PKI nedir ? Microsoft Cloud PKI Nasıl Çalışır ? Part-1

Posted on July 27, 2024by Ali Koc

Dijital çağda, güvenli iletişim ve kimlik doğrulama, herhangi bir bilişim altyapısının temel unsurlarından biridir. Public Key Infrastructure (PKI), bu güvenliği sağlamak için kullanılan bir teknolojidir. Bu makalede, PKI’nin ne olduğunu, nasıl çalıştığını ve Microsoft’un PKI çözümlerini inceleyeceğiz.

PKI Nedir?

Public Key Infrastructure (PKI), dijital sertifikalar ve açık anahtar şifrelemesi kullanarak güvenli elektronik iletileri, kimlik doğrulamayı ve veri bütünlüğünü sağlayan bir çerçevedir. PKI, çeşitli bileşenlerden oluşur ve bu bileşenler birlikte çalışarak güvenli bir dijital ortam sağlar. HTTPS’teki Authentication için kullanılan dijital sertifikaların üretilmesi, dağıtılması ve kimlik doğrulaması aşamasında kullanılabilmesi için gerekli altyapıyı sağlamaktadır.

Public Key Infrastructure, çok çeşitli uygulamalarda özellikleri kullanır, ancak en çok dijital platformları ve hizmetleri korumak için kullanılır. Yaygın bir dağıtım, veri aktarımlarının korunmasıdır, böylece bir ağ üzerinden gönderilen bilgiler yalnızca hedeflenen alıcı tarafından görüntülenebilir.

Güvensiz ağ üzerinden aldığı sertifikanın gerçekten beyan edilen partiye ait olup olmadığını doğrulamak isteyen istemci aşağıdaki şekildeki gibi sertifika üzerindeki imzaları hiyerarşi içerisinde en yukarı kök sertifikaya kadar takip eder.

Sertifika Yetkilisi (CA): Dijital sertifikalar veren ve doğrulayan otoritedir. Bir CA, kullanıcıların veya cihazların kimliklerini doğrular ve bu doğrulamayı dijital bir sertifika ile belgelendirir.

Kayıt Yetkilisi (RA): Sertifika talep eden kişilerin veya cihazların kimliklerini doğrulayan ve CA’ya bu talepleri ileten otoritedir.

Dijital Sertifikalar: Açık anahtar ve sertifika sahibinin kimlik bilgilerini içeren dijital belgeler. Bu sertifikalar, sertifika sahibinin kimliğini doğrulamak için kullanılır.

Açık ve Gizli Anahtarlar: Açık anahtar şifrelemesinin temelini oluşturur. Açık anahtar, herkese açık olarak paylaşılırken, gizli anahtar yalnızca sahibi tarafından bilinir.

Sertifika İptal Listesi (CRL): Artık güvenilir olmayan veya iptal edilen sertifikaların listesi.

PKI Nasıl Çalışır?

PKI, iki ana süreç üzerine kuruludur: şifreleme ve kimlik doğrulama.

Şifreleme: PKI, açık anahtar şifrelemesi kullanarak verileri güvenli hale getirir. Bir kullanıcı, bir mesajı alıcının açık anahtarı ile şifreler ve alıcı bu mesajı kendi gizli anahtarı ile çözer.

Kimlik Doğrulama: PKI, dijital sertifikalar kullanarak kullanıcıların ve cihazların kimliklerini doğrular. CA tarafından verilen dijital sertifikalar, bir kullanıcının veya cihazın kimliğini güvenilir bir şekilde doğrular.

PKI’nın nasıl çalıştığını adım adım detaylandırılmış bir şekilde açıklarsam:

Anahtar Çiftinin Oluşturulması

PKI’de, her kullanıcı (veya cihaz) bir açık anahtar ve bir özel anahtar olmak üzere iki anahtar oluşturur:

Açık Anahtar (Public Key): Herkesle paylaşılabilen anahtardır.
Özel Anahtar (Private Key): Sadece sahibinin bildiği ve gizli tutulan anahtardır.

Dijital Sertifika Oluşturma

Bir kullanıcı veya cihaz, açık anahtarını içeren bir dijital sertifika almak için Sertifika Otoritesine (CA) başvurur. Bu süreçte şunlar gerçekleşir:

Sertifika İsteği (Certificate Signing Request, CSR): Kullanıcı, açık anahtarını ve kimlik bilgilerini içeren bir CSR oluşturur ve CA’ya gönderir.
Doğrulama: CA, başvuruda bulunan kişinin veya cihazın kimliğini doğrular.
Sertifikanın İmzalanması: Kimlik doğrulama başarılı olursa, CA dijital sertifikayı oluşturur ve kendi özel anahtarı ile imzalar. Bu dijital sertifika, kullanıcının kimlik bilgilerini ve açık anahtarını içerir.

Sertifikanın Dağıtılması

Dijital sertifika, sahibine ve gerektiğinde diğer taraflara güvenli bir şekilde iletilir. Bu sertifika, sahibinin kimliğini doğrulamak ve iletişimi şifrelemek için kullanılabilir.

Kimlik Doğrulama

PKI’nin önemli bir kullanımı, kimlik doğrulamadır. Bu, dijital sertifikalar ve dijital imzalar aracılığıyla gerçekleştirilir:

Dijital İmza: Bir mesaj veya belge, gönderenin özel anahtarı kullanılarak dijital olarak imzalanır. Bu, mesajın veya belgenin kaynağını ve bütünlüğünü doğrular.
İmza Doğrulama: Alıcı, dijital imzayı gönderenin açık anahtarı ile doğrular. Eğer doğrulama başarılı olursa, mesajın veya belgenin gerçekten göndericiden geldiği ve değişmediği anlaşılır.

Şifreleme ve Şifre Çözme

PKI ayrıca şifreleme ve şifre çözme işlemlerinde de kullanılır:

Şifreleme: Gönderen, alıcının açık anahtarını kullanarak bir mesajı şifreler.
Şifre Çözme: Alıcı, kendi özel anahtarı ile mesajı çözer. Bu, mesajın sadece alıcı tarafından okunabilmesini sağlar.

Sertifika İptali ve Yenileme

Sertifikalar belirli bir süre için geçerlidir ve süresi dolduğunda veya güvenli olmadığı düşünüldüğünde iptal edilebilir:

Sertifika İptal Listesi (CRL): CA, iptal edilen sertifikaların listesini tutar ve yayınlar.
Online Sertifika Durumu Protokolü (OCSP): Daha dinamik bir yöntem olan OCSP, belirli bir sertifikanın geçerli olup olmadığını kontrol etmek için kullanılır.

