İlginizi Çekebilir
  1. Ana Sayfa
  2. Microsoft Office 365
  3. Office 365 ATP – Automated Incident Response (AIR) Artık Kullanımda

Office 365 ATP – Automated Incident Response (AIR) Artık Kullanımda

091619_1159_Office365AT1.png
SAFİR

Office 365 ve (AIR) Nedir?

Office 365 (ATP – Gelişmiş Tehdit Koruması), Microsoft Intelligent Graph’ten gelen sayısız sinyalden faydalanarak ve yapay zeka ile makine öğrenmesi (machine learning) teknolojilerinden de güç alarak tehditleri önleme, tespit etme ve savuşturma konularında önemli bir rol üstlenir. Özellikle email ve benzeri birlikte/ortak çalışma alanlarına yönelik yapılan ataklara karşı kişileri ve organizasyonları proaktif bir şekilde korumaya yönelik gelişmiş özelliklerle donatılan ATP, bu bağlamda güvenlik ekiplerinin bir nevi sağ kolu konumundadır. ATP’ye getirileceği 2019’un başlarında duyurulan “automation” özellikleri de sonunda genel önizleme modundan çıktı ve kararlı halleriyle kullanıma açıldı. Automated Incident Response (AIR), genel olarak tehditleri, otomatik inceleme/analiz süreçlerinin tetiklenmesiyle en doğru ve etkili şekilde karşılamayı amaçlıyor.

Çalışma hayatında başarının en kritik belirleyicilerden biri zamanı verimli kullanmaktır. Konuya güvenlik ekiplerinin perspektifinden bakarsak, gün içinde gelen saldırılara ve alarmlara yönelik takip ettikleri iş akışı gerçekten karmaşıklaşabilir ve zaman yönetimi zorlaşabilir. Söz konusu iş akışı, gelen her saldırı ve alarm sonrası analiz, araştırma, yerine göre “false-positive” kontrolü, etkiyi ölçme, tehdidi ortadan kaldırmak için gerekli aksiyonları alma, ilgili birimleri veya kişileri bilgilendirme, aynı tehdidin tekrar oluşmaması için gerekli tedbirleri alma gibi birçok işlemden oluşur. Saldırıların ve alarmların sayısına, zamanına ve etkisine göre, her biri için bu işlemleri verimli şekilde takip etmek hem zaman hem iş gücü/bütçe açısından pahalıya mal olabileceği gibi, bir noktada teknik olarak imkansız hale de gelebilir. Automated Incident Response ile birlikte, günlük rutin dahilinde farklı tehditlere ve saldırılara göre takip edilen manuel iş akışı modelleniyor ve güvenlik ekiplerinin son müdahalesinden önce otomatik aksiyonlar alınmış oluyor. AIR, saldırıların hızlı ve efektif şekilde ortadan kaldırılması, güvenlik ekiplerinin işlerinin daha verimli hale getirilip nispeten kolaylaştırılması gibi avantajlarının yanı sıra bütçe ve kaynak tasarrufu da sağlıyor.

AIR’in Genel Akışı

Automated Incident Response’un genel olarak iş akışı aşağıdaki gibidir:

1- Bir alarmı tetikleyen bir durum oluştuğunda, ilgili “security playbook” devreye girer. Security playbooks, gerçek güvenlik tehditlerinden ve saldırılarından yola çıkarak hazırlanan ve otomatik incelemeleri tetikleyen arka plan policy’leridir.
2- Alarma ve security playbook’a göre otomatik inceleme işlemleri başlar veya manuel başlatılması beklenir.
3- İnceleme işlemleri devam ederken yeni alarmlara göre kapsam genişleyebilir.
4- İnceleme esnasında ve sonrasında, detaylar ve sonuçlar takip edilebilir durumdadır. Sonuçlar, önerilen aksiyonlara dair detayları da içerir. Bunlara ek olarak, security playbook’un log’ları da incelebilir ve hatta kullanılan 3. parti çözümler ve/veya araçları varsa, detaylar oraya da yönlendirilebilir.
5- Yetkilendirilmiş güvenlik ekibi sonuçları ve önerileri inceler, ilgili aksiyonların alınması için sisteme onay veya ret verir.

Yeni Otomatizasyon Kategorileri

AIR ile kullanıma açılan yeni “automation” kategorilerini, otomatik tetiklenenler ve manuel tetiklenenler olarak ayırabiliriz.

1- Alarmlar ile tetiklenen otomatik incelemeler: Aşağıdaki senaryolar ve etkenler için geliştirilen alarmlar ve playbook’lar ile birlikte incelemeler otomatik olarak başlar:

  • Kullanıcıların Outlook veya OWA üzerinden Report message eklentisini kullanarak raporladığı phishing email’ler.


Resim-1

  • Kullanıcıların tıkladığı ve Safe Links korumasının tespit ettiği zararlı bağlantılar.
  • Email’in teslimi sonrası tespit edilen zararlılar (Malware Zero-Hour Auto Purge (ZAP)).
  • Email’in teslimi sonrası tespit edilen phishing girişimleri (Phish ZAP).

2- Otomatik playbook’un akışını takiben manuel olarak tetiklenen incelemeler: Güvenlik ekipleri, Office 365 Security & Compliance Center‘daki Threat Explorer üzerinden herhangi bir email veya içerik için otomatik incelemeleri tetikleyebilir.


