Office 365 ATP ve Automated Incident Response Nedir?
Office 365 Advanced Threat Protection (ATP – Gelişmiş Tehdit Koruması), Microsoft Intelligent Security Graph’ten gelen sayısız sinyalden faydalanarak ve yapay zeka ile makine öğrenmesi (machine learning) teknolojilerinden de güç alarak tehditleri önleme, tespit etme ve savuşturma konularında önemli bir rol üstlenir. Özellikle email ve benzeri birlikte/ortak çalışma alanlarına yönelik yapılan ataklara karşı kişileri ve organizasyonları proaktif bir şekilde korumaya yönelik gelişmiş özelliklerle donatılan ATP, bu bağlamda güvenlik ekiplerinin bir nevi sağ kolu konumundadır. ATP’ye getirileceği 2019’un başlarında duyurulan “automation” özellikleri de sonunda genel önizleme modundan çıktı ve kararlı halleriyle kullanıma açıldı. Automated Incident Response (AIR), genel olarak tehditleri, otomatik inceleme/analiz süreçlerinin tetiklenmesiyle en doğru ve etkili şekilde karşılamayı amaçlıyor.
Çalışma hayatında başarının en kritik belirleyicilerden biri zamanı verimli kullanmaktır. Konuya güvenlik ekiplerinin perspektifinden bakarsak, gün içinde gelen saldırılara ve alarmlara yönelik takip ettikleri iş akışı gerçekten karmaşıklaşabilir ve zaman yönetimi zorlaşabilir. Söz konusu iş akışı, gelen her saldırı ve alarm sonrası analiz, araştırma, yerine göre “false-positive” kontrolü, etkiyi ölçme, tehdidi ortadan kaldırmak için gerekli aksiyonları alma, ilgili birimleri veya kişileri bilgilendirme, aynı tehdidin tekrar oluşmaması için gerekli tedbirleri alma gibi birçok işlemden oluşur. Saldırıların ve alarmların sayısına, zamanına ve etkisine göre, her biri için bu işlemleri verimli şekilde takip etmek hem zaman hem iş gücü/bütçe açısından pahalıya mal olabileceği gibi, bir noktada teknik olarak imkansız hale de gelebilir. Automated Incident Response ile birlikte, günlük rutin dahilinde farklı tehditlere ve saldırılara göre takip edilen manuel iş akışı modelleniyor ve güvenlik ekiplerinin son müdahalesinden önce otomatik aksiyonlar alınmış oluyor. AIR, saldırıların hızlı ve efektif şekilde ortadan kaldırılması, güvenlik ekiplerinin işlerinin daha verimli hale getirilip nispeten kolaylaştırılması gibi avantajlarının yanı sıra bütçe ve kaynak tasarrufu da sağlıyor.
Automated Incident Response Genel Akışı
Automated Incident Response’un genel olarak iş akışı aşağıdaki gibidir:
- Bir alarmı tetikleyen bir durum oluştuğunda, ilgili “security playbook” devreye girer. (Security playbooks, gerçek güvenlik tehditlerinden ve saldırılarından yola çıkarak hazırlanan ve otomatik incelemeleri tetikleyen arka plan policy’leridir.)
- Alarma ve security playbook’a göre otomatik inceleme işlemleri başlar veya manuel başlatılması beklenir.
- İnceleme işlemleri devam ederken yeni alarmlara göre kapsam genişleyebilir.
- İnceleme esnasında ve sonrasında, detaylar ve sonuçlar takip edilebilir durumdadır. Sonuçlar, önerilen aksiyonlara dair detayları da içerir. Bunlara ek olarak, security playbook’un log’ları da incelebilir ve hatta kullanılan 3. parti çözümler ve/veya SIEM araçları varsa, detaylar oraya da yönlendirilebilir.
- Yetkilendirilmiş güvenlik ekibi sonuçları ve önerileri inceler, ilgili aksiyonların alınması için sisteme onay veya ret verir.
Yeni Otomatizasyon Kategorileri
AIR ile kullanıma açılan yeni “automation” kategorilerini, otomatik tetiklenenler ve manuel tetiklenenler olarak ayırabiliriz.
1- Alarmlar ile tetiklenen otomatik incelemeler:
Aşağıdaki senaryolar ve etkenler için geliştirilen alarmlar ve playbook’lar ile birlikte incelemeler otomatik olarak başlar:
- Kullanıcıların Outlook veya OWA üzerinden Report message eklentisini kullanarak raporladığı phishing email’ler.
- Kullanıcıların tıkladığı ve Office 365 ATP Safe Links korumasının tespit ettiği zararlı bağlantılar.
