Adıyaman merkezli, gıda + tarım + lojistik 280 çalışanlı bir grup, “ayda 2-3 kullanıcı kimlik bilgisi phishing’e veriyor” sorununa çözüm olarak Defender for Office 365 Plan 2 ile 6 aylık bir program yürüttü. Sonuç: phishing’e tıklama %~~32 → %~~3.8. Bu yazı sahadaki teknik notları paylaşıyor.
Defender for Office 365 Planları
| Özellik |
EOP |
Plan 1 |
Plan 2 |
| Anti-spam, anti-malware |
✓ |
✓ |
✓ |
| Safe Links |
— |
✓ |
✓ |
| Safe Attachments |
— |
✓ |
✓ |
| Anti-phishing (impersonation) |
Temel |
Gelişmiş |
Gelişmiş |
| Threat Explorer |
— |
— |
✓ |
| Attack Simulation Training |
— |
— |
✓ |
| Automated Investigation & Response |
— |
— |
✓ |
| Threat Trackers |
— |
— |
✓ |
| Fiyat (USD/user/ay) |
Dahil M365 E1+ |
~$2 |
~$5 (E5 dahil) |
Faz 1: Baseline (Önce Ölçüm)
| Metrik |
Önce |
| Aylık phishing/spam quarantined |
~~~~14.000 |
| Quarantine’a kaçan ama tıklayan user |
~~~~28/ay |
| Kimlik bilgisi paylaşımı (incident) |
~~2-3/ay |
| Defender Secure Score |
52 |
Faz 2: Konfigürasyon (1-2. Ay)
Anti-Phishing Policy
Standart preset: Strict
+ Custom impersonation protection:
- User impersonation: 25 user (CEO, CFO, GM'ler, IT director)
- Domain impersonation: holding.com.tr + 4 alt domain
- Mailbox intelligence: Enabled
- First contact safety tip: Enabled
- Action on detected: Quarantine
- Notify if quarantined: Yes (kullanıcıya tip)
Safe Links
Time-of-click protection (link tıklandığında detonate):
- Office 365 apps (Outlook, Teams)
- Tüm domain'ler (whitelist hariç)
- Track user clicks: Yes
- Wait for verdict: Yes (yavaş gelirse bekle)
- Block if not verified: Yes
- URL rewrite: Yes
Safe Attachments
Detonation chamber:
- Action: Dynamic Delivery
(mail body hemen, ek "scanning" sonra)
- Redirect attached: No (default kullanıcı erişir)
- Block if scan timeout: Yes
- Quarantine policy: AdminOnlyAccessPolicy
Quarantine Policy
- High confidence phishing: Admin only release (kullanıcı göremez)
- Standard phishing: User'a notify, request release admin onaylar
- Spam: User self-release
- Malware: Admin only
Faz 3: Attack Simulation Training (3-4. Ay)
Simülasyon Tipleri
| Tip |
Açıklama |
| Credential harvest |
Sahte M365 login sayfası |
| Malware attachment |
Sahte bir .docm açma simülasyonu |
| Link in attachment |
PDF içinde link |
| Link to malware |
Mail’de link, indir |
| Drive-by URL |
Linke tıkla → sahte sayfa |
| OAuth consent grant |
Sahte uygulama yetki iste |
İlk Simülasyon (Hafta 1)
Kampanya: “İK departmanından maaş bordrosu” credential harvest. 280 user’a gönderildi, 2-3 dakika içinde:
| Aksiyon |
Sayı |
% |
| Mail açıldı |
198 |
%~~71 |
| Link tıklandı |
89 |
%~~32 |
| Bilgi girildi |
52 |
%~~19 |
| Şüpheli rapor edildi (ilk hafta) |
14 |
%~~5 |
Eğitim Atama
- Bilgi giren 52 user → 25 dakikalık zorunlu eğitim modülü
- Link tıklayan 37 user → 10 dakikalık modül
- Açan ama tıklamayan → kısa farkındalık
- Rapor eden 14 → “kahraman” tebrik mesajı
3 Ay Sonra Tekrar Simülasyon
| Aksiyon |
Hafta 1 |
3 Ay Sonra |
| Mail açıldı |
%~~71 |
%~~58 |
| Link tıklandı |
%~~32 |
%~~12 |
| Bilgi girildi |
%~~19 |
%~~3.8 |
| Şüpheli rapor edildi |
%~~5 |
%~~38 |
Faz 4: Threat Explorer + Hunting (5. Ay)
Threat Explorer ile hunt:
- Subject contains "fatura"
- Sender domain != *.com.tr (yurt dışı)
- Attachment type: .doc, .xls, .pdf, .iso
- Time: son 30 gün
- Filter: phishing detected = Yes
Sonuç: 8 yeni pattern keşfi → custom rule yazıldı
Faz 5: AIR (Automated Investigation & Response) Sonuçları (6. Ay)
Otomatik investigation çalıştı:
| Sonuç |
6. ay |
| Otomatik investigation tetiklendi |
~~~~340 |
| Threats remediated otomatik |
~~~~280 |
| Manuel review gerektiren |
~~60 |
| False positive |
~~24 |
| Tasarruf (analyst saat) |
~~~~120 saat/ay |
Genel Sonuçlar (6 Ay)
| Metrik |
Önce |
Sonra |
| Quarantine’a kaçan tıklayan user |
~~~~28/ay |
~~3-4/ay |
| Credential paylaşımı |
~~2-3/ay |
~~0-1/yıl |
| Phishing rapor eden user |
%~~5 |
%~~38 |
| Defender Secure Score (email) |
52 |
89 |
| BEC (CEO fraud) tespit |
0 (gözden kaçıyordu) |
~~3 simulation + 0 başarılı saldırı |
Maliyet
| Kalem |
Aylık (USD) |
| Defender for O365 Plan 2 (280 user × $5) |
~~$1.400 |
| (E5 lisansı zaten varsa dahil) |
— |
| Eğitim platform (kullanım dahili) |
$0 |
| Toplam |
~~$1.400 (P2 add-on olarak) |
Sahada Düşülen Üç Tuzak
- Sadece teknik kontrol koyup eğitim vermemek: Defender bir kısmını yakalar, ama insan zinciri en zayıf halka. Quarterly simulation + training şart.
- Strict preset + custom rule eklemeden bırakmak: TR’ye özel tehditler (TR domain spoofing) custom impersonation gerektirir.
- Phishing rapor sürecini zorlaştırmak: “Report Phishing” butonu Outlook’a entegre değil → user rapor etmiyor. Add-in deploy + Champion programı.
CloudSpark olarak Defender for Office 365 P1/P2 konfigürasyonu, anti-phishing impersonation policy, Attack Simulation Training programı, Threat Explorer hunting ve AIR (Automated Investigation) için danışmanlık veriyoruz.
