CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

Office 365 Denetim Logları ile Siber Güvenliği Artırın

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

Office 365 denetim logları, bulut ortamındaki tehditleri anlamanızı sağlarken, güvenlik risklerini azaltmanıza yardımcı olur.

Office 365 Denetim Logları ile Siber Güvenliği Artırın

Office 365 denetim logları, kullanıcı aktivitelerini takip ederek siber güvenliğinizi artırır. Log analizi ile nasıl daha güçlü bir güvenlik sağlanır keşfedin.

Giriş ve Konumlandırma

Office 365 Denetim Logları ve Siber Güvenlik

Günümüz iş dünyası, dijital dönüşümün etkisiyle hızla evrim geçirmekte ve kurumlar, veri ile ilgili işlemlerini daha fazla bulut tabanlı hizmetler üzerinden gerçekleştirmeye yönelmektedir. Bu bağlamda, Microsoft'un sunduğu Office 365, işletmelerin güçlü işbirliği ve iletişim araçlarına erişim sağlarken, aynı zamanda güvenlik tehditlerine karşı savunmalarını güçlendirmelerine de olanak tanımaktadır. Office 365'in sunduğu en önemli özelliklerden biri de, çeşitli hizmetlerden gelen aktiviteleri kapsayan “Unified Audit Log” (Birleşik Denetim Günlüğü) yapısıdır.

Denetim Loglarının Önemi

Siber güvenlik alanında taleplerin arttığı bir dönemde, kullanıcıların ve yöneticilerin sistem üzerindeki etkinlikleri sürekli olarak izlenmeli ve analiz edilmelidir. Office 365 denetim logları, bu sürecin kalbinde yer alarak, hizmetler arası aktivitelerin tek bir havuzda toplanmasını sağlar. Böylece, bir analist, kullanıcı davranışlarını izleme ve şüpheli aktiviteleri tespit etme konusunda daha etkili hale gelir.

Denetim loglarının kritik önemi, yalnızca sahtecilik ve veri ihlalleri gibi olumsuz olayların önüne geçmekle sınırlı değildir. Aynı zamanda, potansiyel tehditlerin zamanında tespit edilmesi, kullanıcıların sistem üzerinde gerçekleştirdiği işlemler hakkında detaylı bilgi edinilmesi ve bu verilerin analiz edilmesi gibi hedefleri de kapsamaktadır.

Siber Güvenlik Açısından Bağlam

Office 365 denetim logları, siber güvenlik, penetrasyon testleri (pentest) ve genel savunma stratejileri için önemli bir bileşendir. Bu loglar, analistlerin, saldırganların sistemdeki ayak izlerini bir araya getirebileceği üç temel soruyu yanıtlamasına olanak tanır: "Kim?" (UserId), "Ne yaptı?" (Operation), "Nereden yaptı?" (ClientIP). Bu bilgiler, bir siber olay müdahalesinde kritik öneme sahiptir ve kurumsal güvenliği artırmak adına kullanılmalıdır.

Log analizi sırasında dikkate alınması gereken temel noktalar da bulunmaktadır. Örneğin, SharePoint ve OneDrive üzerindeki aktiviteler, kurumsal belgelerin güvenliğini sağlamak için izlenir; burada "Veri Sızıntısı" işaretleri, potansiyel tehditlerin belirlenmesinde önemli bir rol oynar. Dolayısıyla, analistlerin bu loglardaki belirli olayları tanımlamaları ve değerlendirmeleri gerekmektedir.

Log Örneği:
UserId: john.doe@example.com
Operation: FileAccessed
ClientIP: 192.168.1.1

Yukarıdaki örnek, Jane Doe kullanıcısının 192.168.1.1 adresinden bir dosyayı görüntülediğini göstermektedir. Bu tür bilgiler, kullanıcı davranışlarının ve sistemin güvenliğinin analizinde önemli veriler sunar.

Log Analizinin Temel Alanları

Office 365 loglarının analiz edilmesinde dikkate alınacak unsurlar arasında doküman güvenliği ve paylaşım, log saklama süreleri, işbirliği güvenliği ve veri sınıflandırması yer almaktadır. Örneğin, belirli bir kullanıcıya ait loglarda "MemberAdded" veya "ExternalUserJoined" gibi olaylar, yetkisiz erişim girişimlerine dair bilgi sağlayabilir.

