişim sağlamak hayati önem taşır. İşte bu noktada “Break Glass User” kavramı devreye girer.
“Break Glass User” adından da anlaşılacağı gibi, bir tür “acil durum kullanıcısı” olarak düşünülebilir. Bu kullanıcı hesabı, normal koşullarda erişilemeyen ancak acil durumlarda erişime açılan bir hesaptır. Genellikle yüksek güvenlikli verilere veya sistemlere erişim sağlamak için kullanılır. Kısacası, yönetici erişiminin kaybedildiği veya mümkün olmadığı kritik durumlarda Microsoft Cloud ortamımıza yeniden erişim sağlamak için bir acil durum erişimi hesabı kullanabiliriz. Örnek senaryolar düşünüldüğünde;
- Authentication serverın devre dışı kalması.
- Yanlış kurgulanmış bir conditional access politikası.
- Yönetici hesaplarının ele geçirilmesi.
- Global Admin kullanıcısının işten ayrılması
Bu özel kullanıcı hesabı, normalde yüksek erişim engelleri ve güvenlik önlemleriyle korunur. Ancak, bir acil durumda, yetkili bir kişi veya ekip, “break glass” işlemi gerçekleştirerek bu hesaba erişim sağlayabilir. Bu işlem, genellikle güvenlik protokollerini dikkate alarak izlenir ve denetlenir.
Break Glass User kullanımı, özenle yönetilmelidir. Bu hesaba erişim yetkisi sadece gerektiğinde ve belirlenmiş prosedürler doğrultusunda verilmelidir. Ayrıca, erişim olayları izlenmeli ve denetlenmelidir, böylece güvenlik açıkları tespit edilebilir ve gerekli önlemler alınabilir.
Böyle bir hesap oluşturursanız, herhangi bir oturum açma bildirimini almak için bir uyarı kuralı ayarlamanız önemlidir.
Bu blog yazısı, bir break glass hesabının nasıl yapılandırılacağı ve oturum açıldığında nasıl uyarı verileceği konusunda bilgi içermektedir.
Creating the break glass account
İlk olarak, Microsoft Entra admin center giriş yaparak Users>Create New User seçeneğiyle kullanıcımızı oluşturuyoruz.
Önemli: Burada şuna dikkat etmeliyiz. Oluşturduğumuz kullanıcının bir Break Glass User olduğunu belirticek principal name kullanmamalıyız. Çünkü MFA politikalarından exclude olacak olan bu kullanıcı tahmin edilemez bir kullanıcı olması önemlidir. Aynı şekilde parolası da minimum 15 karakter olmalı ve tahmin edilemez komplekslikte olmalıdır.
Daha sonra rol atamasını gerçekleştiriyoruz
Daha sonra oluşan bu kullanıcıyı Conditional Access politikalarından Exclude ediyoruz.
Şimdi, bu kimlik bilgilerini fiziksel kasa gibi güvenli bir yerde saklanması gerekmektedir ve oturum açma işlemini periyodik olarak test etmeyi planlamanız gerekir. Örneğin ayda 1 defa erişiminizde sorun var mı kontrol edin.
Creating and configuring the alert on sign in
Break Glass User bizler için çok değerli ve zamansız login olunmasını istemeyiz. Bunu izlemek için iki farklı alert mekanizması planlayabiliriz.
1- Log analytics Workplace ile bir Alert Rule oluşturarak.
İlk olarak Microsoft Azure admin portal giriş yapıyoruz.
Daha sonra bu alert rule için ilk olarak bir Resource Group’a ihtiyacımız var.
Subscription > Resource Group > Create bölümünden RG’yi oluşturuyoruz.
Daha sonra Azure Portal Arama bölümüne “Log Analytics Workspace” yazıyoruz ve giriş yapıyoruz.
Create Diyerek, yeni bir Workspace oluşturuyoruz
Workspace oluştuktan sonra aşağıdaki gibi bir ekranla karşılaşıyor olacağız.
Sol panelden aşağıya kaydırdığımızda Monitoring>Alerts bölümüne giriş yapıyoruz.
Açılan ekranda Create > Alert Rule seçeneğini seçiyoruz.