Güven Zinciri (Chain of Trust)

PKI’de, güven zinciri önemlidir. CA’lar, kök sertifikalarına dayanan ara sertifikalar çıkararak güven zincirini oluşturur. Kök CA, ara CA’ları ve onların çıkardığı son kullanıcı sertifikalarını doğrular. Bu güven zinciri, sertifikaların doğrulanmasında kritik bir rol oynar.

PKI, güvenli iletişim ve kimlik doğrulama sağlamak için kriptografi, dijital sertifikalar ve güvenilir üçüncü tarafları kullanarak karmaşık ama etkili bir altyapı sunar. PKI, günümüzde internet güvenliği, e-posta güvenliği, kod imzalama ve daha birçok alanda yaygın olarak kullanılmaktadır.

Microsoft PKI Nedir ?

Microsoft PKI (Public Key Infrastructure), Windows Server işletim sistemi ve Active Directory hizmetleri kullanılarak yönetilen bir PKI çözümüdür. Microsoft PKI, sertifika hizmetleri, güvenlik politikaları ve dijital sertifika yönetimi ile güvenli iletişim ve kimlik doğrulama sağlar.

Active Directory Certificate Services (AD CS)

Microsoft PKI’nin temel bileşeni olan AD CS, dijital sertifikaların oluşturulmasını, yönetilmesini ve dağıtılmasını sağlayan bir hizmettir. AD CS şu bileşenleri içerir:

Sertifika Yetkilisi (CA): Sertifikaları imzalar ve dağıtır. Birincil CA (kök CA) ve alt CA (ara CA) olarak yapılandırılabilir.
Online Responder: Sertifikaların geçerliliğini kontrol etmek için OCSP (Online Certificate Status Protocol) yanıtlarını sağlar.
Sertifika Kayıt Noktası (Enrollment Point): Kullanıcıların ve cihazların sertifika taleplerini kabul eder ve işler.

Sertifika Yetkilisi Hiyerarşisi

Microsoft PKI, güvenlik ve yönetim kolaylığı için bir CA hiyerarşisi kullanır:

Kök CA: En üst seviyedeki CA’dır ve kendi kendine imzalıdır. Güven zincirinin başlangıç noktasıdır.
Ara CA: Kök CA tarafından imzalanan sertifikaları çıkarır. Ara CA’lar, sertifika yönetimini dağıtarak güvenliği artırır ve ölçeklenebilirliği sağlar.

Sertifika Şablonları

Microsoft PKI, farklı türde sertifikalar oluşturmak için sertifika şablonları kullanır. Bu şablonlar, belirli kullanıcı veya cihaz gereksinimlerine göre özelleştirilebilir:

Kullanıcı Sertifikaları: E-posta şifreleme, dijital imza ve kimlik doğrulama için kullanılır.
Cihaz Sertifikaları: Sunucu kimlik doğrulama, VPN erişimi ve ağ güvenliği için kullanılır.
Kod İmza Sertifikaları: Yazılım ve kodların bütünlüğünü ve kaynağını doğrulamak için kullanılır.

Sertifika Kayıt ve Yönetim

Microsoft PKI, sertifikaların kayıt ve yönetimi için çeşitli yöntemler sunar:

Otomatik Kayıt: Grup ilkeleri kullanılarak kullanıcı ve cihazlar için otomatik olarak sertifika alınır ve yenilenir.
Manuel Kayıt: Kullanıcılar veya yöneticiler, sertifika taleplerini manuel olarak yapar.
Web Kayıt: Web tabanlı arayüz kullanılarak sertifika talepleri yapılabilir.

Sertifika İptali ve Yenileme

Microsoft PKI, sertifikaların iptal edilmesi ve yenilenmesi için araçlar sağlar:

Sertifika İptal Listesi (CRL): İptal edilen sertifikaların listesini yayınlar.
Online Sertifika Durumu Protokolü (OCSP): Dinamik olarak sertifikaların geçerliliğini kontrol eder.

Güvenlik Politikaları ve Denetim

Microsoft PKI, sertifikaların güvenli yönetimi için çeşitli güvenlik politikaları ve denetim mekanizmaları içerir:

Politika Modülleri: Sertifika talep ve onay süreçlerini kontrol eder.
Denetim ve İzleme: Sertifika işlemlerini ve CA etkinliklerini izler ve denetler.

Entegrasyon ve Uyumluluk

Microsoft PKI, diğer Microsoft ürünleri ve hizmetleriyle entegre çalışabilir:

Active Directory: Kullanıcı ve cihaz kimlik doğrulaması için entegre olur.
Exchange Server: E-posta güvenliği için dijital imzalar ve şifreleme sağlar.
System Center Configuration Manager (SCCM): Cihaz yönetimi ve sertifika dağıtımı için entegre olarak kullanılır.

Kurulum ve Yönetim

Microsoft PKI’nin kurulumu ve yönetimi için adımlar şunlardır:

Kurulum: Windows Server üzerinde AD CS rolü eklenir ve yapılandırılır.
Yönetim: Sertifika Şablonları, Kayıt Noktaları, CRL ve OCSP yönetimi yapılır.
Denetim: Güvenlik politikaları ve denetim günlükleri izlenir.

Microsoft Cloud PKI Mimarisi;

A – Microsoft Intune
B – Microsoft Cloud PKI hizmetleri
B.1 – Microsoft Bulut PKI hizmeti
B.2 – Microsoft Cloud PKI SCEP hizmeti
B.3 – Microsoft Cloud PKI SCEP doğrulama hizmeti

İlk etapta bir Intune Administrator veya Global Administrator bazı izinleri ayarlaması gerekmektedir.

Microsoft Intune’da kök ve veren CA’lar için gerekli Bulut PKI sertifika yetkilisini oluşturulmalıdır.
Kök ve veren CA’lar için gerekli trust sertifikası profillerini oluşturulmalı ve atanmalıdır.
Gerekli platforma özgü SCEP sertifika profillerini oluşturulmalı ve atanmalıdır.

SCEP Profil Adımları;

Cihaz, Intune hizmetine bağlanarak kimlik doğrulama sürecini başlatır. Bu bağlantı, cihazın güvenilen sertifikaları ve SCEP (Simple Certificate Enrollment Protocol) profillerini alması için gereklidir.

Cihaz, aldığı SCEP profiline dayanarak bir Sertifika İmzalama İsteği (CSR) oluşturur. Bu süreçte cihaz üzerinde bir özel anahtar üretilir ve bu anahtar cihazdan asla ayrılmaz, yani cihazın güvenlik sınırları içinde kalır.