Logların saklanma süreleri, lisans türüne bağlı olarak değişim göstermektedir. Standart (E3) lisansa sahip kullanıcılar, loglarını genellikle 90 gün, Premium (E5) lisans kullanıcıları ise bu süreyi en az bir yıla çıkarabilir. Bu sürelerin bilinmesi, analistlerin geçmişe dönük araştırmalar yaparken kritik bir öneme sahiptir.

Son olarak, veri sınıflandırma takibi, Office 365 platformunda kritik belgelerin doğru bir şekilde etiketlenmesi açısından önemlidir. Herhangi bir herhangi bir "LabelApplied" veya "LabelChanged" olayı, bir belgenin gizlilik seviyesinin düşürülmesi gerektiğini veya siber bir saldırganın belge ile ilgili bir girişimde bulunduğunu gösterebilir.

Sonuç

Sonuç olarak, Office 365 denetim logları, kurumlar için bir güvenlik kalkanı işlevi görmekte ve bulut ortamında yaşanabilecek siber tehdidi minimize etmektedir. Bu bakımda, analistlerin bu logları etkin bir şekilde kullanmaları, siber güvenlik stratejilerini güçlendirmeleri için hayati bir öneme sahiptir. Logların doğru şekilde analizi ve yorumlanması, potansiyel tehditlerin zamanında tespit edilmesi ve önlenmesi konusunda kritik bir adım oluşturmaktadır.

Teknik Analiz ve Uygulama

Merkezi Takip: Unified Audit Log

Office 365, çeşitli hizmetlerden gelen aktiviteleri bir araya toplayarak analistlere merkezi bir takip imkanı sunar. Bu yapıya Unified Audit Log veya Türkçesiyle Birleşik Denetim Günlüğü denir. Bu günlük, analistlerin farklı servisler arasında geçen olayları tek bir arayüzden sorgulayabilmelerini sağlar. Örneğin, SharePoint, OneDrive, Teams gibi uygulamalarda gerçekleşen aktiviteleri incelemek için aşağıdaki PowerShell komutu kullanılabilir:

Search-UnifiedAuditLog -StartDate '2023-01-01' -EndDate '2023-01-31' -RecordType SharePoint

Bu komut, belirtilen tarih aralığında SharePoint ile ilgili aktiviteleri getirir ve analiste bu olayları inceleme fırsatı sunar.

Log Analizinin Temel Alanları

O365 denetim loglarını incelerken dikkat edilmesi gereken üç temel alan vardır: UserId (Kullanıcı Kimliği), Operation (Eylem) ve ClientIP (İstemci IP Adresi). Bu alanlar, bir siber olay müdahalesinde saldırganın izini sürmek için kritik öneme sahiptir. Örneğin, bir kullanıcının hangi IP'den ne yaptığını anlamak için aşağıdaki gibi bir sorgulama gerçekleştirilebilir:

Search-UnifiedAuditLog -StartDate '2023-01-01' -EndDate '2023-01-31' -UserIds 'kullanici@domain.com'

Bu komut, belirli bir kullanıcı için logları getirerek analiz sürecini kolaylaştırır.

Doküman Güvenliği ve Paylaşım

SharePoint ve OneDrive logları, kurumsal dokümanların güvenliğini izlemek açısından son derece önemlidir. Belirli işlemler, doğrudan Veri Sızıntısı ihtimali taşıyabilir. Örneğin, AnonymousLinkCreated olayı, bir dosyaya herkesin erişebileceği bir bağlantı oluşturulduğunu gösterir ve bu durum yüksek bir güvenlik riski oluşturur. Buna karşılık, SecureLinkCreated olayı, sadece belirli kişiler için korumalı bir paylaşım konusunda bilgi verir.

Logların güvenlik risklerini değerlendirmek için şu komut kullanılabilir:

Search-UnifiedAuditLog -StartDate '2023-01-01' -EndDate '2023-01-31' -Operations AnonymousLinkCreated

Bu komut, belirlenen tarih aralığında şifresiz bağlantı oluşturma işlemlerini analiz eder.

