A sleek, modern office setup with a gaming PC, curved monitor, and accessories, ideal for tech enthusiasts.
Bulut TeknolojileriMicrosoft 365
Can Yıldız

İzmir merkezli 240 çalışanlı bir lojistik şirketi, 2024’te 2 başarılı phishing saldırısı (CFO sahte fatura, sevkiyat departmanı yanlış IBAN) yaşadı. Toplam zarar ~~480.000 TL. 5 ay sonunda Microsoft 365 güvenlik programı kuruldu. Bu yazı sahadaki teknik notlar.

Microsoft 365 Güvenlik Katmanları

Katman Tehdit Çözüm
Identity Hesap ele geçirme MFA + Conditional Access + Identity Protection
Email Phishing, malware Defender for Office 365 (Plan 1/2)
Endpoint Malware, ransomware Defender for Endpoint + Intune
Data Sızdırma, yanlışlıkla paylaşım Purview DLP + Sensitivity Labels
Cloud apps Shadow IT, riskli SaaS Defender for Cloud Apps
Insider risk Departed user data theft Insider Risk Management (E5)

Defender for Office 365 (Plan 2)

Anti-Phishing Policy

Policy: "Executive Protection"
Protected users:
  - CEO, CFO, CTO, all C-level (15 user)
  - Spoofing'e karşı sıkı koruma
Protected domains:
  - lojistik.com.tr (kendi domain)
  - Müşteri domain'leri (top 20)

Actions:
  - Impersonation detected: Move to Quarantine
  - Spoof intelligence: Quarantine
  - Mailbox intelligence: Move to Junk
  - First contact safety tip: Show
  - User impersonation safety tip: Show

Safe Links

Policy: "All Users - Safe Links"
Settings:
  - Real-time URL scan: Enabled
  - Wait until URL scan complete before delivery: Yes
  - Apply to internal email: Yes
  - Office apps: Word, Excel, PowerPoint URL scan
  - Click tracking: Enabled
  - User can override: No

Safe Attachments

Policy: "All Users - Safe Attachments"
Settings:
  - Action: Dynamic Delivery (preview while scanning)
  - Redirect on detection: To security@lojistik.com.tr
  - Deliver after scan complete: Yes
Office app integration:
  - Block files in OneDrive/SharePoint/Teams

Anti-Spam Policy

Policy: "Custom Spam Filter"
Bulk threshold: 6 (default 7)
Spam detection:
  - High confidence spam: Quarantine
  - Spam: Move to Junk
  - High confidence phishing: Quarantine + alert security team
Allow/Block lists:
  - Block .top, .xyz, .click TLDs (yüksek phishing oranı)
  - Allow trusted partners (top 30 domain)

Purview DLP

Veri kaybı önleme — TC kimlik, kredi kart, IBAN, müşteri listesi gibi hassas veri dış paylaşımda alarm/block.

Policy: "Türkiye Hassas Veri Koruma"
Locations: Exchange, SharePoint, OneDrive, Teams, Endpoint

Conditions (sensitive info types):
  - Türkiye Kimlik Numarası (TCKN)
  - Türkiye IBAN
  - Credit Card Number
  - Custom: "Müşteri listesi" keyword'ü

Actions:
  - Notify user (policy tip): "Bu içerik hassas veri içeriyor"
  - Block external sharing: Yes
  - Allow override with justification: Yes (audit log)
  - Send incident report to: dlp-incidents@lojistik.com.tr
  - Block download from non-managed device

Exceptions:
  - HR + Hukuk grubu (justified data export)

Sensitivity Labels

Label Kullanım Korumalar
Public Pazarlama içeriği Yok
Internal Genel kurum içi Yalnızca çalışanlar
Confidential Müşteri verisi, finansal Encryption + watermark
Confidential – Restricted Üst yönetim, M&A Encryption + sadece named user’lar
Highly Confidential Hukuk, kişisel sağlık Encryption + offline access yok

Auto-labeling: TC kimlik içeren dosya otomatik “Confidential” etiketleniyor.

MFA + Conditional Access

Policy 1: Block Legacy Auth (POP3, IMAP, SMTP basic)
Policy 2: Require MFA - All Users
Policy 3: Require Compliant Device - M365 access
Policy 4: Block Sign-in from Risky Locations (Identity Protection: high risk)
Policy 5: Require MFA + Compliant Device - Admin roles
Policy 6: Session token lifetime - 1 hour for sensitive apps

Phishing Simülasyon (Attack Simulation Training)

Defender Plan 2 ile dahili phishing simülasyon. 240 çalışanın aylık testleri:

  • İlk test: %32 başarısızlık (linke tıklama / kimlik girme)
  • 3 ay eğitim sonrası: %12
  • 6 ay sonra: %6
  • Başarısızları otomatik mikro-eğitim modülüne yönlendirme

Sonuçlar (5 Ay)

Metrik Önce Sonra
Başarılı phishing (kullanıcı kandığı) 2/yıl (480K TL kayıp) 0
Quarantine’a düşen email/gün ~~12 ~~85 (daha agresif)
Phishing simülasyon başarısızlık %32 %6
DLP incident (ay) ~~24 (çoğu user override + audit)
External sharing block (ay) ~~8 (gerçek hata önlendi)

Maliyet

Kalem Aylık (USD)
Microsoft 365 E5 (240 user × $57) $13.680
(E3 + Defender for O365 P2 + Purview Suite alternatif) ~$11.500

Lisans yatırımı yüksek görünür ama 1 başarılı phishing = ~~250K TL. Yıllık sadece 1 olay engellense ROI sağlanmış.

Sahada Düşülen Üç Tuzak

  1. Defender’ı kurup ignore etmek: Quarantine’a düşen email’leri kontrol etmemek false positive’lerin gerçek email’leri kaybetmesine yol açar. Daily review.
  2. DLP’yi block-everything mode’da başlatmak: Önce “audit only” mode 4 hafta, false positive temizlenir, sonra block.
  3. Phishing simülasyonu cezalandırma aracı yapmak: Kullanıcılar utanıyor, gerçek phishing’i bildirmemeye başlıyor. Eğitim odaklı, no-blame culture.

CloudSpark olarak Microsoft 365 güvenlik programları, Defender for Office 365 deployment, Purview DLP tasarımı, sensitivity label rollout ve phishing simülasyon programı için danışmanlık veriyoruz.

Etiketler:

Benzer İçerikler

🇹🇷 Türkçe🇬🇧 English🇩🇪 Deutsch🇫🇷 Français🇸🇦 العربية🇷🇺 Русский🇪🇸 Español