Resim-2

Alarmlar (Alerts) ve Otomatik İncelemeler (Automated Investigations)

Alarmlar, güvenlik ile ilgili işlemlerin akışları için tetikleyici görevi görür. Alarmları ve alarmlara konu olan tetikleyicileri doğru analiz edip yorumlamak ve doğru şekilde önceliklendirerek aksiyon almak, bu bağlamda kritik önem taşır. “Security & Compliance Center”da Alert > View Alerts menülerinde ilerleyerek bu alarmlara ulaşabilirsiniz. Seçtiğiniz alarmın detaylarında Resolve, Suppress, Notify users aksiyonlarını alabileceğiniz gibi, View Investigation bağlantısıyla ilerleyerek otomatik inceleme detaylarını da görebilirsiniz.

  • Resolve: Alarmın kapatılmasını sağlar. Bu seçeneğin sadece gerekli aksiyonlar alındıktan ve tehdit ortadan kalktıktan sonra tercih edilmesinde fayda var.
  • Suppress: Belli bir süreliğine söz konusu alarmların tetiklenmesinin önüne geçmek için kullanılır.
  • Notify users: İlgili kişilere ve tercihen güvenlik birimlerine hitaben, alarma dair düzenlenebilir bir şablon da içeren yeni bir email oluşturma ekranı açar.


Resim-3

Automated Investigations sayfası (Security & Compliance Center > > Investigations), organizasyon dahilindeki otomatik incelemelerin listesini ve detaylarını gösterir. Investigation ID ile bir incelemenin detaylarına gidebilir, sonuçlara çeşitli filtreler uygulayabilir ve verileri bir CSV dosyasına aktarabilirsiniz.


Resim-4

Investigation ID’yi takip ederek bir incelemenin detaylarına gittiğinizde sayfasını görürsünüz. Bu sayfada, ilgili incelemenin detayları ve özeti, görsel ipuçlarıyla desteklenerek sunulur.


Resim-5

Investigation Graph sayfasındaki sekmeler; ilgili incelemenin parçası olarak kabul edilen alarmlar, email’ler, kişiler, kullanıcılar ve makinelerle ilgili detayları verir. En sondaki Actions sekmesi ise, inceleme sonrası önerilen playbook aksiyonlarını listeleyen sayfaya yönlendirir. Bu ekranda, playbook’un önerdiği aksiyonları gözden geçirebilir, bunlardan birini veya birkaçını onaylayarak arka planda işlenmesini sağlayabilir, istediklerinizi reddedebilir, görünümü filtreleyebilir ve hatta sonuçları bir CSV dosyasına aktarabilirsiniz.


Resim-6

AIR’i Kullanmaya Başlamak

aşağıdaki aboneliklerle birlikte sunulur:

  • Enterprise E5
  • Office 365 Enterprise E5
  • Microsoft Threat Protection
  • Office 365 Advanced Threat Protection Plan 2

Bu yazıda bahsettiğim yönetimsel aksiyonları alabilmek için Global Administrator veya Security Administrator rollerine, ağırlıklı olarak monitör etme ve görüntülemeye dair işlemleri yapabilmek için ise Security Operator veya Security Reader rollerine ihtiyaç duyulur. Organizasyonda SIEM benzeri üçüncü parti veya özel güvenlik ve raporlama araçları kullanılıyorsa, Office 365 Management API ile entegrasyonlar da yapılabilir. Microsoft tarafında söz konusu automation’ların ve playbook’ların aktif olarak çeşitlendirileceği ve güncelleştirileceği düşünüldüğünde, güvenlik ekiplerinde görev dağılımı ve yetkilendirme de doğru şekilde yapıldığında, AIR ile birlikte verimliliğin ve etkinliğin ciddi anlamda artabileceğini gönül rahatlığıyla söyleyebiliriz.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar
www.mshowto.org
https://www.microsoft.com/security/blog/2019/09/09/automated-incident-response-office-365-atp-now-generally-available/
https://docs.microsoft.com/en-us/office365/securitycompliance/automated-investigation-response-office

TAGs: Automated Incident Response, AIR, Advanced Threat Protection, ATP, , Microsoft 365, Office 365, Office 365 ATP, Office 365 AIR, security, phishing, Microsoft Intelligent Security Graph, automated investigation, security playbook, threat management, report message, Investigation Graph, SIEM

Yorum Yap

Yazar Hakkında

Burak Varol, İstanbul'da doğup büyümüş ve tüm eğitim hayatına aynı şehirde devam etmiştir. Bilişim sektöründeki profesyonel kariyeri boyunca Metis, Microsoft Türkiye, PeakUp gibi önemli organizasyonlarda, teknik destek mühendisliği, bilişim danışmanlığı, forum ve içerik moderatörlüğü, mentorluk, ekip liderliği gibi farklı görevlerde başarıyla bulunmuştur. Çoğunluğu mesajlaşma hizmetlerine yönelik olmak üzere farklı Microsoft ürün ve hizmetlerini konu alan pek çok projede aktif rol almıştır. Çalışma hayatına, 10'dan fazla ülkede faaliyet gösteren Coca-Cola İçecek'te (CCI), Kıdemli Bulut Danışmanı olarak devam etmektedir. Genel olarak tüm Microsoft teknolojileriyle ilgilenmekle birlikte, asıl uzmanlık alanı bulut teknolojileri ve Microsoft Office 365 evrenidir ve "MCSA: Office 365" gibi birçok sertifikaya sahiptir.

Yorum Yap