Cihaz, oluşturduğu CSR ve SCEP sınamasını buluttaki SCEP hizmetine gönderir. SCEP profiline bağlı olarak, bu işlem SCEP URI özelliği kullanılarak gerçekleştirilir. Gönderilen SCEP sınaması, Intune SCEP RA (Registration Authority) anahtarları kullanılarak şifrelenir ve imzalanır.

Bulutta yer alan SCEP doğrulama hizmeti, CSR’yi SCEP sınaması ile karşılaştırarak doğrular. Bu doğrulama süreci, isteğin kayıtlı ve yönetilen bir cihazdan geldiğini teyit eder. Aynı zamanda SCEP sınamasının etkilenmemesini ve SCEP profilinde beklenen değerlerle eşleşmesini sağlar. Eğer bu denetimlerden herhangi biri başarısız olursa, sertifika isteği reddedilir.

CSR doğrulandıktan sonra, SCEP doğrulama hizmeti (kayıt yetkilisi), Veren CA’ya (Certificate Authority) CSR’yi imzalaması için istekte bulunur. Bu işlem, cihazın güvenilen bir sertifika alabilmesi için kritik bir adımdır.

CA tarafından imzalanan sertifika, Intune MDM (Mobile Device Management) aracılığıyla cihaza geri gönderilir. Cihaz, aldığı bu imzalı sertifikayı kullanarak güvenli iletişim ve kimlik doğrulama işlemlerini gerçekleştirebilir.

Bu konuyu takip eden bir sonraki makalede bir Microsoft Cloud PKI adımlarını bir demo çalışması ile işliyor olacağız.

Sevgiler

Intune Microsoft Security

Conditional Access ile Yönetilmeyen Cihazlara Erişimin Engellenmesi !

Posted on July 23, 2024by Ali Koc

Günümüzün dijital dünyasında, kurumsal verilerin korunması çok önemlidir. Kişisel cihazların iş için kullanımının artmasıyla birlikte, yalnızca güvenli ve uyumlu cihazların hassas bilgilere erişebilmesini sağlamak kritik bir görev haline gelmiştir. Microsoft’un Koşullu Erişim politikaları, özellikle yönetilmeyen cihazlarla uğraşırken güvenlik politikalarını yönetmek ve uygulamak için sağlam bir yol sunar. Bu blog yazısı, Microsoft Azure Active Directory (Azure AD) kullanarak yönetilmeyen cihazlar için erişimi engelleme sürecinde size rehberlik edecektir.

Defender Microsoft Purview

Microsoft Purview Integrated Portal – New Purview Portal Features !

Posted on July 7, 2024by Ali Koc

“Hepsine hükmedecek Bir Yüzük, hepsini o bulacak. Hepsini bir araya getirip karanlıkta birbirine bağlayacak“

J.R.R Tolkien

En sevdiğim bir filmden alıntı yaparak başlamak istedim. “Hepsini o bulacak, hepsini bir araya getirecek”. Evet Microsoft hepsini buldu ve hepsini bir araya getirerek inanılmaz bir portal yaptı!

Microsoft Purview, veri güvenliği, veri yönetimi ve diğer risk ve uyumluluk işlevlerini bir araya getirdi. Uzun zamandır hem Microsoft 365 hem de Microsoft Azure’da birbirinden farklı veri yönetim portallarına sahibiz. Yapılandırılmış veri güvenliği ve yönetimi için Azure Purview bileşenlerini ,Microsoft 365’te ise Security and Compliance portal ile Azure Information Protection kullanmaktaydık.

Ancak son 3 yıla baktığımızda Microsoft’un veri güvenliği uyumluluğuna yönelik daha bütünsel bir yaklaşımı kullandığını gördük. Azure Purview, yapılandırılmış veri platformlarında Microsoft 365 için ortak olan hassas bilgi türlerini ve hassasiyet etiketlerini kullanmamızı sağladı. Ve Microsoft Cloud Apps Security gibi platformlar ile entegrasyonu ile daha kolay bir kullanıma sahip olmamızı sağladı.

Yeni Purview portal hakkında bazı ekran görüntüleriyle modülleri incelemeye başlayacağız. Ancak öncesinde ilk izlenimlerimi aktarmak isterim.

Kesinlikle öncelikle çok modern ve harika bir görünüme sahip. İstenilen detaylara daha rahat ulaşılabilir ve yeni arayüz yetenekleri sayesinde kolay kullanıma sahip olduğunu görüyoruz. Şuanda halen daha preview süreci tamamlanmadığı için bazen bazı menüler bizi eski portala yönlendirebiliyor. Ancak yakın zamanda bu süreç tamamlandığı zaman artık tamamen burayı kullanıyor olacağız.

Ayrıca en güzel yanı, siz bu portalı düzenleyebiliyor ve yeni entegrasyonların da yapılması için adımlar atabiliyorsunuz. Burada aslında Microsoft “Birlikte Geliştirelim” stratejisini aldığını görüyoruz.

İlk olarak bu yeni portala nasıl erişeceğiz ?

https://compliance.microsoft.com adresine giriş yaptığımız sağ üstte görünen buton ile yeni geçişi sağlayabilirsiniz.

İlk olarak yönetim süreçlerinde kullanılması istenen “Microsoft Purview Account” oluşturulması süreçlerini işlemeliyiz.

ilk olarak; https://portal.azure.com/#browse/Microsoft.Purview%2FAccounts adresine giriş yaparak, Microsoft Purview Account’u oluşturabiliriz.

Ön Koşullar;

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir abonelik oluşturun.
Aboneliğinizle ilişkili bir Microsoft Entra kiracısı .
Azure’da oturum açmak için kullandığınız kullanıcı hesabı, katkıda bulunan veya sahip rolünün bir üyesi veya Azure aboneliğinin bir yöneticisi olmalıdır . Abonelikte sahip olduğunuz izinleri görüntülemek için şu adımları izleyin:
1. Azure portalına gidin
2. Sağ üst köşeden kullanıcı adınızı seçin.
3. Daha fazla seçenek için üç nokta (” … “) butonuna tıklayın .
4. Daha sonra İzinlerim’i seçin .
5. Birden fazla aboneliğe erişiminiz varsa uygun aboneliği seçin.

Azure portalında Microsoft Purview’u arayarak Microsoft Purview Account bölümüne giriş yapınız.

Gerekli adımlar sağlandıktan sonra artık kullanıcımız oluşmuş durumdadır.