Açılan ekranda signal name olarak “Custom Log Search” seçeneğini seçiyoruz.
Daha sonra bizden bir Query girmemizi istiyor olacak. Oraya aşağıdaki query’i giriyoruz.
// Search for a single Object ID (UserID)
SigninLogs
| project UserId
| where UserId == “4ea60096-e348-491b-93c3-e755ddd0bc59”
User ID bilgisine Entra ID > Users>Owerview ekranından ulaşabilirsiniz.
Daha sonra ilgili ayarları sağladıktan sonra ileri diyoruz.
Açılan ekranda bir “Action Group” oluşturmamızı beklemektedir. Alert tetiklendiğinde burada oluşturulan gruptaki kişilere bilgilendirme yapılacaktır.
Bir sonraki adımda “Details” kısmında gelen mailin içeriğini ve önem seviyesini belirliyoruz.
Sonra olarak ileri diyerek kuralı tamamlıyoruz.
Not:ilgili kuralın ortalama aylık 1.5$ Civarı bir maliyeti vardır.
Kural oluşturulduktan sonra test işlemimizi sağlamak için break glass user’ımıza giriş yapıyoruz ve alert’in tetiklenmesini sağlıyoruz.
Erişim sonrası dakikalar içinde aşağıdaki gibi bir uyarı almayı bekliyoruz.
2. Activity Alerts
Alert mekanizması için bir diğer yöntem ise e-mail activity Rule yeteneği ile bir kural oluşturulması.
İlk olarak security.microsoft.com adresine giriş yapıyoruz.
Sol panelde bulunan “E-mail and Collaboration” tab’ı altında Policies and Rules seçeğine tıklıyoruz.
Açılan ekranda “Activity Alerts” seçeneğine tıklıyoruz.
Açılan ekranda “New Alert Policy” diyerek kuralı oluşturuyoruz.
Aşağıdaki ayarları yapıyoruz.
“Save” diyerek kuralı tamamlıyoruz.
Bu kural ile bu kullanıcı login olma işlemi sağladığı durumda bizlere aşağıdaki gibi bir alert gelecektir.
Conculusion
Break Glass User, acil durum erişimi sağlamak için önemli bir güvenlik stratejisidir. Doğru şekilde uygulandığında, kuruluşlar beklenmedik olaylara hızlı ve etkili bir şekilde yanıt verebilirler. Ancak, bu hesapların kullanımı ve erişimi sıkı bir şekilde kontrol edilmeli ve izlenmelidir, böylece güvenlik riskleri minimize edilir. Bir sonraki makalede görüşmek üzere.
Microsoft Entra ID | macOS Platform SSO
Microsoft Entra ID Platform Single Sign On, macOS’ta Enterprise Single Sign-on Extension (SSOe) kullanılarak etkinleştirilen yeni bir özelliktir. Platform SSO’nun avantajı, kullanıcıların Microsoft Entra ID parolalarını kullanarak Mac’te oturum açmalarına veya donanıma bağlı bir key kullanarak da SSO’dan yararlanmalarına olanak sağlamasıdır. Bu hem iki ayrı parolayı hatırlamak zorunda kalmayarak son kullanıcı deneyimini iyileştiriyor hem de yöneticilerin local admin parolasını yönetme ihtiyacını azaltıyor. Kurumlardaki Mac müşterileri uzun zamandır Mac’lerde oturum açmak için Microsoft Entra ID parolalarını kullanabilecekleri bir çözüme ihtiyaç duymaktaydılar.
World Password Day ! – Peki ya Şifrelerimizden Kurtulsak !!
Sektörde 2013 Yılından beri her yıl Mayıs ayının ilk Perşembe günü “World Password Day” olarak bilinmektedir. Şifrelerimizin güvenliğini sağlamak başlı başına bir problem olduğunu hepimiz biliyoruz. Bunun için farklı güvenlik çözümlerine ihtiyaç duyuyoruz. Bununla beraber güvenlik çözümlerinin yanı sıra, personellerimizin farkındalığını arttırmak da başlı başına bir çözüm yöntemi haline gelmiş bulunmakta.
