Aracılığıyla paylaş

Kimlik avı araştırması

  • Makale

Bu makalede, kuruluşunuzdaki kimlik avı saldırılarını tanımlama ve araştırma konusunda rehberlik sağlanır. Adım adım yönergeler, bilgileri korumak ve diğer riskleri en aza indirmek için gerekli düzeltme eylemini gerçekleştirmenize yardımcı olur.

Bu makale aşağıdaki bölümleri içerir:

  • Önkoşullar: Araştırmaya başlamadan önce tamamlamanız gereken belirli gereksinimleri kapsar. Örneğin, açık olması gereken günlüğe kaydetme, diğer roller ve izinler de gereklidir.
  • İş Akışı: Bu araştırmayı gerçekleştirmek için izlemeniz gereken mantıksal akışı gösterir.
  • Denetim Listesi: Akış grafiğindeki adımların her biri için bir görev listesi içerir. Bu denetim listesi, tamamlanmış öğeleri doğrulamak için yüksek düzeyde düzenlenmiş ortamlarda veya kendiniz için bir kalite kapısı olarak yararlı olabilir.
  • Araştırma adımları: Bu araştırma için ayrıntılı bir adım adım kılavuz içerir.

Önkoşullar

Kimlik avı araştırmasıyla devam etmeden önce tamamlamanız gereken genel ayarlar ve yapılandırmalar aşağıdadır.

Hesap ayrıntıları

Araştırmaya devam etmeden önce, ele geçirildiğinden şüphelendiğiniz hesabın kullanıcı adına, kullanıcı asıl adına (UPN) veya e-posta adresine sahip olmanız gerekir.

Microsoft 365 temel gereksinimleri

Denetim ayarlarını doğrulama

Exchange Online PowerShell'de aşağıdaki komutu çalıştırarak posta kutusu denetiminin varsayılan olarak açık olduğunu doğrulayın:

Get-OrganizationConfig | Format-List AuditDisabled

False değeri, tek tek posta kutularındaki AuditEnabled özelliğinin değerinden bağımsız olarak kuruluştaki tüm posta kutuları için posta kutusu denetiminin etkinleştirildiğini gösterir. Daha fazla bilgi için, Varsayılan olarak posta kutusu denetimi açık mı kontrol et başlıklı makaleye bakın.

İleti izleme

İleti izleme günlükleri, iletinin özgün kaynağını ve hedeflenen alıcıları bulmaya yardımcı olan değerli bileşenlerdir. Exchange yönetim merkezi (EAC) veya Exchange Online PowerShell'deki Get-MessageTrace cmdlet'i aracılığıyla ileti izleme işlevini kullanabilirsiniz.

Not

İleti izleme, Microsoft Defender portalında https://security.microsoft.com E-posta ve işbirliği> bölümünde de kullanılabilir, ancak bu yalnızca EAC'deki ileti izlemenin geçiş bağlantısıdır.

İleti izleme işlevinin çeşitli bileşenleri açıklayıcıdır, ancak İleti Kimliği bir e-posta iletisi için benzersiz bir tanımlayıcıdır ve kapsamlı bir anlayış gerektirir. İlgilendiğiniz bir e-postanın İleti Kimliğini almak için ham e-posta üst bilgilerini incelemeniz gerekir.

Microsoft 365 kuruluşunuzdaki kullanıcı ve yöneticinin tüm etkinliklerini görüntülemek için birleşik denetim günlüğünde arama yapın.

Oturum açma günlükleri ve/veya denetim günlükleri bir dış sisteme aktarılıyor mu?

Microsoft Entra Kimliği oturum açma ve denetim verilerinin çoğu 30 veya 90 gün sonra üzerine yazılacağından, Microsoft Sentinel, Azure İzleyici veya bir dış güvenlik bilgileri ve olay yönetimi (SIEM) sistemi kullanmanızı öneririz.

Roller ve gerekli izinler

Microsoft Entra Id'deki izinler

Araştırmayı yapan hesabın en azından bir güvenlik okuyucusu olmasını öneririz.

Microsoft 365'teki izinler

Microsoft Defender portalındaki veya Microsoft Purview uyumluluk portalı Güvenlik Okuyucusu rolü, ilgili günlüklerde arama yapmak için size yeterli izinler vermelidir.

Kullanılacak rol hakkında emin değilseniz, bkz . Herhangi bir Exchange cmdlet'ini çalıştırmak için gereken izinleri bulma.

Microsoft Endpoint için Defender

Uç Nokta için Microsoft Defender (MDE) kullanıyorsanız bu akışı kullanmanız gerekir. Daha fazla bilgi için bkz: Sinyal paylaşımı ve makine öğrenmesi ile kimlik avıyla mücadele etme.

Sistem gereksinimleri

Donanım gereksinimleri

Sistem PowerShell'i çalıştırabilmelidir.

Yazılım gereksinimleri

Bulut ortamını araştırmak için aşağıdaki PowerShell modülleri gereklidir:

İş Akışı

Kimlik avı araştırması iş akışının akış şeması.