- Email’in teslimi sonrası tespit edilen zararlılar (Malware Zero-Hour Auto Purge (ZAP)).
- Email’in teslimi sonrası tespit edilen phishing girişimleri (Phish ZAP).
2- Otomatik playbook’un akışını takiben manuel olarak tetiklenen incelemeler:
Güvenlik ekipleri, Office 365 Security & Compliance Center‘daki Threat Explorer üzerinden herhangi bir email veya içerik için otomatik incelemeleri tetikleyebilir.
Alarmlar (Alerts) ve Otomatik İncelemeler (Automated Investigations)
Alarmlar (Alerts)
Alarmlar, güvenlik ile ilgili işlemlerin akışları için tetikleyici görevi görür. Alarmları ve alarmlara konu olan tetikleyicileri doğru analiz edip yorumlamak ve doğru şekilde önceliklendirerek aksiyon almak, bu bağlamda kritik önem taşır. “Security & Compliance Center”da Alert > View Alerts menülerinde ilerleyerek bu alarmlara ulaşabilirsiniz. Seçtiğiniz alarmın detaylarında “resolve”, “suppress”, “notify users” aksiyonlarını alabileceğiniz gibi, View Investigation bağlantısıyla ilerleyerek otomatik inceleme detaylarını da görebilirsiniz.
- Resolve: Alarmın kapatılmasını sağlar. Bu seçeneğin sadece gerekli aksiyonlar alındıktan ve tehdit ortadan kalktıktan sonra tercih edilmesinde fayda var.
- Suppress: Belli bir süreliğine söz konusu alarmların tetiklenmesinin önüne geçmek için kullanılır.
- Notify users: İlgili kişilere ve tercihen güvenlik birimlerine hitaben, alarma dair düzenlenebilir bir şablon da içeren yeni bir email oluşturma ekranı açar.
Otomatik İncelemeler (Automated Investigations)
Automated Investigations sayfası (Security & Compliance Center > Threat Management > Investigations), organizasyon dahilindeki otomatik incelemelerin listesini ve detaylarını gösterir. Investigation ID ile bir incelemenin detaylarına gidebilir, sonuçlara çeşitli filtreler uygulayabilir ve verileri bir CSV dosyasına aktarabilirsiniz.
Investigation ID’yi takip ederek bir incelemenin detaylarına gittiğinizde Investigation Graph sayfasını görürsünüz. Bu sayfada, ilgili incelemenin detayları ve özeti, görsel ipuçlarıyla desteklenerek sunulur.
Investigation Graph sayfasındaki sekmeler; ilgili incelemenin parçası olarak kabul edilen alarmlar, email’ler, kişiler, kullanıcılar ve makinelerle ilgili detayları verir. En sondaki Actions sekmesi ise, inceleme sonrası önerilen playbook aksiyonlarını listeleyen sayfaya yönlendirir. Bu ekranda, playbook’un önerdiği aksiyonları gözden geçirebilir, bunlardan birini veya birkaçını onaylayarak arka planda işlenmesini sağlayabilir, istediklerinizi reddedebilir, görünümü filtreleyebilir ve hatta sonuçları bir CSV dosyasına aktarabilirsiniz.
AIR’i Kullanmaya Başlamak
Office 365 AIR aşağıdaki aboneliklerle birlikte sunulur:
- Microsoft 365 Enterprise E5
- Office 365 Enterprise E5
- Microsoft Threat Protection
- Office 365 Advanced Threat Protection Plan 2
Bu yazıda bahsettiğim yönetimsel aksiyonları alabilmek için Global Administrator veya Security Administrator rollerine; ağırlıklı olarak monitör etme ve görüntülemeye dair işlemleri yapabilmek için ise Security Operator veya Security Reader rollerine ihtiyaç duyulur. Organizasyonda SIEM benzeri üçüncü parti veya özel güvenlik ve raporlama araçları kullanılıyorsa, Office 365 Management API ile entegrasyonlar da yapılabilir. Microsoft tarafında söz konusu automation’ların ve playbook’ların aktif olarak çeşitlendirileceği ve güncelleştirileceği düşünüldüğünde, güvenlik ekiplerinde görev dağılımı ve yetkilendirme de doğru şekilde yapıldığında, AIR ile birlikte verimliliğin ve etkinliğin ciddi anlamda artabileceğini gönül rahatlığıyla söyleyebiliriz.
Keyifli, güvenli çalışmalar!
Ayrıca Bakınız
- “Report Message Add-In” ile Şüpheli Email’lerin Bildirilmesi ve Yönetimi
- Office 365 Advanced Threat Protection
- Office 365 Management APIs overview
Harika bir yazı olmuş elinize sağlık!