Yeni Portal’ı inceleyelim

Yeni portal harika ve sade görünüyor. Tüm Purview bileşenlerine artık tek bir kontrol panelinden erişilebiliyor. Ancak az önce de belirttiğim gibi, henüz bazı uyumluluk maddeleri eski portala yönlendiriyor ancak yakın zamanda bu sorunun düzeleceği ve artık tamamen bu portaldan yönetileceği bekleniyor.

Ekranın sağ bölümündeki butonları incelersek kolay erişilebilir maddeleri görüntülüyor olacağız.

“Release notes and updates button”

Notifications;

Submit Feedback;

Mevcut Uyum portalındaki Ayarlar sayfasını bulmak bazen zor olabiliyordu. Portaldaki ana menünün alt kısmında yer almakta ve bu ayarlar sayfası, detaylı ayarların yapılmasını sağlamakta.

Yeni Ayarlar sayfası, mevcut Uyumluluk portalı bileşenlerinin ve ayarlarının bazı kısımlarını bir araya getiriyor. Tüm ayarları değil, sadece bir alt kümesini. Ve daha genel bileşenlerin tümü değil, ancak (yine) bir alt kümesini barındırmakta. Sağ üst menüden kolaylıkla erişilebilir.

Microsoft Purview ana ekranına geldiğimizde çözümleri görüntülüyor olacağız. Bu çözümlerle olan entegrasyonu ve yönetimsel kabiliyetleri ile büyük bir fark oluşturacağı kesin.

Sağ köşede bulunan View All Solutions menüsüne tıkladığımızda entegrasyon detaylarını daha net görüntülüyoruz.

Maddelerle işlenmiş ürün yetkinlikleri ve bu maddelere bağlı çözümlere kolay erişebilir portal sayesinde yönetimsel rahatlığa erişmiş durumdayız.

Core Components

Microsoft Purview genelinde çözüm deneyimlerini ayarlamak ve yapılandırmak için temel yetenekler içermektedir.

Risk and Compliance

Kritik riskleri ve gereklilikleri yönetmenizi sağlar.

Data Governance

Kurumunuzu güçlendirmek için verileri sorunsuz bir şekilde yönetmenizi sağlar.

Data Security

Nerede olursa olsun, life cycle boyunca verilerin güvenliğini sağlamanızı sağlar.

Resources

Related Portals ve Data Components

Discover your data

Hibrit veri varlığınızdaki verileri, Microsoft Cloud’daki otomatik envanter verilerini anlamanızı ve yönetmenizi sağlar. Aradığınız verileri bulmak için aramayı kullanın ve arama sonuçlarını iş terimlerine, sınıflandırmalara ve kişilere göre filtreler.

Know your data

Bu aşamada, verinizin nerede bulunduğunu, bu konumların güvenli olup olmadığını ve bu konumlara kimin erişebildiğini belirlemek önemlidir. Veriler ne için kullanılıyor? İşbirliği için mi? Bunlar aktif dosyalar mı yoksa yasal nedenlerle saklanan arşivlenmiş dosyalar mı?

Compliance Posture Status

Posture Score varsayılan olarak mevcut olan temel değerlendirmeden elde edilen yüzdeyi görüntülersiniz. Daha iyi güvenlik için, lütfen politika yapılandırmanızı sizin için mevcut olan sınıfının en iyisi endüstri düzenlemesine göre değerlendirmenizi sağlar.

Trials and Recommendations

Trial ve öneriler bölümünde bağlantıları ve diğer entegrasyonları görüntüleyebilirsiniz.

Yeni portalı incelediğimizde yeteneklerini ve yönetimsel olarak rahatlığını görüyor olacağız. Ancak yazının başında da belirttiğim gibi bu yıl sonuna kadar değişiklikler olabilir ve stabil olana kadar farklı yönlendirmeler yaşanabilir.

Bu portal sayesinde artık Information Protection noktasında çok daha güçlü bir yönetime sahibiz.

Keyif almanız dileğiyle

Defender Microsoft Security

Adjusting Alert Thresholds in Microsoft Defender for Identity

Posted on July 7, 2024by Ali Koc

Siber tehditlerin sürekli arttığı bir dünyada, kuruluşların ağlarını ve verilerini korumak için gelişmiş güvenlik çözümlerine ihtiyaçları var. Microsoft Defender for Identity, kuruluşlara, ağlarını siber tehditlere karşı korumak için tasarlanmış bir güvenlik çözümüdür. Bu araç, şüpheli etkinlikleri tespit etmek ve uyarılar oluşturmak için gelişmiş analizler ve makine öğrenimi kullanır. Uyarıların etkinliği, doğru eşik değerlerinin belirlenmesine bağlıdır. Bu blog yazısında, Microsoft Defender for Identity’de uyarı eşiklerinin nasıl ayarlandığını, neden önemli olduğunu ve en iyi uygulama yöntemlerini detaylı bir şekilde ele alacağız.

Uyarı Eşiklerini Ayarlamanın Temel İlkeleri

Uyarı Türleri ve Eşikler

Defender for Identity, çeşitli tehdit türlerini tespit etmek için uyarılar oluşturur. Bu uyarılar arasında şunlar bulunur:

Kimlik Bilgisi Hırsızlığı: Kullanıcı kimlik bilgilerinin ele geçirilmesi ve yetkisiz erişim girişimleri.
Kötü Amaçlı Etkinlikler: Zararlı yazılım faaliyetleri veya anormal ağ trafiği.
İçeriden Gelen Tehditler: Kurum içindeki kullanıcıların şüpheli davranışları.

Eşik Değerlerinin Belirlenmesi

Eşik değerlerini belirlerken dikkate alınması gereken birkaç önemli faktör vardır:

Tarihsel Veriler: Geçmişteki etkinlik verilerini analiz etmek, normal çalışma koşullarını ve olası anormallikleri belirlemekte yardımcı olur.
İş Gereksinimleri: Farklı işletmelerin ve sektörlerin farklı öncelikleri ve gereksinimleri vardır. Eşik değerleri, bu gereksinimlere göre özelleştirilmelidir.
Risk Toleransı: Bazı sistemler için düşük risk toleransı kabul edilebilirken, diğerleri için daha yüksek risk toleransı gerekebilir. Bu, eşik değerlerini doğrudan etkiler.

Microsoft Defender for Identity’de Uyarı Eşiklerini Ayarlamanın En İyi Uygulamaları

Risk Tabanlı Uyarı Eşikleri

Defender for Identity, risk tabanlı uyarı eşikleri sunar. Bu eşikler, belirli bir etkinliğin veya davranışın risk düzeyine göre ayarlanır.