Aşağıdakileri de yapabilirsiniz:

  • Kimlik avı ve diğer olay yanıtı playbook iş akışlarını PDF olarak indirin.
  • Kimlik avı ve diğer olaylara yanıt vermek için hazırlanan çalışma kitapçığı iş akışlarını bir Visio dosyası olarak indirin.

Denetim listesi

Bu denetim listesi, araştırma sürecinizi değerlendirmenize ve araştırma sırasında adımların tamamlandığını doğrulamanıza yardımcı olur:

   
İlk kimlik avı e-postasını gözden geçirme
Bu e-postayı alan kullanıcıların listesini alın
Kullanıcının posta kutusuna erişimi olduğunda en son tarihleri alma
Temsilci erişimi posta kutusunda yapılandırıldı mı?
Posta kutusunda yapılandırılmış iletme kuralları var mı?
Exchange posta akışı kurallarınızı (aktarım kuralları) gözden geçirin
E-posta iletilerini bulma
Kullanıcı e-postayı okudu mu veya açtı mı?
Başka kim aynı e-postayı aldı?
E-postada ek var mıydı?
Ekli dosyada bir içerik var mıydı?
Gönderenin gerçek kaynağı için e-posta üst bilgisini denetleyin
Saldırganlara/kampanyalara ait IP adreslerini doğrulama
Kullanıcı e-postadaki bağlantıları seçti mi?
E-posta hangi uç noktada açıldı?
Ekli dosya yürütüldü mü?
Hedef IP'ye veya URL'ye dokunuldu mu veya açıldı mı?
Kötü amaçlı kod yürütüldü mü?
Federasyon senaryosu için hesapta hangi oturum açma işlemleri gerçekleşti?
Yönetilen senaryo için hesapta hangi oturum açma işlemleri gerçekleşti?
Kaynak IP adresini araştırma
Bulunan cihaz kimliğini araştırma
Her uygulama kimliğini araştırma

Kimlik avı ve diğer olay "playbook" denetim listelerini Excel dosyası olarak da indirebilirsiniz.

İnceleme adımları

Bu araştırma için, örnek bir kimlik avı e-postası veya e-postanın bazı bölümlerine sahipsiniz. Örneğin, araştırmayı başlatmak için gönderenin adresine, e-postanın konusuna veya iletinin bazı bölümlerine sahip olabilirsiniz. Ayrıca, Önkoşullar bölümünde önerilen şekilde tüm ayarları tamamladığınızdan ve etkinleştirdiğinizden emin olun.

E-postayı alan kullanıcıların / kimliklerin listesini alma

İlk adım olarak, kimlik avı e-postasını alan kullanıcı veya kimliklerin listesini almanız gerekir. Daha sonra daha fazla araştırma adımında kullanacağınız olası kullanıcıların / kimliklerin listesini kaydetmek, bu adımın amacıdır. Bu araştırma sırasında izlemeniz gereken adımların üst düzey akış diyagramı için İş Akışı bölümüne bakın.

Bu playbook'ta bu olası kullanıcı / kimlik listesini nasıl kaydetmek istediğinize ilişkin herhangi bir öneride bulunmayız. Araştırmanın boyutuna bağlı olarak, daha büyük araştırmalarda Excel kitabı, CSV dosyası ve hatta veritabanı kullanabilirsiniz. Belirli bir kiracıdaki kimlik listesini edinmenin birden çok yolu vardır ve bazı örnekler aşağıda verilmiştir.

Microsoft Purview uyumluluk portalı İçerik araması oluşturma

İçerik araması oluşturmak ve çalıştırmak için göstergeleri kullanın. Yönergeler için bkz . İçerik araması oluşturma.

Aranabilir e-posta özelliklerinin tam listesi için bkz . Aranabilir e-posta özellikleri.

Aşağıdaki örnek, kullanıcılar tarafından 13 Nisan 2022 ile 14 Nisan 2022 arasında alınan ve konu satırında "eylem" ve "gerekli" sözcüklerini içeren iletileri döndürür:

(Received:4/13/2022..4/14/2022) AND (Subject:'Action required')

Aşağıdaki örnek sorgu tarafından chatsuwloginsset12345@outlook.com gönderilen iletileri döndürür ve konu satırında "Hesap bilgilerinizi güncelleştirin" tam tümceciği içerir.

(From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Daha fazla bilgi için kuruluşunuzda iletileri nasıl arayıp silebileceğinizi görmek üzere bkz.

Exchange Online PowerShell'de Search-Mailbox cmdlet'ini kullanma

Ayrıca, Exchange Online PowerShell'de Arama Posta Kutusu cmdlet'ini kullanarak ilgilendiğiniz hedef posta kutusuna yönelik belirli bir sorgu gerçekleştirebilir ve sonuçları ilgisiz bir hedef posta kutusuna kopyalayabilirsiniz.

