Microsoft Security Portal ‘a girdiğimizde sol menüde bir çok kaynak ile karşılaşmaktayız. Bu menüde bulunan ve Microsoft Defender for Office 365 menüsünü barındıran E-mail & Collaboration başlığı bulunmakta.
E-mail & Collaboration başlığı altında M365 uygulamalarında gerçek zamanlı olarak izlememizi, yönetmemizi ve takip etmemizi sağlayan alt menülerle karşılaşmaktayız. Bugün alt menülerden biri olan Explorer menüsünü inceleyeceğiz.
Threat Explorer Yetki Gereksinimleri
Threat Explorer ekranına ulaşabilmek ve işlem gerçekleştirebilmek için aşağıdaki rollerden birine ihtiyaç duymaktasınız.
- Global Administrator
- Organization Management
- Security Administrator
- Security Reader (Sadece görüntüleme yetkisi içerir)
Threat Explorer
Güvenlik Operasyonları ekiplerinin Microsoft Defender portalındaki tehditleri araştırmasına ve bunlara yanıt vermesine yardımcı olan güçlü, gerçek zamanlı bir araçtır. Explorer (ve gerçek zamanlı algılama raporu), e-postalarda ve Office 365’teki dosyalardaki şüpheli kötü amaçlı yazılım ve kimlik avı hakkındaki bilgilerin yanı sıra kuruluşunuza yönelik diğer güvenlik tehditleri ve riskleri hakkında bilgileri görüntüler. Tüm trafiği görebildiğiniz tehditleri izleyebildiğiniz Gerçekleşmiş olan tehditlerin detaylı incelenebildiği alanlara yönlendiren bir mekanizmaya sahiptir. Bununla birlikte, son kullanıcılar bu tehditler özelinde yapmış oldukları davranışları izlemenizi de sağlamaktadır.
Explorer’ı ilk açtığınızda, varsayılan görünüm son 7 güne ait e-postadaki kötü amaçlı yazılım algılamalarını gösterir. Bu rapor aynı zamanda Güvenli Bağlantılar tarafından algılanan kötü amaçlı URL’ler ve Güvenli Ekler tarafından algılanan kötü amaçlı dosyalar gibi Office 365 için Microsoft Defender algılamalarını da gösterebilir . Bu rapor, son 30 güne ait verileri gösterecek şekilde değiştirilebilir (Office 365 P2 için Microsoft Defender ücretli aboneliğiyle). Deneme abonelikleri yalnızca son yedi güne ait verileri içerecektir.
Explorer menüsünde ana ekrana baktığımızda, All email başlığı altında, tüm tehdit içeren (Malware,Phishing…..) mailleri görüntülemekteyiz. Bu görünüm, kimlik avı veya kötü amaçlı yazılım nedeniyle kötü amaçlı olarak tanımlanan e-postaların yanı sıra normal e-posta, spam ve toplu posta gibi kötü amaçlı olmayan diğer tüm e-postaları gösterir. Burada saat bazlı olarak görüntülediğimiz grafik ile gelen mailler üzerinden alınan aksiyonları da görüntüleyebiliriz.
Ayıca alt menüde bulunan maillere tıkladığınızda o mail ile ilgili tüm detaylara ulaşabileceğiniz bir ekran sizlerle paylaşılmaktadır. Bu ekranda bulunan Open email Entity ekranına giderek detaylı inceleme yapabilir, Take action menüsünden gelen tehdit hakkında aksiyon alabilirsiniz.
En çok Hedeflenen Kullanıcılar
Gerçekleşen saldırılarda, en çok hedef alınan kullanıcıları görebilir ve bu doğrultuda aksiyonlar alabilirsiniz.
Ayrıca, Hedeflenen kullanıcıların listesini, 3.000 sınırına kadar dışa aktarabileceksiniz. Attempts seçeneğini seçtiğinizde (örneğin, aşağıdaki resimde 13 attempts), Threat Explorer’nde filtrelenmiş bir görünüm açılacaktır; böylece söz konusu kullanıcıya yönelik e-postalar ve tehditler arasında daha fazla ayrıntı görebilirsiniz.
URL Click ve Dışarı Aktarma
Tehdit olarak iletilmiş olan URL’lere tıklanma raporlarını görüntüleyebilir ve dışarı aktarabilirsiniz.
Filter menüsünden , detaylı olarak arama yapabilir ve ilgili mail ile çalışma yapılabilir.
Üst menüde bulunan diğer başlıkları incelediğimizde, ilk ekranda gördüğümüz tüm mailleri kapsayan spesifik olarak sınıflandırdığımız alanları görüntülüyor olacağız.
Malware, Phish, Campaigns , Content Malware ve URL Clicks menülerinde tüm detayları ve tehditleri farklı sınıflarda inceleyebildiğimiz alanlara mevcuttur.
Alt menüde detaylarını gördüğümüz maillerin Threat Type , delivery location gibi detaylarına ulaşabilir, ayrıca subject menüsünden mail detaylarına tıklayarak detaylı analiz yapılabilir.
Phish menüsü altında, phishing olarak algılanan mailleri ve detaylarını inceleyebiliriz.
Campaigns menüsü altında, maruz kalınan olan malware ve detaylı çalışma analizine erişebilirsiniz.
Content Malware ekranı altında , Microsoft Defender for Office 365 tarafından kötü amaçlı olarak tanınan dosyasları görüntülemekteyiz.
URL Clicks ekranından, son kullanıcıların maruz kaldığı ataklarda almış oldukları aksiyonu görüntüleyebiliriz.
Son kullanıcılar tarafından bizlere bildirilen emailları Threat Explorer başlığı altından inceleyebiliriz.
Tüm bu detayları göz önüne aldığımızda;
Microsoft Defender for Office 365 Threat Explorer ekranı bizlere Gerçek Zamanlı algılamalar, güvenlik operasyonları ekibinizin tehditleri verimli bir şekilde araştırmasına ve bunlara yanıt vermesine yardımcı olmaktadır. Hem zamandan hem de efordan tasarruf etmesini sağlayan ve detaylı analizleri yaparak kurum güvenliğinin sağlanmasını hedeflemektedir.