Kullanım Örneği: Şüpheli bir giriş denemesi, kullanıcının normal davranışlarına göre değerlendirilir ve risk düzeyi belirlenir. Bu risk düzeyi belirli bir eşiği aştığında uyarı tetiklenir.

Anomali Tespiti ve Makine Öğrenimi

Defender for Identity, makine öğrenimi algoritmaları ve anomal tespiti modelleri kullanarak, normalden sapmaları tespit eder ve otomatik olarak uygun eşik değerlerini ayarlar.

Kullanım Örneği: Kullanıcıların alışılmadık saatlerde giriş yapması durumunda otomatik uyarı oluşturmak.

Sürekli İzleme ve Ayarlama

Defender for Identity, eşik değerlerinin sürekli olarak izlenmesini ve gerektiğinde ayarlanmasını sağlar. İş gereksinimlerinde, sistem yapılandırmalarında veya ortam koşullarında meydana gelen değişiklikler, eşik değerlerinin de güncellenmesini gerektirir.

Kullanım Örneği: Yeni bir tehdit türü tespit edildiğinde veya mevcut bir tehdit vektörü değiştiğinde, ilgili metriklerin eşik değerlerini yeniden değerlendirmek.

Çok Aşamalı Uyarı Sistemleri

Defender for Identity, çok aşamalı uyarı sistemleri oluşturmak için de kullanılabilir. Farklı uyarı seviyeleri belirleyerek, olayın ciddiyetine göre farklı müdahale seviyeleri tanımlanabilir.

Kullanım Örneği: Şüpheli bir etkinlik tespit edildiğinde düşük seviye uyarı, aynı etkinlik tekrarlandığında orta seviye uyarı ve daha ciddi bir durum oluştuğunda yüksek seviye uyarı oluşturmak.

False Positive ve False Negatif Uyarılar

Yanlış pozitif uyarılar, sistemin aslında normal çalıştığı durumlarda uyarı tetiklenmesi anlamına gelirken, yanlış negatif uyarılar ise gerçek bir sorun olduğunda uyarı tetiklenmemesi anlamına gelir. Her iki durum da ciddi sorunlara yol açabilir ve dikkatli bir şekilde yönetilmelidir.

Veri Kalitesi ve Güvenilirliği

Eşik değerlerini belirlerken kullanılan verilerin kalitesi ve güvenilirliği de büyük önem taşır. Hatalı veya eksik veriler, yanlış eşik değerlerine ve dolayısıyla yanlış uyarılara neden olabilir.

Microsoft Defender for Identity’de uyarı eşiklerini doğru bir şekilde ayarlamak, kuruluşların güvenliğini artırmada kritik bir rol oynar. Doğru belirlenmiş eşik değerleri, potansiyel tehditleri erken tespit etmeye ve hızlı bir şekilde müdahale etmeye olanak tanır. Bu yazıda, Defender for Identity’de uyarı eşiklerini ayarlamanın temel ilkelerini, en iyi uygulama yöntemlerini ve karşılaşılabilecek zorlukları detaylı bir şekilde inceledik. Teknolojinin ve veri analitiğinin gelişmesiyle birlikte, bu alanda daha ileri ve etkili çözümler geliştirilmesi beklenmektedir.

Defender Microsoft Security

Priority Account Protection Nedir ?

Posted on June 24, 2024by Ali Koc

Günümüz dijital dünyasında, hassas bilgileri korumak ve yüksek değerli hesapların güvenliğini sağlamak her zamankinden daha önemlidir. Siber tehditler giderek daha sofistike hale geliyor ve ihlal edilmesi durumunda kuruluşlar için ciddi sonuçlar doğurabilecek önemli hesapları hedef alıyor. Bu kritik ihtiyacı fark eden Microsoft, yüksek değerli hesaplar için gelişmiş güvenlik sağlayan güçlü bir çözüm olan Priority Account Protection’ı tanıttı. Bu blog yazısında, Microsoft Priority Account Protection’ın özelliklerine, faydalarına ve en iyi uygulamalarına derinlemesine bakacağız.

Microsoft Priority Account Protection, bir kuruluş içindeki en kritik ve yüksek riskli hesapları korumayı amaçlayan özel bir güvenlik hizmetidir. Bu hesaplar genellikle yöneticiler, BT yöneticileri ve hassas bilgilere ve kritik sistemlere erişimi olan diğer rolleri içerir. Microsoft, bu yüksek değerli hedeflere odaklanarak, işinizin en önemli kısımlarının gelişmiş siber tehditlere karşı korunduğundan emin olur.

1. Gelişmiş Güvenlik İzleme

Priority Account Protection, şüpheli etkinlikleri ve potansiyel tehditleri tespit etmek için Microsoft Sentinel ve diğer güvenlik araçlarından yararlanarak gelişmiş izleme yetenekleri sağlar. Bu, giriş denemelerinin gerçek zamanlı analizini, olağandışı etkinlik kalıplarını ve diğer ihlal göstergelerini içerir.

2. Çok Faktörlü Kimlik Doğrulama (MFA)

MFA kullanımı, herhangi bir hesabı güvence altına almanın temel adımıdır ve Priority Account Protection bu kullanımı zorunlu kılar. Birden fazla doğrulama formu gerektirerek, MFA, giriş bilgileri tehlikeye düşse bile yetkisiz erişim riskini önemli ölçüde azaltır.

3. Koşullu Erişim Politikaları

Koşullu erişim politikaları, hassas hesaplara erişimin yalnızca güvenli ve doğrulanmış koşullar altında sağlanmasını garanti eder. Bu politikalar, konum, cihaz uyumluluğu ve diğer bağlamsal faktörlere dayalı kısıtlamaları içerebilir.

4. Kimlik Koruma ve Risk Tespiti

Microsoft’un Kimlik Koruma araçları, potansiyel riskleri değerlendirmek ve bunlara yanıt vermek için entegre edilmiştir. Bu, giriş denemeleri için gerçek zamanlı risk değerlendirmelerini ve tespit edilen tehditlere yönelik otomatik yanıtları içerir, örneğin erişimi engellemek veya ek doğrulama adımları gerektirmek gibi.

5. Düzenli Güvenlik İncelemeleri ve Güncellemeler

Priority Account Protection, sürekli güvenlik incelemelerini ve güncellemelerini içerir. Microsoft, güvenlik duruşlarının düzenli değerlendirmelerini ve iyileştirme önerilerini sağlar, böylece koruma önlemleri ortaya çıkan tehditlerle birlikte gelişir.