Log Saklama (Retention) Süreleri

Office 365 loglarının ne kadar süreyle saklanacağı, kullanılan lisans türüne bağlıdır. Standart (E3) lisanslarda bu loglar, varsayılan olarak 90 gün saklanırken, Premium (E5) gibi daha yüksek lisanslarda bu süre 1 yıla (veya yapılandırmaya bağlı olarak daha fazlasına) çıkabilmektedir. Bu durum, analistlerin geçmişe yönelik araştırmalarında önemli bir faktördür.

Aşağıdaki örnek, log saklama sürelerini sorgulamak için kullanılabilir:

Get-AuditLogSearch | Format-List

Bu komut, mevcut audit log sorgularını listeleyerek saklama sürelerini gözden geçirmenizi sağlar.

İşbirliği Güvenliği: Teams Logları

Microsoft Teams logları, özellikle sosyal mühendislik saldırıları ve içeriden gelen tehditlerin tespit edilmesinde kritik rol oynamaktadır. Örneğin, MemberAdded veya ExternalUserJoined gibi olaylar, hassas bir kanala yetkisiz birinin katılıp katılmadığını anlamaya yardımcı olur. Bu logları incelemek için şu komutu kullanabilirsiniz:

Search-UnifiedAuditLog -StartDate '2023-01-01' -EndDate '2023-01-31' -Operations MemberAdded, ExternalUserJoined

Burada belirtilen komut, belirli tarih aralığında bu olayları sorgulayarak analiz sağlar.

Veri Sınıflandırma Takibi

Kurumsal belgelerin kritik öncelikli olarak etiketlenmesi, siber güvenlik için önemlidir. Loglarda LabelApplied veya LabelChanged gibi olayların görülmesi, bir saldırganın hassas bir belgenin etiketini düşürerek dışarı sızdırma çabalarını tespit etmemize yardımcı olur. Bu noktada kullanılan bir komut örneği:

Search-UnifiedAuditLog -StartDate '2023-01-01' -EndDate '2023-01-31' -Operations LabelApplied, LabelChanged

Bu komut ile belirli bir tarih aralığında uygulanan etiket değişiklikleri incelenebilir.

Özet: Analistin O365 Kontrol Listesi

Office 365 denetim logları, bulut ortamındaki “görünmez” hareketleri somut verilere dönüştürerek analistlere kritik bilgi sağlar. Log analizi, siber güvenlik stratejilerinin etkinliğini artırmak ve veri güvenliğini sağlamak adına vazgeçilmez bir araçtır. Denetim loglarını etkili bir şekilde yönetmek, analistlerin kurumsal güvenliği artırmada önemli bir rol oynamasını sağlar.

Risk, Yorumlama ve Savunma

Office 365 sistemlerinde gerçekleştirilen denetim logları, siber güvenlik açısından kritik bir öneme sahiptir. Bu loglar, hem kullanıcı hareketlerini hem de sistemin genel güvenliğini değerlendirme imkanı sunar. Ancak, bu logların doğru bir şekilde yorumlanması ve analiz edilmesi, olası güvenlik risklerinin önceden tespit edilmesi için gereklidir.

Logların Özellikleri ve Analiz Yöntemleri

Office 365 üzerindeki tüm servislerden (Teams, SharePoint, OneDrive vb.) gelen aktiviteler, Unified Audit Log adı verilen tek bir yapı altında toplanır. Bu sayede analistler, kullanıcı aktivitelerini ve sistem olaylarını tek bir arayüz üzerinden takip edebilir.

