Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede kimlik avı playbook'u gösterilmektedir. Güvenlik İşlemleri (SecOps) disiplini kapsamındaki olay müdahalesi çalışma kitabı kılavuzunun bir parçasıdır.
Bu playbook, SecOps analistleri, olay yanıtlayıcıları, kimlik yöneticileri ve BT operasyon personeli dahil olmak üzere olay yanıt playbook'larını oluşturmak veya yürütmekle sorumlu tüm rollere yöneliktir.
Kimlik avı saldırıları, saldırganlar tarafından kullanılan en yaygın ilk erişim tekniklerinden biridir. Başarılı bir kimlik avı saldırısı kimlik bilgilerinin güvenliğinin aşılmasına, kötü amaçlı yazılım yürütülmesine, veri sızdırmaya ve kimlik, e-posta ve uç nokta ortamlarında yanal harekete yol açabilir.
Bu makaledeki kılavuzda nelerin ve neden araştırıldığı açıklanmaktadır. Ürüne özgü örnekler (Microsoft Defender XDR veya Microsoft Sentinel gibi) başvuru uygulamaları olarak sağlanır.
Başlamadan önce
Kimlik avı araştırmasını başlatmadan önce aşağıdaki temel hazırlık gereksinimlerinin karşılandığından emin olun. Bu önkoşullar, olay yanıtı planlaması kapsamında bir olay gerçekleşmeden önce tamamlanmalıdır.
| Area | Gereksinim | Ayrıntılar |
|---|---|---|
| Hesap bilgileri | Şüpheli hedef kullanıcı için en az bir tanımlayıcıya sahip olmak | Tanımlayıcılar şunlar olabilir: kullanıcı asıl adı (UPN), e-posta adresi veya kullanıcı adı/diğer ad. Bu bilgiler e-posta etkinliğini, oturum açma işlemlerini ve aşağı akış eylemlerini ilişkilendirmek için gereklidir. |
| Microsoft 365 denetim/günlük kaydı | Posta kutusu erişiminin ve eylemlerinin kaydedildiğinden emin olmak için posta kutusu denetimi kuruluş genelinde etkinleştirilmelidir. | Exchange Online PowerShell'de şu komutu çalıştırarak posta kutusu denetiminin varsayılan olarak etkinleştirildiğini doğrulayın: Get-OrganizationConfig | Format-List AuditDisable/. False değeri, posta kutusu denetiminin tüm posta kutuları için etkinleştirildiğini gösterir. |
| Microsoft 365 denetim/günlük kaydı | özgün kimlik avı iletisini, teslim durumunu, tüm alıcıları, ileti yönlendirme ayrıntılarını tanımlamak için ileti izleme günlükleri gereklidir. | İleti izleme, Exchange Yönetim Merkezi, Microsoft Defender portalında (E-posta ve işbirliği > Exchange ileti izleme) kullanılabilir. İleti izleme verileriyle etkili bir şekilde çalışmak için araştırmacıların ham e-posta üst bilgilerinden alınan İleti Kimliği değerlerini alıp yorumlayabilmeleri gerekir. |
| Microsoft 365 denetim/günlükleme | Microsoft 365 iş yükleri genelinde kullanıcı ve yönetim etkinliğini gözden geçirmek için birleşik denetim günlükleri gereklidir. | Araştırmacıların posta kutusu erişimi, posta öğesi eylemleri, yönetim değişiklikleri ve oturum açmayla ilgili olaylar gibi eylemleri gözden geçirmek için birleşik denetim günlüğünde arama yapabileceklerinden emin olun. |
| Microsoft Entra günlükleri | Microsoft Entra ID oturum açma ve denetim günlükleri sınırlı bir süre (lisanslamaya bağlı olarak 30 veya 90 gün) saklanır. | Araştırma, geçmiş analizi ve olay sonrası gözden geçirmeyi desteklemek için günlükleri Microsoft Sentinel, Azure İzleyici veya üçüncü taraf SIEM gibi uzun vadeli bir depoya aktarın. |
| Permissions | Araştırmacıların, hesaplara gereğinden fazla ayrıcalık tanımadan gerekli verilere erişebilmeleri için yeterli izinlere sahip olmasını sağlayın. | Microsoft Entra ID: Önerilen en düşük rol Güvenlik Okuyucusu'dur. Defender portalı ve Microsoft Uyumluluk portalı: Güvenlik Okuyucusu. Bu roller e-postalara, uyarılara ve denetim verilerine salt okunur erişim sağlar. |
| Uç nokta görünürlüğü | Endpoint için Microsoft Defender | Defender for Endpoint yüklüyse, şunlar için kullanın: - Kullanıcıların kimlik avı içeriğiyle etkileşime geçip geçmediğini doğrulayın. - Yükün çalıştırılmasını tespit edin. - Uç nokta etkinliğini e-posta olaylarıyla ilişkilendirin. |
| Donanım | PowerShell çalıştırabilen bir sistem. | |
| Yazılım | Bu PowerShell modülleri kimlik avı araştırmalarında yaygın olarak kullanılır | Microsoft Graph PowerShell SDK'sı Exchange Online PowerShell modülü Microsoft Entra Olay Yanıtı PowerShell modülü. Tüm modüllerin yüklendiğinden ve güncel tutulduğundan emin olun. |
İş akışı
Kimlik avı araştırması iş akışı şu üst düzey aşamaları izler:
- Kimlik avı mesajını tanımlayın ve onaylayın.