Microsoft Priority Account Protection’ın Faydaları

1. Yüksek Değerli Hedefler için Kapsamlı Koruma

En kritik hesaplara odaklanarak, Priority Account Protection, kuruluşunuzun ana varlıklarının gelişmiş tehditlerden korunduğundan emin olur ve önemli ihlaller riskini en aza indirir.

2. Artan Güven ve Güvenilirlik

Yüksek değerli hesapların sıkı bir şekilde korunduğunu bilmek, paydaşların, ortakların ve müşterilerin güvenini artırabilir. Bu, siber güvenliğe yönelik proaktif bir yaklaşımı ve hassas bilgileri koruma taahhüdünü gösterir.

3. İş Kesintisi Riskinin Azaltılması

Kritik hesapların güvence altına alınması, siber olaylardan kaynaklanan operasyonel kesintilerin riskini azaltır. Bu, iş sürekliliğini korur ve kuruluşun itibarını korur.

4. Basitleştirilmiş Güvenlik Yönetimi

Priority Account Protection, yüksek değerli hesapların güvenlik yönetimini merkezi hale getirir ve BT ekiplerinin potansiyel tehditleri etkili bir şekilde izlemelerini ve yanıtlamalarını kolaylaştırır.

Priority Account Protection’ın Uygulanması İçin En İyi Uygulamalar

1. Yüksek Değerli Hesapları Belirleyin

Kuruluşunuzdaki hangi hesapların yüksek değerli hedefler olarak kabul edildiğini belirleyerek başlayın. Bu, yöneticiler, yöneticiler ve hassas verilere veya kritik sistemlere erişimi olan herhangi bir rolü içerir.

2. Güçlü Kimlik Doğrulama Yöntemlerini Zorunlu Kılın

Tüm yüksek değerli hesapların güçlü kimlik doğrulama yöntemleriyle korunduğundan emin olun, buna MFA dahildir. Kimlik doğrulama politikalarını düzenli olarak gözden geçirin ve güncelleyin.

3. Güçlü Erişim Kontrollerini Uygulayın

Risk faktörlerine dayalı olarak erişimi sınırlayan koşullu erişim politikaları tanımlayın ve zorunlu kılın. Bu politikaları etkinliklerini sürdürdüklerinden emin olmak için düzenli olarak gözden geçirin.

4. Tehditleri Gerçek Zamanlı İzleyin ve Yanıtlayın

Şüpheli etkinlikler için uyarılar kurun ve yanıt protokollerinin yerinde olduğundan emin olun.

5. Düzenli Güvenlik Değerlendirmeleri Yapın

Yüksek değerli hesapların düzenli güvenlik değerlendirmelerini ve incelemelerini gerçekleştirin. Bu değerlendirmelerden gelen önerileri uygulayın ve güvenlik duruşunuzu sürekli olarak geliştirin.

Sonuç

Microsoft Priority Account Protection, yüksek değerli hesapları sofistike siber tehditlerden korumak için kapsamlı bir çözüm sunar. Gelişmiş izleme, çok faktörlü kimlik doğrulama, koşullu erişim politikaları ve sürekli güvenlik incelemelerinden yararlanarak, kuruluşlar en kritik varlıklarının korunduğundan emin olabilirler. Bu en iyi uygulamaları uygulayarak, Priority Account Protection’ın faydalarından en iyi şekilde yararlanabilir ve sürekli değişen tehdit ortamında güçlü bir güvenlik duruşu sürdürebilirsiniz.

Defender Microsoft Security Uncategorized

WHAT IS M365DefenderStuff MODULE ?

Posted on June 12, 2024by Ali Koc

Microsoft continues to enhance XDR capabilities every day. To use this comprehensive security solution more effectively, the M365DefenderStuff module has been developed, providing IT professionals and security managers with essential capabilities. In this article, we’ll delve into the capabilities, commands, and outputs of the M365DefenderStuff module.

Uncategorized

Remove Classification footer All Documents with Powershell !

Posted on June 3, 2024by Ali Koc

When you need to edit footers in multiple documents, doing it manually can be time-consuming. If you need to remove a specific footer like “Classification” from all documents, automating the process can save you a lot of time. PowerShell is an ideal tool for this task. In this post, we’ll walk you through how to use PowerShell to delete the “Classification” footer from all your documents.

Requirements

Windows operating system
PowerShell
Microsoft Word installed (PowerShell will use COM objects to manipulate Word documents)

Preparing the PowerShell Script

Setting PowerShell Permissions

First, ensure PowerShell has the necessary permissions to run scripts. Run PowerShell as an administrator and enter the following command:

Set-ExecutionPolicy RemoteSigned

This command allows the execution of signed scripts.

Writing the PowerShell Script

The following PowerShell script will open all Word documents in a specified folder, remove the “Classification” footer, and save the changes:

# Word dosyalarını işlemek için gerekli modül
Add-Type -AssemblyName Microsoft.Office.Interop.Word
$word = New-Object -ComObject Word.Application
$word.Visible = $false

# Excel dosyalarını işlemek için gerekli modül
Add-Type -AssemblyName Microsoft.Office.Interop.Excel
$excel = New-Object -ComObject Excel.Application
$excel.Visible = $false

# Function to remove footer from Word document
Function Remove-WordFooter($filePath) {
$doc = $word.Documents.Open($filePath)
foreach ($section in $doc.Sections) {
foreach ($headerFooter in $section.Footers) {
$headerFooter.Range.Text = “”
}
}
$doc.Save()
$doc.Close()
}

# Function to remove footer from Excel document
Function Remove-ExcelFooter($filePath) {
$workbook = $excel.Workbooks.Open($filePath)
foreach ($worksheet in $workbook.Worksheets) {
$worksheet.PageSetup.LeftFooter = “”
$worksheet.PageSetup.CenterFooter = “”
$worksheet.PageSetup.RightFooter = “”
}
$workbook.Save()
$workbook.Close()
}

# Function to search and remove footers in a local directory
Function Search-And-Remove-Footers($path) {
$files = Get-ChildItem -Path $path -Recurse -Include *.docx, *.xlsx

foreach ($file in $files) {
try {
if ($file.Extension -eq “.docx”) {
Remove-WordFooter $file.FullName
} elseif ($file.Extension -eq “.xlsx”) {
Remove-ExcelFooter $file.FullName
}
} catch {
Write-Host “Error processing file: $file.FullName”
}
}
}