Aşağıdaki örnek sorgu, Jane Smith posta kutusunda konuda Fatura ifadesini içeren bir e-posta arar ve sonuçları "Araştırma" adlı bir klasördeki IRMailbox'a kopyalar.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Bu örnek komutta sorgu, konu başlığında "InvoiceUrgent" ifadesini içeren bir e-posta için tüm kiracı posta kutularını arar ve sonuçları "Araştırma" adlı bir klasördeki IRMailbox'a kopyalar.

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Arama-Posta Kutusu.

Temsilci erişimi posta kutusunda yapılandırıldı mı?

Posta kutusunda temsilcili erişimin yapılandırılıp yapılandırılmadığını denetlemek için aşağıdaki betiği kullanın: https://github.com/OfficeDev/O365-InvestigationTooling/blob/master/DumpDelegatesandForwardingRules.ps1.

Bu raporu oluşturmak için tüm kullanıcılarınızın listesini alan küçük bir PowerShell betiği çalıştırın. Ardından, kiracınızdaki tüm posta kutusu temsilcilerinin CSV dosyasını oluşturmak için Get-MailboxPermission cmdlet'ini kullanın.

Olağan dışı adları veya izin yetkilendirmelerini arayın. Olağan dışı bir durum görürseniz, posta kutusunun sahibine başvurarak bunun geçerli olup olmadığını denetleyin.

Posta kutusu için yapılandırılmış iletme kuralları var mı?

Tanımlanan her posta kutusunu posta kutusu iletme (SMTP (Basit Posta Aktarım Protokolü) iletme olarak da bilinir) veya dış alıcılara e-posta iletilerini ileden Gelen Kutusu kurallarını (genellikle yeni oluşturulan Gelen Kutusu kuralları) denetlemeniz gerekir.

  • Posta kutusu iletme için tüm posta kutularını denetlemek için Exchange Online PowerShell'de aşağıdaki komutu çalıştırın:

    Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize unlimited | Format-Table -Auto MicrosoftOnlineServicesID,ForwardingSmtpAddress,DeliverToMailboxAndForward | Export-csv C:\Temp\Forwarding.csv -NoTypeInformation

  • Belirtilen tarihler arasındaki posta kutularında oluşturulan Gelen Kutusu kurallarını denetlemek için Exchange Online PowerShell'de aşağıdaki komutu çalıştırın:

    Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -ResultSize 5000 -RecordType exchangeadmin -Operations New-InboxRule | Export-csv NoTypeInformation -Path c:\temp\Inboxrulesoutput.csv

  • Exchange yönetim merkezinde (EAC) Otomatik iletilen iletiler raporunu da kullanabilirsiniz. Yönergeler için bkz . Exchange Online'da otomatik iletilen iletiler raporu.

    Notlar:

    • Olağan dışı hedef konumları veya herhangi bir dış adresleme türünü arayın.
    • Kriterlerde konu başlığında fatura sözcüğü bulunan tüm postalar gibi sıra dışı anahtar sözcükler içeren iletme kurallarını arayın. Geçerli olup olmadığını denetlemek için posta kutusu sahibine başvurun.

Gelen Kutusu kurallarını gözden geçirme

Araştırmanızla ilgili zaman damgalarını göz önünde bulundurarak, Gelen Kutusu kurallarının kaldırılmasını kontrol edin. Örnek olarak, Exchange Online PowerShell'de aşağıdaki komutu kullanın:

Search-UnifiedAuditLog -StartDate 12/16/2021 -EndDate 03/16/2022 -Operations Remove-InboxRule | Export-CSV NoTypeInformation -Path c:\temp\removedInboxRules.csv

Exchange posta akışı kurallarını gözden geçirme (aktarım kuralları)

Kuruluşunuzda Exchange posta akışı kurallarının (taşıma kuralları olarak da bilinir) listesini almanın iki yolu vardır:

Postayı dış etki alanlarına yeniden yönlendirmek için yeni kurallar veya değiştirilmiş kurallar arayın. Kuralların sayısı bilinmelidir ve görece küçük olmalıdır. Kuralı kimin oluşturduğunu ve nerede oluşturduklarını belirlemek için bir denetim günlüğü araması yapabilirsiniz. Olağan dışı bir şey görürseniz, bunun meşru olup olmadığını belirlemek için oluşturucuya başvurun.

Kullanıcının posta kutusuna erişimi olduğunda en son tarihleri alma

Microsoft Defender portalında veya Microsoft Purview uyumluluk portalı birleşik denetim günlüğüne gidin. Açılan listedeki Etkinlikler'in altında, Exchange Posta Kutusu Etkinlikleri'ne göre filtreleyebilirsiniz.

Güvenliği aşılmış kullanıcıları listeleme özelliği Microsoft Defender portalında kullanılabilir.

Bu rapor, bir posta kutusuna yanlışlıkla erişildiğini gösterebilen etkinlikleri gösterir. Oluşturulan veya alınan iletileri, taşınan veya silinen iletileri, kopyalanan veya temizlenen iletileri, adına gönder veya farklı gönder kullanılarak gönderilen iletileri ve tüm posta kutusu oturum açmalarını içerir. Veriler tarih, IP adresi, kullanıcı, gerçekleştirilen etkinlik, etkilenen öğe ve genişletilmiş ayrıntıları içerir.