Log analizi sırasında belirli anahtar bilgileri sorgulamak önemlidir. Bu bilgilerin başında kullanıcı kimliği (UserId), gerçekleştirilen işlem (Operation) ve bağlantının yapıldığı IP adresi (ClientIP) gelir. Bu bilgiler, potansiyel bir saldırı durumunda saldırganın ayak izlerini izlemek için kritik bir öneme sahiptir. Örneğin, bir kullanıcı davranışında anormal bir durum gözlemlendiğinde, bu bilgiler araştırmaya başlamanın ilk adımıdır. Aşağıdaki örnek bir log kaydını göstermektedir:

UserId: JohnDoe, Operation: FileDownloaded, ClientIP: 192.168.1.10, Timestamp: 2023-10-01T12:34:56

Yukarıdaki log kaydı, JohnDoe adlı kullanıcının bir dosyayı indirdiği ve bunu 192.168.1.10 IP adresinden gerçekleştirdiğini göstermektedir. Bu tür logların analizi, potansiyel veri sızıntılarını tespit etmek için kullanılır.

Yanlış Yapılandırma ve Zafiyetler

Sistem loglarına göz atıldığında, yanlış yapılandırmalara veya sistemdeki zayıflıklara dair birçok ipucu bulunabilir. Örneğin, AnonymousLinkCreated olayının logda görünmesi, kullanıcıların önemli dosyalara şifresiz erişim sağlayabilmesiyle ilgili risk oluşturur. Bu tür durumlar, veri sızıntısı ihtimalini artırır.

SharePoint ve OneDrive logları, genellikle kurumsal dokümanların güvenliğini izlemek için kritik rol oynar. Burada karşılaşılan bazı işlemler, doğrudan "veri sızıntısı" düşüncesini tetikler. Örneğin, aşağıdaki log kaydı, bir belgenin herkese açık hale getirilmesine dair bir risk işareti sunabilir:

UserId: JaneDoe, Operation: AnonymousLinkCreated, ClientIP: 192.168.1.20, Timestamp: 2023-10-02T09:15:00

Sızan Veriler ve Topoloji Analizi

Office 365 denetim logları, sızan verilerin tespitinde ve sistem topolojisinin analizinde önemli bir rol oynar. Log dosyalarında görülen DLP Rule Trigger olayları, veri kaybı önleme kurallarının ihlal edildiğini gösterir ve bu durum analistlerin derhal harekete geçmesi gerektiğini belirtir. Ayrıca, Teams loglarında bulunan "MemberAdded" veya "ExternalUserJoined" gibi olaylar, güvenlik açısından tehlike arz eden durumlar için dikkate alınmalıdır.

Önlemler ve Hardening Önerileri

Siber güvenlikte proaktif önlemler almak, tehditlerin önüne geçmenin en etkili yoludur. Office 365 ortamında yapılabilecek bazı güvenlik önlemleri ve hardening önerileri şunlardır:

  1. Erişim Kontrolleri: Kullanıcıların sistemdeki veriye erişim yetkileri, doğru bir şekilde yapılandırılmalı ve sıkı bir şekilde denetlenmelidir. Bunun için roller tabanlı erişim kontrolü (RBAC) önerilir.

  2. Gelişmiş Uç Nokta Güvenliği: Kullanıcıların erişim sağladığı cihazların güvenliği artırılmalıdır. Bu, malware taramaları ve güncellemeleri gibi süreçleri içerir.

  3. Veri Sınıflandırma: Kuruluşlar, kritik belgeleri hassasiyet etiketleriyle sınıflandırmalıdır. Bu, hassas verilerin yanlışlıkla sızdırılmasını önlemeye yardımcı olur.

  4. Eğitim ve Farkındalık Programları: Kullanıcılar, güvenli veri paylaşımı hakkında eğitilmeli ve siber güvenlik bilinci artırılmalıdır. Bu, sosyal mühendislik saldırılarına karşı korunmada önemlidir.

Sonuç

Office 365 denetim logları, sistemin güvenliğini artırmak için çok değerli veriler sunar. Doğru yorumlama ve analiz, potansiyel risklerin zamanında tespit edilmesine yardımcı olur. Yanlış yapılandırmalar ve zafiyetler, kullanıcı verilerinin güvenliğini tehdit edebilir. Bu nedenle, düzenli audit log incelemeleri ve proaktif güvenlik önlemleri almak, siber güvenlikte kritik bir rol oynar. Kurumlar, hem kullanıcı hem de veri güvenliğini sağlamak için bu koşulları göz önünde bulundurmalı ve önlemlerini buna göre yapılandırmalıdır.