# Define the path to search
$localPath = “C:\Users\Ali.koc\Desktop\test”

# Search and remove footers for local files
Search-And-Remove-Footers $localPath

# Cleanup
$word.Quit()
$excel.Quit()

Running the Script

Create the script in a text editor (e.g., Notepad) and save it as Remove-ClassificationFooter.ps1.
Run PowerShell as an administrator.
Navigate to the directory where the script is saved and run the script:

.\Remove-ClassificationFooter.ps1

if you want delete the specific footer, you can use script below

# Word uygulamasını başlat ve görünmez yap
$word = New-Object -ComObject Word.Application
$word.Visible = $false

# Belirli bir klasördeki tüm Word belgelerini işle
$folderPath = “C:\desktop”
$files = Get-ChildItem -Path $folderPath -Filter *.docx

foreach ($file in $files) {
Write-Host “Processing file: $($file.FullName)”
try {
# Her belgeyi aç
$document = $word.Documents.Open($file.FullName)

# Belirli bir metni alt bilgilerde ara ve sil
$textFound = $false
foreach ($section in $document.Sections) {
foreach ($footer in $section.Footers) {
$range = $footer.Range
$find = $range.Find
$find.Text = “!!!YOUR KEYWORD!!!”
$find.Replacement.Text = “”
$find.Forward = $true
$find.Wrap = 1 # wdFindContinue
$find.Format = $false
$find.MatchCase = $false
$find.MatchWholeWord = $true
$find.MatchWildcards = $false
$find.MatchSoundsLike = $false
$find.MatchAllWordForms = $false

$result = $find.Execute()
if ($result -eq $true) {
$textFound = $true
$range.Text = $find.Replacement.Text
Write-Host “Text found and replaced in footer of $($file.FullName)”
} else {
Write-Host “Text not found in footer of $($file.FullName)”
}
}
}

if ($textFound) {
# Değişiklikleri kaydet
$document.Save()
}
# Belgeyi kapat
$document.Close()
} catch {
Write-Host “Error processing file: $($file.FullName) – $_”
}
}

# Word uygulamasını kapat
$word.Quit()

# COM nesnelerini serbest bırak
[System.Runtime.InteropServices.Marshal]::ReleaseComObject($word) | Out-Null
Remove-Variable word
[System.GC]::Collect()
[System.GC]::WaitForPendingFinalizers()

Conclusion

This script will automatically remove the “Classification” footer from all Word documents in the specified directory. This solution saves time and reduces the likelihood of errors.

By leveraging the power and flexibility of PowerShell, you can automate your document editing tasks and work more efficiently. Using PowerShell for tasks like this can greatly optimize your workflows.

Enjoy !

Microsoft Purview Microsoft Security

Microsoft Purview Message Encryption Implementation & Search Audit

Posted on May 31, 2024by Ali Koc

Günümüz dijital çağında veri güvenliği ve uyumluluk, her ölçekteki kuruluş için büyük önem taşımaktadır. Microsoft Purview, kurumsal verilerin yönetimi, korunması ve uyumluluğunun sağlanması için uçtan uca bir veri yönetimi çözümü sunmaktadır. Bu özellikler arasında, Microsoft Purview Message Encryption (MPME), e-posta iletişimlerinin güvence altına alınması için önemli fayda sağlamaktadır.

Microsoft Security Uncategorized

Export Admin Activity on Powershell

Posted on May 29, 2024by Ali Koc

Monitoring and exporting administrative activities in your Microsoft 365 environment is crucial for maintaining security and compliance. In this article, we will walk you through the process of exporting Microsoft 365 admin activities using PowerShell.

Prerequisites

Before getting started, ensure you meet the following prerequisites:

Microsoft 365 PowerShell Modules: You need to install the Microsoft 365 PowerShell modules, including Exchange Online PowerShell V2 and Microsoft 365 Compliance Center.
Authorized User Account: You must have a user account with sufficient permissions to view and export admin activities.

Step 1: Install and Import PowerShell Modules

The first step is to install and import the necessary PowerShell modules. Run the following commands:

Eğer oluşan bu çıktıyı export etmek isterseniz, yine bir export ps1 calıstırmanız gerekmektedir.

# Install the Exchange Online PowerShell V2 module
Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser -Force

# Install the Microsoft 365 Compliance Center module
Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser -Force

# Import the modules
Import-Module ExchangeOnlineManagement
Import-Module Microsoft.Online.SharePoint.PowerShell

Step 2: Connect to Microsoft 365

After installing the modules, connect to your Microsoft 365 environment using the following commands:

# Connect to Exchange Online
$UserCredential = Get-Credential
Connect-ExchangeOnline -Credential $UserCredential

# Connect to Microsoft 365 Compliance Center
Connect-IPPSSession -Credential $UserCredential

Step 3: Query Admin Activities

To query Microsoft 365 admin activities, use the Search-UnifiedAuditLog cmdlet. This cmdlet allows you to search for administrative activities across various Microsoft 365 services and to export the query results to a CSV file, use the Export-Csv cmdlet:

Here is an example query:

# Gerekli parametreleri belirleyin
$StartDate = (Get-Date).AddDays(-30) # Son 30 günü sorgular
$EndDate = Get-Date
$RecordTypes = @(“ExchangeAdmin”, “AzureActiveDirectory”) # Yönetici aktiviteleri

# Her bir RecordType için Audit Log’u sorgulayın ve dışa aktarın
foreach ($RecordType in $RecordTypes) {
$AuditLogs = Search-UnifiedAuditLog -StartDate $StartDate -EndDate $EndDate -RecordType $RecordType -ResultSize 5000

# Sonuçları işleyerek DisplayName’i ekleyin ve dışa aktarın
$AuditLogs | Select-Object -Property CreationDate, UserIds, Operations, AuditData, DisplayName | Export-Csv -Path “C:\AdminActivities_$RecordType.csv” -NoTypeInformation
}

Conclusion

In this article, you learned how to export Microsoft 365 admin activities using PowerShell. By performing this task regularly, you can monitor admin activities and meet your security and compliance requirements.

For more customization or specific activities, refer to the documentation for the Search-UnifiedAuditLog cmdlet.

Microsoft Entra ID Microsoft Security

What is Break Glass User ? Why it’s Important!

Posted on May 22, 2024by Ali Koc

Günümüzde, kuruluşlar dijital verilerini korumak için çeşitli güvenlik önlemleri alıyorlar. Ancak, beklenmedik durumlarda, özellikle acil durumlarda, hızlı ve güvenli bir şekilde erişim sağlamak hayati önem taşır. İşte bu noktada “Break Glass User” kavramı devreye girer.