Not

Bu verilerin kaydedilmesi için posta kutusu denetim seçeneğini etkinleştirmeniz gerekir.

Buraya dahil edilen veri hacmi önemli olabilir, bu nedenle aramanıza ihlal edilmesi durumunda yüksek etki yaratabilecek kullanıcılara odaklanın. Alışılmadık saatler veya sıra dışı IP adresleri gibi olağan dışı desenleri arayın. Ayrıca, yüksek hacimli taşıma, temizlik veya silme işlemlerine yönelik desenleri inceleyin.

Kullanıcı e-postayı okudu mu/ açtı mı?

Burada iki ana durum vardır:

  • Posta kutusu Exchange Online'dadır.
  • Posta kutusu şirket içi Exchange'de (Exchange karma) yer alıyor.

Exchange Online kullanıcısı e-postayı açtı mı?

Exchange Online PowerShell'de Arama-Posta Kutusu cmdlet'ini kullanarak ilgilendiğiniz hedef posta kutusuna yönelik belirli bir arama sorgusu yapın ve sonuçları ilgisiz bir hedef posta kutusuna kopyalayın.

Aşağıdaki örnek sorgu, Janes Smith'in posta kutusunda konu içindeki Fatura ifadesini içeren bir e-posta arar ve sonuçları Araştırma adlı bir klasördeki IRMailbox'a kopyalar.

Search-Mailbox -Identity "Jane Smith" -SearchQuery "Subject:Invoice" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" LogLevel Full

Aşağıdaki örnek sorgu, konu içindeki InvoiceUrgent ifadesini içeren bir e-posta için tüm kiracı posta kutularını arar ve sonuçları Araştırma adlı bir klasördeki IRMailbox'a kopyalar.

Get-Mailbox | Search-Mailbox -SearchQuery 'InvoiceUrgent vote' -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Kullanıcı e-postayı Exchange karmasında mı açtı?

İleti izleme günlüğünde depolanan ileti teslim bilgilerini aramak için Get-MessageTrackingLog cmdlet'ini kullanın. Bir örnek aşağıda verilmiştir:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2022 09:00:00" -End "03/15/2022 17:00:00" -Sender "john@contoso.com"

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Get-MessageTrackingLog.

Başka kim aynı e-postayı aldı?

Burada iki ana durum vardır:

  • Posta kutusu Exchange Online'dadır.
  • Posta kutusu şirket içi Exchange'de (Exchange karma) yer alıyor.

İş akışı temelde, bu makalenin önceki bölümlerindeki E-postayı alan kullanıcıların/kimliklerin listesini alma bölümünde açıklananla aynıdır.

Exchange Online'da e-postayı bulma

arama-posta kutusu cmdlet'ini kullanarak ilgilendiğiniz hedef posta kutusuna karşı belirli bir arama sorgusu gerçekleştirin ve sonuçları ilgisiz bir hedef posta kutusuna kopyalayın.

Bu örnek sorgu, konu içindeki InvoiceUrgent konusunu içeren bir e-posta için tüm kiracı posta kutularını arar ve sonuçları Araştırma adlı klasördeki IRMailbox'a kopyalar.

Get-Mailbox | Search-Mailbox -SearchQuery "Subject:InvoiceUrgent" -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Şirket içi Exchange'de e-postayı bulma

İleti izleme günlüğünde depolanan ileti teslim bilgilerini aramak için Get-MessageTrackingLog cmdlet'ini kullanın. Bir örnek aşağıda verilmiştir:

Get-MessageTrackingLog -Server Mailbox01 -Start "03/13/2018 09:00:00" -End "03/15/2018 17:00:00" -MessageSubject "InvoiceUrgent"

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Get-MessageTrackingLog.

E-postada ek var mıydı?

Burada iki ana durum vardır:

  • Posta kutusu Exchange Online'dadır.
  • Posta kutusu şirket içi Exchange'de (Exchange karma) yer alıyor.

İletinin Exchange Online'da ek içerip içermediğini öğrenin

Posta kutusu Exchange Online'daysa iki seçeneğiniz vardır:

  • Klasik Search-Mailbox cmdlet'ini kullanma
  • New-ComplianceSearch cmdlet'ini kullanma

arama-posta kutusu cmdlet'ini kullanarak ilgilendiğiniz hedef posta kutusuna karşı belirli bir arama sorgusu gerçekleştirin ve sonuçları ilgisiz bir hedef posta kutusuna kopyalayın. Bir örnek aşağıda verilmiştir:

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Arama-Posta Kutusu.

Diğer seçenek, New-ComplianceSearch cmdlet'ini kullanmaktır. Bir örnek aşağıda verilmiştir:

New-ComplianceSearch -Name "Investigation" -ExchangeLocation "Research Department" -ContentMatchQuery "from:pilar@contoso.com AND hasattachment:true"

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . New-ComplianceSearch.

