CategoriesDefenderMicrosoft Security

Phishing Simulation Çalışmaları için M365 Defender ‘da Bypass İşlemleri

Kurumlara yönelik e-posta veya sms ile gerçekleştirilen ve hedef kitlenin siber güvenlik farkındalığını test eden simülasyon çalışmalarını Phishing Simulation olarak adlandırıyoruz.  Saldırganlar saldırılarda kullandığı içerikleri simule edebildiğimiz bu platformlar sayesinde çalışanların farkındalık seviyelerini ölçebilir, ölçeklendirebilir ve eğitimlerle güçlendirebiliriz.

Microsoft bu testleri sağlamak için Defender for office 365 bünyesinde “Phishing Simulation Training” modülünü kullanmaktadır. Oluşturulan payload’lar sayesinde bu testler gerçekleştirilebilir ve sonuçlar raporlanabilir.

Ancak üçüncü parti bir Phishing Simulation ürünü kullanılmak istendiğinde Microsoft Defender for Office 365 ve içerisinde bulunan Threat Protection politikaları aktif olduğu için gelecek olan simulation maillerini algılayarak bunları engelleyecektir. Bu sebeple bir “Allowlist” oluşturarak Simulation Testi’nin başarıyla gerçekleşmesi için Advanced Delivery Policy oluşturulmalıdır.

Aşağıdaki adımları izleyerek politikayı güncelleyebilirsiniz.

Aşağıdaki bağlantıdan Microsoft 365 Defender’da oturum açarak Advanced Delivery sayfasına ulaşabilirsiniz; https://security.microsoft.com/advanceddelivery?viewid=PhishingSimulation

Note: Link üzerinden erişemezseniz bu adımlarla Advanced Delivery ekranına erişebilirsiniz.  https://security.microsoft.com/ and clicking through Email & Collaboration > Policies & Rules > Threat Policies > Advanced Delivery > Phishing Simulation

2. Edit icon. Edit seçeneğini tıklayarak ekleme yapabilir veya düzenleyebilirsiniz. Daha önce bir konfigurasyon yapılmadıysa orada Add seçeneğini görüyor olacaksınız.

Edit ekranında açılan sayfada yukarıda gördüğünüz gibi Domain / Sending IP / Allowed Simulation URLs ekranını görüntülüyor olacaksınız. Aşağıda belirtilmiş olan formatlarda Phishing Simulation sağlayıcısı olan üçüncü parti firmanın bilgilerini girmeniz gerekmektedir.

  • Sending Domain: 

simulation.aliteknoloji.com

outbound.aliteknoloji.com

  • Sending IP: 

2.146.21.123
10.202.24.211

  • Simulation URLs to allow: 

authwebmail.com/*
*.authwebmail.com/*
aliteknoloji.com/*
*.aliteknoloji.com/*

Tüm girişler yapıldıktan sonra “save” diyerek sonuçlandırabiliriz.

Bu işlem sonrasında, bu IP adresinden ve Domainden gelen mailler filtrelere takılmayarak kullanıcıya ulaşacaktır. Ayrıca Phishing Simulation içerisinde yer alan oltalama linkleri “Safe Links” politikasına takılmadan son kullanıcının kontrolünde olacaktır. Simulation çalışmaları sonrası buradan ilgili domain ve ip addressleri silinebilir.

Not: Listesinin etkili olması bir saat kadar sürebilmektedir

Language »