“Break Glass User” adından da anlaşılacağı gibi, bir tür “acil durum kullanıcısı” olarak düşünülebilir. Bu kullanıcı hesabı, normal koşullarda erişilemeyen ancak acil durumlarda erişime açılan bir hesaptır. Genellikle yüksek güvenlikli verilere veya sistemlere erişim sağlamak için kullanılır. Kısacası, yönetici erişiminin kaybedildiği veya mümkün olmadığı kritik durumlarda Microsoft Cloud ortamımıza yeniden erişim sağlamak için bir acil durum erişimi hesabı kullanabiliriz. Örnek senaryolar düşünüldüğünde;

Authentication serverın devre dışı kalması.
Yanlış kurgulanmış bir conditional access politikası.
Yönetici hesaplarının ele geçirilmesi.
Global Admin kullanıcısının işten ayrılması

Bu özel kullanıcı hesabı, normalde yüksek erişim engelleri ve güvenlik önlemleriyle korunur. Ancak, bir acil durumda, yetkili bir kişi veya ekip, “break glass” işlemi gerçekleştirerek bu hesaba erişim sağlayabilir. Bu işlem, genellikle güvenlik protokollerini dikkate alarak izlenir ve denetlenir.

Break Glass User kullanımı, özenle yönetilmelidir. Bu hesaba erişim yetkisi sadece gerektiğinde ve belirlenmiş prosedürler doğrultusunda verilmelidir. Ayrıca, erişim olayları izlenmeli ve denetlenmelidir, böylece güvenlik açıkları tespit edilebilir ve gerekli önlemler alınabilir.

Böyle bir hesap oluşturursanız, herhangi bir oturum açma bildirimini almak için bir uyarı kuralı ayarlamanız önemlidir.

Bu blog yazısı, bir break glass hesabının nasıl yapılandırılacağı ve oturum açıldığında nasıl uyarı verileceği konusunda bilgi içermektedir.

Creating the break glass account

İlk olarak, Microsoft Entra admin center giriş yaparak Users>Create New User seçeneğiyle kullanıcımızı oluşturuyoruz.

Önemli: Burada şuna dikkat etmeliyiz. Oluşturduğumuz kullanıcının bir Break Glass User olduğunu belirticek principal name kullanmamalıyız. Çünkü MFA politikalarından exclude olacak olan bu kullanıcı tahmin edilemez bir kullanıcı olması önemlidir. Aynı şekilde parolası da minimum 15 karakter olmalı ve tahmin edilemez komplekslikte olmalıdır.

Daha sonra rol atamasını gerçekleştiriyoruz

Daha sonra oluşan bu kullanıcıyı Conditional Access politikalarından Exclude ediyoruz.

Şimdi, bu kimlik bilgilerini fiziksel kasa gibi güvenli bir yerde saklanması gerekmektedir ve oturum açma işlemini periyodik olarak test etmeyi planlamanız gerekir. Örneğin ayda 1 defa erişiminizde sorun var mı kontrol edin.

Creating and configuring the alert on sign in

Break Glass User bizler için çok değerli ve zamansız login olunmasını istemeyiz. Bunu izlemek için iki farklı alert mekanizması planlayabiliriz.

1- Log analytics Workplace ile bir Alert Rule oluşturarak.

İlk olarak Microsoft Azure admin portal giriş yapıyoruz.

Daha sonra bu alert rule için ilk olarak bir Resource Group’a ihtiyacımız var.

Subscription > Resource Group > Create bölümünden RG’yi oluşturuyoruz.

Daha sonra Azure Portal Arama bölümüne “Log Analytics Workspace” yazıyoruz ve giriş yapıyoruz.

Create Diyerek, yeni bir Workspace oluşturuyoruz

Workspace oluştuktan sonra aşağıdaki gibi bir ekranla karşılaşıyor olacağız.

Sol panelden aşağıya kaydırdığımızda Monitoring>Alerts bölümüne giriş yapıyoruz.

Açılan ekranda Create > Alert Rule seçeneğini seçiyoruz.

Açılan ekranda signal name olarak “Custom Log Search” seçeneğini seçiyoruz.

Daha sonra bizden bir Query girmemizi istiyor olacak. Oraya aşağıdaki query’i giriyoruz.

// Search for a single Object ID (UserID)
SigninLogs
| project UserId
| where UserId == “4ea60096-e348-491b-93c3-e755ddd0bc59”

User ID bilgisine Entra ID > Users>Owerview ekranından ulaşabilirsiniz.

Daha sonra ilgili ayarları sağladıktan sonra ileri diyoruz.

Açılan ekranda bir “Action Group” oluşturmamızı beklemektedir. Alert tetiklendiğinde burada oluşturulan gruptaki kişilere bilgilendirme yapılacaktır.

Bir sonraki adımda “Details” kısmında gelen mailin içeriğini ve önem seviyesini belirliyoruz.

Sonra olarak ileri diyerek kuralı tamamlıyoruz.

Not:ilgili kuralın ortalama aylık 1.5$ Civarı bir maliyeti vardır.

Kural oluşturulduktan sonra test işlemimizi sağlamak için break glass user’ımıza giriş yapıyoruz ve alert’in tetiklenmesini sağlıyoruz.

Erişim sonrası dakikalar içinde aşağıdaki gibi bir uyarı almayı bekliyoruz.

2. Activity Alerts

Alert mekanizması için bir diğer yöntem ise e-mail activity Rule yeteneği ile bir kural oluşturulması.

İlk olarak security.microsoft.com adresine giriş yapıyoruz.

Sol panelde bulunan “E-mail and Collaboration” tab’ı altında Policies and Rules seçeğine tıklıyoruz.

Açılan ekranda “Activity Alerts” seçeneğine tıklıyoruz.

Açılan ekranda “New Alert Policy” diyerek kuralı oluşturuyoruz.

Aşağıdaki ayarları yapıyoruz.

“Save” diyerek kuralı tamamlıyoruz.

Bu kural ile bu kullanıcı login olma işlemi sağladığı durumda bizlere aşağıdaki gibi bir alert gelecektir.

Conculusion

Break Glass User, acil durum erişimi sağlamak için önemli bir güvenlik stratejisidir. Doğru şekilde uygulandığında, kuruluşlar beklenmedik olaylara hızlı ve etkili bir şekilde yanıt verebilirler. Ancak, bu hesapların kullanımı ve erişimi sıkı bir şekilde kontrol edilmeli ve izlenmelidir, böylece güvenlik riskleri minimize edilir. Bir sonraki makalede görüşmek üzere.