Güvenlik demişken, bir şifre nasıl güvenli olabilir ? Kaç karakterli olmalıdır? Sadece rakamlardan oluşsa veya farklı karakterlerde mi bulunsa ?
CategoriesMicrosoft Entra ID
Entra ID “Partner Tier 2 Support” Rolü Nedir ?
Muhtemelen Microsoft Entra Roles bölümünde Partner Tier 2 Support rolü nedir diye sorduğumuzda hepimiz böyle bir rolü görmedik diyebiliriz. Entra ID’nin, Global Administrator’a yükseltmeyi mümkün kılan “Partner Tier 2 support” adlı yerleşik bir rolü vardır ancak bu rol, Azure portal GUI’sinde gizlenir ve siz açmadığınız sürece görüntüleyemezsiniz.
Bir Saldırgan, Entra ID kiracısında gizli olan ve sistem içerisinde yüksek derecede yetkilere sahip olmak için Partner Tier 2 Support rolünü hedefleyebilir. Azure portal GUI’si bu rolü gizlediğinden, Azure yöneticilerinin ve güvenlik uzmanlarının bu role ilişkin atamaları denetlemesi zordur. Bu sebeple bu rolün kontrolü yapılmadığı noktada büyük problemler ortaya çıkabilir ve gereksiz yetkilendirilmeler sisteminizde varolabilir.
Using Live Response in Microsoft Defender for Endpoint
Microsoft Live Response, Microsoft 365 Defender portalının içerisinde yer alan olan güçlü bir özelliktir. Live Response kullanımı ile IT ekipleri olası caselerde daha fazla data erişimi için uzaktan komut dosyası çalıştırmak için uzak bir oturum kurabilir.
Live Response kullanımı ile önceden tanımlanmış komutları çalıştırmak mümkündür ve daha da güçlü olanı özel PowerShell komut dosyalarını yükleme yapılarak istenilen komutlarda çalıştırılabilir. Kısacası Live Response, Defender for Endpoint ürününe tamamen entegre edilmiş bulut tabanlı etkileşimli bir shell ürünüdür.
CategoriesDefender
Take Action on Simulation – MDO Attack Simulation Training
Günümüzde bir çok firma siber tehditlerle mücadele etmektedir. Şirket çalışanlarının farkındalığını arttırmak ise en önemli güvenlik önlemidir. Microsoft Defender for Office 365 Attack Simulator kullanarak, şirket ağınızda gerçek zamanlı kimlik avı (phishing) ve brute force saldırıları gibi farklı simülasyonları da çalıştıracak şekilde ayarlayabilirsiniz. Attack Simulator bu tür saldırılara önceden farkındalık kazanılması açısından oldukça önemlidir. Geçtiğimiz makalelerde Attack Simulation Training yeteneklerini ele almıştık. Şimdi ise uygulanan Simulasyonlarda hangi aksiyonları alacağımızı konuşuyor olacağız.
Unified Security Operations Platform – Connect Microsoft Sentinel to Microsoft Defender XDR
Microsoft’un Unified Security Operations Platform’u yayınladığını paylaşmaktan büyük mutluluk duyuyorum.
Platformun önizleme aşamasının yer almış ve testlere katılmış birisi olarak, işlevselliğini detaylıca inceleme ve geri bildirimde bulunma fırsatı edinmiş oldum. Önde gelen bulut tabanlı güvenlik bilgileri ve olay yönetimi (SIEM) sisteminden, kapsamlı bir genişletilmiş algılama ve yanıt (XDR) platformundan ve siber güvenlik için özel olarak tasarlanmış yapay zekadan gelen tüm özellikleri sorunsuz bir şekilde entegre etmektedir. Yeteneklerin bu birleşimi, güvenlik operasyonları merkezindeki (SOC) analistler için gerçek anlamda birleşik bir deneyim sunmakta ve efordan tasarruf etmelerini sağlamaktadır.
CategoriesMicrosoft Sentinel
Microsoft Sentinel – The Ultimate Blog Series Part 2
Bir önceki Part’da aktarılan (Part 1) bilgilerle birlikte bu blogda Microsoft Sentinel’in devreye alınma süreçlerini işliyor olacağız.