İletinin şirket içi Exchange'de ek içerip içermediğini öğrenin

Not

Exchange Server 2013'te, bu yordam Toplu Güncelleştirme 12 (CU12) veya üzerini gerektirir. Daha fazla bilgi için bu makaleye bakın.

İleti izleme günlüğünde depolanan ileti teslim bilgilerini aramak için Search-Mailbox cmdlet'ini kullanın. Bir örnek aşağıda verilmiştir:

Search-Mailbox -Identity "Jane Smith"-SearchQuery AttachmentNames:attachment_name -TargetMailbox "IRMailbox" -TargetFolder "Investigation" -LogLevel Full

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Arama-Posta Kutusu.

Ek dosyada bir yük var mıydı?

Ekte olası kötü amaçlı içeriği arayın. Örneğin, PDF dosyaları, karartılmış PowerShell veya diğer betik kodları.

Tehdit koruması durumu>Verileri E-posta Kötü Amaçlı Yazılımlarına Göre Görüntüle görünümü, kuruluşunuz için kötü amaçlı yazılım içerdiği algılanan gelen ve giden iletilerin sayısını gösterir. Daha fazla bilgi için bkz . Tehdit koruması durum raporu: E-posta > Kötü Amaçlı Yazılıma göre verileri görüntüleme.

Gönderenin gerçek kaynağı için e-posta üst bilgisini denetleyin

İleti izleme işlevinin bileşenlerinin çoğu kendi kendine açıklayıcıdır, ancak İleti Kimliği hakkında ayrıntılı bir şekilde anlamanız gerekir. İleti Kimliği , e-posta iletisi için benzersiz bir tanımlayıcıdır.

İlgilendiğiniz bir e-postanın İleti Kimliğini almak için ham e-posta üst bilgilerini incelemeniz gerekir. Bunu Microsoft Outlook'ta veya Web üzerinde Outlook'ta (eski adıyla Outlook Web App veya OWA) yapma yönergeleri için bkz. Outlook'ta internet iletisi üst bilgilerini görüntüleme

E-posta üst bilgisini görüntülerken, üst bilgi bilgilerini kopyalayıp okunabilirlik için MXToolbox veya Azure tarafından sağlanan bir e-posta üst bilgisi çözümleyicisine yapıştırın.

  • Üst Bilgi Yönlendirme Bilgileri: Yönlendirme bilgileri, bilgisayarlar arasında aktarılmakta olan bir e-postanın yolunu sağlar.

  • Sender Policy Framework (SPF): Sahtekarlık önlemeye/algılamaya yardımcı olan bir e-posta doğrulaması. SPF kaydında, etki alanı adına hangi IP adreslerinin ve etki alanlarının e-posta gönderebileceğini belirleyebilirsiniz.

  • SPF = Geçiş: SPF TXT kaydı, gönderenin bir etki alanı adına göndermesine izin verildiğini belirledi.

    • SPF = Nötr
    • SPF = Başarısız: İlke yapılandırması, Gönderen IP'sinin sonucunu belirler
    • SMTP Postası: Bunun geçerli bir etki alanı olup olmadığını doğrulayın

    SPF hakkında daha fazla bilgi için bkz . Microsoft 365 kimlik sahtekarlıklarını önlemek için SPF'yi nasıl kullanır?

  • Ortak Değerler: Burada en sık kullanılan ve görüntülenen üst bilgilerin ve bunların değerlerinin dökümü yer alır. Bu değerli bilgilerdir ve bunları Tehdit Gezgini'ndeki Arama alanlarında kullanabilirsiniz.

    • Gönderen adresi
    • Konu
    • İleti Kimliği
    • Son adres
    • Dönüş yolu adresi

  • Kimlik Doğrulama Sonuçları: E-posta gönderildiğinde e-posta istemcinizin kimlik doğrulamasını gerçekleştirdiği bilgiyi bulabilirsiniz. SpF ve DKIM kimlik doğrulaması sağlar.

  • Kaynak IP: Özgün IP, IP'nin engellenmiş olup olmadığını belirlemek ve coğrafi konumu almak için kullanılabilir.

  • İstenmeyen Posta Güven Düzeyi (SCL): Bu, gelen bir e-postanın istenmeyen posta olma olasılığını belirler.

    • -1: Güvenilir gönderici, güvenilir alıcı veya güvenli listeye alınmış IP adresinden (güvenilir ortak) gelen çoğu istenmeyen posta filtresini atlayın.
    • 0, 1: İleti tarandığı ve temiz olduğu belirlendiği için spam değil.
    • 5, 6: İstenmeyen posta
    • 7, 8, 9: Yüksek güvenilirlikli istenmeyen posta

SPF kaydı bir DNS veritabanında depolanır ve DNS arama bilgileriyle birlikte gelir. nslookup komutunu kullanarak etki alanı için Sender Policy Framework (SPF) kaydını el ile de kontrol edebilirsiniz:

  1. Komut istemini açın (Başlat > Çalıştır > cmd).

  2. Komutu şöyle yazın: nslookup -type=txt" boşluk ve ardından etki alanı/ana bilgisayar adı. Örneğin:

     nslookup -type=txt domainname.com

Not

-all (reddedin veya başarısız olun - eşleşmeyen bir şey varsa e-postayı teslim etmeyin), bu önerilir.