- Etkinin ve etkilenen kullanıcıların kapsamını belirleme.
- Kullanıcı etkileşimlerini ve kimlik bilgilerinin açığa çıkarma durumunu değerlendirin.
- Aşağı akış etkinliğini tanımlama.
- Tehdidi kontrol altına alın ve tekrarlanmasını önleyin
Bu iş akışı, müdahale ekiplerinin kritik doğrulama adımlarını atlamadan tespitten kontrol altına alma sürecine geçmesine yardımcı olur.
Denetlenecek şeyler
Araştırma sırasında kalite kapısı olarak bu denetim listesini kullanın.
- Kimlik avı e-postasını ve orijinal Message-ID’yi tanımlayın
- Tüm alıcıları ve teslim durumunu belirleme
- Kullanıcıların iletiyle etkileşimde bulunup bulunmadığını belirleme
- Kimlik bilgilerinin ele geçirilmesini veya kötü amaçlı yazılım çalıştırılmasını değerlendirin
- Yatay veya ardıl faaliyeti belirleme
- Posta kutularından kötü amaçlı iletileri kaldırma
- Etkilenen hesapları sıfırlama veya güvenliğini sağlama
- Algılamaları ve önleme denetimlerini geliştirme
İnceleme adımları
1. Adım: Kimlik avı iletisini tanımlama
Kimlik avı olduğundan şüphelenilen e-postayı alın.
E-posta başlıklarından Message-ID’yi çıkarın.
Aşağıdakileri belirlemek için ileti izlemesini kullanın:
- İleti alındığında
- Hangi kullanıcılar bunu aldı?
- Teslim edilip edilmediği, engellendiği veya karantinaya alınıp alınmadığı
2. Adım: Etkilenen kullanıcıları belirleyin
- İletinin tüm alıcılarını belirleme
- İletinin filtreleri atlatıp atlatmadığını onaylayın
- Benzer iletilerin aynı kampanyanın varyantları kullanılarak gönderilip gönderilmediğini belirleme
3. Adım: Kullanıcı etkileşimlerini değerlendirme
Etkilenen her kullanıcı için şunları yapıp yapmadığını belirleyin:
- E-postayı açma
- Tıklanan bağlantılar
- Açılan ekler
- Gönderilen kimlik bilgileri
E-posta etkinliğini şu şekilde ilişkilendirin:
- Microsoft Entra oturum açma günlükleri
- Denetim kayıtları
- Uç nokta etkinliği (varsa)
4. Adım: Takip eden etkinliği tanımlama
Kimlik bilgileri ifşa olmuş olabilirse aşağıdakileri araştırın:
- Şüpheli oturum açma işlemleri
- Parola püskürtme veya kaba kuvvet etkinliği
- OAuth izinleri
- Belirteç kötüye kullanımı
- Olağan dışı posta kutusu veya işbirliği etkinliği
Ekler açıldıysa, uç noktalarda herhangi bir kötü amaçlı yazılımın çalıştırılıp çalıştırılmadığını doğrulayın.
5. Adım: Kontrol altına alma ve giderme
Bulgulara göre:
- Tüm posta kutularından oltalama iletilerini kaldırın. Devre dışı bırakın veya sıfırlayın.
- güvenliği aşılmış hesaplar.
- Etkin oturumları ve belirteçleri iptal et.
- Kötü amaçlı gönderenleri, etki alanlarını ve URL'leri engelleyin.
- Etkilenen uç noktaları yalıtma veya düzeltme.
6. Adım: Kurtarma
Olayın kontrol altına alınmasının ardından, normal operasyonları yeniden sağlamaya ve tekrarlama riskini azaltmaya odaklanın.
Kurtarma eylemleri şunları içerebilir:
- Kimlik bilgisi sıfırlamalarını ve çok faktörlü kimlik doğrulamasını zorunlu tutma
- Posta kutusu kurallarını ve iletme ayarlarını gözden geçirme
- E-posta filtreleme ve kimlik avı önleme ilkelerini iyileştirme
- Algılamaları ve uyarıları güncelleştirme
- Kimlik avına yanıt yönergelerini güncelleme veya iyileştirme
Sonraki Adımlar
SecOps uzmanlık alanı hakkında daha fazla bilgi edinin.