Microsoft 365'teki özel etki alanlarınızda DKIM'in etkinleştirilip etkinleştirilmediğini denetleyin

Tanımlanan posta (DKIM) etki alanı anahtarlarını eklemek istedikleri her etki alanı için iki CNAME kaydı yayımlamanız gerekir. Özel etki alanınızdan gönderilen giden e-postayı doğrulamak için DKIM'in nasıl kullanılacağını öğrenin.

Etki alanı tabanlı ileti kimlik doğrulaması, raporlama ve uyumluluk (DMARC) olup olmadığını denetleyin

Microsoft 365'te giden e-postayı doğrulamak için bu özelliği kullanabilirsiniz.

Saldırganlar/kampanyalarla ilişkili IP adreslerini doğrulama

Önceki araştırma adımlarından tanımlanan IP adreslerini doğrulamak veya araştırmak için şu seçeneklerden herhangi birini kullanabilirsiniz:

  • VirusTotal
  • Microsoft Defender for Endpoint
  • Genel Kaynaklar:
    • Ipinfo.io - Coğrafi konum elde etmek için ücretsiz bir seçeneğe sahiptir
    • Censys.io - İnternet'in pasif taramaları hakkında bilgi edinmek için ücretsiz bir seçeneğe sahiptir
    • AbuseIPDB.com - Coğrafi konum sağlayan ücretsiz bir seçeneği vardır
    • Bing ve Google'a Sorun - IP adresini arayın

URL saygınlığı

SmartScreen teknolojisini kullanan herhangi bir Windows 10 cihazını ve Microsoft Edge tarayıcısını kullanabilirsiniz.

Aşağıda birkaç üçüncü taraf URL saygınlığı örneği verilmiştir:

IP adreslerini ve URL'leri araştırdıkça, çıkışa veya sonuçlara bağlı olarak IP adreslerini güvenlik ihlal göstergeleri (ICS) veya diğer göstergelerle ilişkilendirin ve bunları saldırgandan alınan kaynaklar listesine ekleyin.

Kullanıcı e-postadaki bağlantıya tıkladıysa (bilerek veya değil), bu eylem genellikle cihazın kendisinde yeni bir işlem oluşturmaya yol açar. Bu gerçekleştirilen cihaza bağlı olarak cihaza özgü araştırmalar yapmanız gerekir. Örneğin, Windows ve Android ve iOS. Bu makalede, Windows tabanlı cihazlar için bazı ayrıntıların yanı sıra genel bir yaklaşımı da açıklayacağız. Uç Nokta için Microsoft Defender (MDE) kullanıyorsanız iOS ve yakında Android için de kullanabilirsiniz.

Uç Nokta için Microsoft Defender kullanarak bu olayları araştırabilirsiniz.

  • VPN/proxy günlükleri Proxy ve VPN çözümlerinin satıcısına bağlı olarak, ilgili günlükleri denetlemeniz gerekir. İdeal olan olayları SIEM'inize veya Microsoft Sentinel'e iletmenizdir.

  • Uç Nokta için Microsoft Defender kullanma Araştırmanıza yardımcı olmak için tehdit bilgilerimizi ve otomatik analizimizi kullanabileceğiniz için bu en iyi senaryodur. Daha fazla bilgi için Uç Nokta için Microsoft Defender'da uyarıları araştırma bölümüne bakın.

    Uyarı işlem ağacı uyarı önceliklendirmesini ve araştırmasını bir sonraki düzeye taşır ve aynı yürütme bağlamı ve zaman aralığı içinde oluşan toplanan uyarıları ve çevresindeki kanıtları görüntüler. Uyarı işlemi ağacının ekran görüntüsü.

  • Windows tabanlı istemci cihazları İşlem Oluşturma Olayları seçeneğini etkinleştirdiğinizden emin olun. İdeal olarak, komut satırı İzleme Olaylarını da etkinleştirmeniz gerekebilir.

    Araştırmadan önce yukarıda bahsedilen Denetim Olayları'nın etkinleştirildiği Windows istemcilerinde, Denetim Olayı 4688'i denetleyebilir ve e-postanın kullanıcıya teslim edildiği zamanı belirleyebilirsiniz:

    Denetim Olayı 4688'in ekran görüntüsü örneği.

    Denetim Olayı 4688'in başka bir ekran görüntüsü örneği.

E-posta hangi uç noktada açıldı?

Buradaki görevler önceki araştırma adımına benzer: Kullanıcı e-postadaki bağlantıları seçti mi?

Ekli yük yürütüldü mü?

Buradaki görevler önceki araştırma adımına benzer: Kullanıcı e-postadaki bağlantıları seçti mi?

Hedef IP/URL'ye dokunuldu mu veya açıldı mı?

Buradaki görevler önceki araştırma adımına benzer: Kullanıcı e-postadaki bağlantıları seçti mi?

Kötü amaçlı kod yürütüldü mü?

Buradaki görevler önceki araştırma adımına benzer: Kullanıcı e-postadaki bağlantıları seçti mi?

Hesapta hangi oturum açma işlemleri oldu?

Hesapta gerçekleşen çeşitli oturum açma işlemlerine bakın.

Federasyon senaryosu

Denetim günlüğü ayarları ve olayları, işletim sistemi (OS) düzeyine ve Active Directory Federasyon Hizmetleri (ADFS) sunucu sürümüne göre farklılık gösterir.

Farklı sunucu sürümleri için aşağıdaki bölümlere bakın.

Server 2012 R2

Varsayılan olarak, güvenlik olayları Server 2012 R2'de denetlenmiyor. Bu özelliği, Çiftlik'teki her ADFS Sunucusunda etkinleştirmeniz gerekir. ADFS Yönetim konsolunda Federasyon Hizmeti Özelliklerini Düzenle'yi seçin.

Federasyon özelliklerini düzenleme ekran görüntüsü.

İşletim Sistemi Denetim İlkesi'ni de etkinleştirmeniz gerekir.

Komut istemini açın ve yönetici olarak aşağıdaki komutu çalıştırın.

auditpol.exe /set /subcategory:"Application Generated" /failure:enable /success:enable

Daha fazla bilgi için ADFS sunucularını sorun giderme için nasıl yapılandıracağınızı görün.

ADFS PowerShell modüllerini aşağıdakilerden de indirmek isteyebilirsiniz:

Server 2016 ve daha yenisi

Varsayılan olarak, Windows Server 2016'daki ADFS'de temel denetim etkindir. Temel denetim sayesinde yöneticiler tek bir istek için beş veya daha az olay görebilir. Ancak şu komutu kullanarak denetim düzeyini yükseltebilir veya düşürebilirsiniz:

Set-AdfsProperties -AuditLevel Verbose

Daha fazla bilgi için bkz . Windows server'da ADFS'de denetim geliştirmeleri.

Microsoft Entra Connect Health yüklüyse Riskli IP raporunu da incelemeniz gerekir. Başarısız oturum açma etkinliği istemci IP adresleri Web Uygulaması proxy sunucuları aracılığıyla toplanır. Riskli IP raporundaki her öğe, belirlenen eşiği aşan başarısız AD FS oturum açma etkinlikleri hakkında toplu bilgileri gösterir.

Riskli IP raporunun ekran görüntüsü örneği.

Daha fazla bilgi için bkz . Riskli IP raporu.

Server 2012 R2

AdFS yönetici günlüklerinde Olay Kimliği 342 – "Kullanıcı adı veya parola yanlış".

Gerçek denetim olayları için Güvenlik olayları günlüklerine bakmanız ve Kaynağı ADFS Denetimi olan Klasik Denetim Hatası için Olay Kimliği 411 olan olayları aramanız gerekir. Başarılı kimlik doğrulaması sırasında ayrıca Olay Kimliği 412'yi arayın.

Olay Kimliği 411 - SecurityTokenValidationFailureAudit Belirteci doğrulaması başarısız oldu. Diğer ayrıntılar için bkz. iç özel durum.

411 olayının ekran görüntüsü örneği.

412 olayının ekran görüntüsü örneği.

Olayı ilgili Olay Kimliği 501 ile ilişkilendirmeniz gerekebilir.

Server 2016 ve daha yenisi

Gerçek denetim olayları için, güvenlik olayları günlüklerine bakmanız ve başarılı kimlik doğrulaması olayları için Olay Kimliği 1202'yi ve hata durumları için 1203'ü aramanız gerekir.

Olay Kimliği1202 örneği:

Olay Kimliği 1202 FreshCredentialSuccessAudit Federasyon Hizmeti yeni bir kimlik bilgisi doğrulamış. Ayrıntılar için bkz. XML.

Olay Kimliği 1203 örneği:

Olay Kimliği 1203 FreshCredentialFailureAudit Federasyon Hizmeti yeni bir kimlik bilgilerini doğrulayamadı. Hata ayrıntıları için bkz. XML.

1203 olayı örneği

4624 olayı örneği

Yönetilen senaryo

Araştırdığınız bir veya daha fazla kullanıcı için Microsoft Entra oturum açma günlüklerini denetleyin.

Microsoft Entra yönetim merkezinde Oturum açma işlemleri ekranına gidin ve önceki araştırma adımlarında bulduğunuz zaman çerçevesi için görüntü filtresini ekleyin/değiştirin ve bu görüntüde gösterildiği gibi kullanıcı adını filtre olarak ekleyin.

Zaman çerçevesine sahip bir görüntü filtresinin ekran görüntüsü örneği.

Graph API'sini kullanarak da arama yapabilirsiniz. Örneğin, Kullanıcı özellikleri üzerinde filtre uygulayın ve lastSignInDate değerini de alın. Bu kullanıcının son oturum açma tarihini almak için belirli bir kullanıcıyı arayın. Örneğin https://graph.microsoft.com/beta/users?$filter=startswith(displayName,'Dhanyah')&$select=displayName,signInActivity

Veya kullanıcının nesne kimliğiyle hedeflenen son etkileşimli oturum açma etkinliğini almak için PowerShell komutunu Get-AzureADUserLastSignInActivity kullanabilirsiniz. Bu örnek, çıktıyı yürütme dizinindeki tarih ve saat damgalı CSV dosyasına yazar.

Get-AzureADUserLastSignInActivity -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -UserObjectId aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb -CsvOutput

Veya AzureADIncidentResponse PowerShell modülünden şu komutu kullanabilirsiniz:

Get-AzureADIRSignInDetail -UserId johcast@Contoso.com -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -RangeFromDaysAgo 29 -RangeToDaysAgo 3

Kaynak IP adresini araştırma

Microsoft Entra oturum açma günlüğünde veya ADFS/Federasyon Sunucusu günlük dosyalarında bulduğunuz kaynak IP adreslerine bağlı olarak, trafiğin nereden kaynaklandığını öğrenmek için daha fazla araştırma yapın.

Yönetilen kullanıcı

Yönetilen bir senaryo için oturum açma günlüklerine bakmaya başlamanız ve kaynak IP adresine göre filtrelemeniz gerekir:

Yönetilen kullanıcı IP adresinin ekran görüntüsü örneği.

Veya AzureADIncidentResponse PowerShell modülünden şu komutu kullanabilirsiniz:

Get-AzureADIRSignInDetail -IpAddress 1.2.3.4 -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -RangeFromDaysAgo 29 -RangeToDaysAgo 3 -OutGridView

Sonuçlar listesine baktığınızda Cihaz bilgileri sekmesine gidin. Kullanılan cihaza bağlı olarak, değişen çıkışlar alırsınız. İşte birkaç örnek:

  • Örnek 1 - Yönetilmeyen cihaz (BYOD):

    Yönetilmeyen cihaz örneği ekran görüntüsü.

  • Örnek 2 - Yönetilen cihaz (Microsoft Entra birleşim veya Microsoft Entra hibrit birleşim):

    Yönetilen cihaz bilgilerinin ekran görüntüsü örneği.

Varsa DeviceID olup olmadığını denetleyin. ayrıca işletim sistemini ve tarayıcıyı veya UserAgent dizesini de aramalısınız.

Cihaz kimliğinin ekran görüntüsü örneği.

CorrelationID, İstek Kimliği ve zaman damgasını kaydedin. Bulgularınızı diğer olaylarla ilişkilendirmek için CorrelationID ve zaman damgası kullanmalısınız.

Birleştirilmiş kullanıcı/uygulama

Federasyon oturum açma senaryosu için sağlanan yordamın aynısını izleyin.

DeviceID, İşletim Sistemi Düzeyi, Bağıntı Kimliği, İstek Kimliği'ni bulun ve kaydedin.

Tanımlanan DeviceID'yi araştırın

Bu adım yalnızca Microsoft Entra Id ile bilinen cihazlar için geçerlidir. Örneğin, önceki adımlarda bir veya daha fazla olası cihaz kimliği bulduysanız bu cihazda daha fazla araştırma yapabilirsiniz. DeviceID ve Cihaz Sahibi'ni arayın ve kaydedin.

Her AppID'i araştırma

Oturum açma günlüklerinden ve kiracının veya federasyon sunucularının yapılandırmasından başlayarak uygulama yapılandırmasını kontrol edin.

Yönetilen senaryo

Daha önce bulunan oturum açma günlüğü ayrıntılarından Temel bilgiler sekmesinin altındaki Uygulama Kimliği'ni denetleyin:

Temel Bilgi sekmesinde Uygulama Kimliğini denetleme işleminin ekran görüntüsü.

Uygulama (ve Kimlik) ile Kaynak (ve Kimlik) arasındaki farklara dikkat edin. Uygulama, ilgili istemci bileşenidir, Kaynak ise Microsoft Entra Id'deki hizmet/uygulamadır.

Bu AppID ile artık kiracıda araştırma yapabilirsiniz. Bir örnek aşağıda verilmiştir:

Get-MgApplication -Filter "AppId eq '00001111-aaaa-2222-bbbb-3333cccc4444'"

Id                                       AppId                                    DisplayName

3af6dc4e-b0e5-45ec-8272-56f3f3f875ad     00001111-aaaa-2222-bbbb-3333cccc4444     Claims X-Ray

Bu bilgilerle Enterprise Applications portalında arama yapabilirsiniz. Tüm Uygulamalar'a gidin ve ilgili AppID'yi arayın.

Uygulama kimliğinin ekran görüntüsü örneği.

Ek olay müdahale kılavuzları

Bu diğer saldırı türlerini belirlemek ve araştırmak için kılavuzu inceleyin:

Olay yanıtı kaynakları