Exchange Online Protection ve Exchange Online Advanced Threat Protection Servislerini PowerShell İle Yönetmek – Bölüm 1

Exchange Online Protection ve Exchange Online Advanced Threat Protection Servislerini PowerShell İle Yönetmek – Bölüm 1

 

Bu makale serimizde Exchange Online içerisinde bulunan Exchange Online Protection ve Exchange Online Advanced Threat Protection servislerini PowerShell ile yönetiminin nasıl gerçekleştirileceğinden bahsedeceğiz. PowerShell ile Exchange Online üzerinde toplu olarak kural güncellemeleri yaparken işimizi oldukça kolaylaştırıyor. Bu makalede işleyeceğimiz konu başlıkları aşağıda listelenmiştir.

Advanced Threat Protection (ATP) PowerShell Komutları

·         Get-AdvancedThreatProtectionTrafficReport

·         Get-SafeAttachmentPolicy

·         New-SafeAttachmentPolicy

·         Remove-SafeAttachmentPolicy

·         Set-SafeAttachmentPolicy

·         Disable-SafeAttachmentRule

·         Enable-SafeAttachmentRule

·         Get-SafeAttachmentRule

·         New-SafeAttachmentRule

·         Remove-SafeAttachmentRule

·         Set-SafeAttachmentRule

·         Get-SafeLinksPolicy

·         New-SafeLinksPolicy

·         Remove-SafeLinksPolicy

·         Set-SafeLinksPolicy

·         Disable-SafeLinksRule

·         Enable-SafeLinksRule

·         Get-SafeLinksRule

·         New-SafeLinksRule

·         Remove-SafeLinksRule

·         Set-SafeLinksRule

·         Get-UrlTrace

Anti-Malware PowerShell Komutları

·         Get-MalwareFilterPolicy

·         New-MalwareFilterPolicy

·         Remove-MalwareFilterPolicy

·         Set-MalwareFilterPolicy

·         Disable-MalwareFilterRule

·         Enable-MalwareFilterRule

·         Get-MalwareFilterRule

·         New-MalwareFilterRule

·         Remove-MalwareFilterRule

·         Set-MalwareFilterRule

Anti-Spam PowerShell Komutları

·         Get-HostedConnectionFilterPolicy

·         Set-HostedConnectionFilterPolicy

·         Get-HostedContentFilterPolicy

·         New-HostedContentFilterPolicy

·         Remove-HostedContentFilterPolicy

·         Set-HostedContentFilterPolicy

·         Disable-HostedContentFilterRule

·         Enable-HostedContentFilterRule

·         Get-HostedContentFilterRule

·         New-HostedContentFilterRule

·         Remove-HostedContentFilterRule

·         Set-HostedContentFilterRule

·         Get-HostedOutboundSpamFilterPolicy

·         Set-HostedOutboundSpamFilterPolicy

·         Get-QuarantineMessage

·         Release-QuarantineMessage

·         Get-QuarantineMessageHeader

DomainKeys Identified Mail (DKIM) PowerShell Komutları

·         Get-DkimSigningConfig

·         New-DkimSigningConfig

·         Rotate-DkimSigningConfig

·         Set-DkimSigningConfig

Mailbox Junk Email Configuration PowerShell Komutları

·         Get-MailboxJunkEmailConfiguration

·         Set-MailboxJunkEmailConfiguration

 

Advanced Threat Protection (ATP) PowerShell Komutları

 

Get-AdvancedThreatProtectionTrafficReport:  Get-AdvancedThreatProtectionTrafficReport komutu ile güvenli ekler ve güvenli linklere ait gerçekleştirilmiş olan eylemlerin raporunu almak için kullanılır. Parametre olarak ( Action, AggregateBy, Direction, DisplayBy, Domain, EndDate, EventType, Expression, MalwareName, Page, PageSize, ProbeTag, StartDate) parametrelerini alır. Belirtilen parametrelerin hepsi opsiyonel parametredir.

Action: Action parametresi, ek veya linkler üzerinden alınan eylemleri sonuçlarına göre filtrelemenize yarar. Değer olarak (Allow, AllowRedirect, BlockAccess, BlockRedirect, BypassMessage, BypassMessageSystem, ContentReplaced, InfectedAllowed, ReplaceRedirect) değerlerini alır.

AggregateBy: AggregateBy parametresi, raporlama dönemini belirtir. Değer olarak (Hour, Day ve Summary) değerlerini alır. Varsayılan değeri “Day” dir.

Direction: Direction parametresi, gelen veya giden maillerin ilişkin filtreleme yapılmasını sağlar. Değer olarak (Inbound ve Outbound) parametrelerini alır. Varsayılan değer olarak her iki değerde kullanılır.

DisplayBy: DisplayBy parametresi, raporda yer alan bilgileri nasıl düzenleyeceğinizi belirtir. Değer olarak (Action ve MalwareName) değerlerini alır. Varsayılanda “Action” değeri geçerlidir.

Domain: Domain parametresi, Exchange Online üzerinde kabul edilen etki alanları kısmındaki sonuçlar üzerinde filtre yapmanız sağlar. Birden fazla domain eklemek için virgül kullanılarak işlemler gerçekleştirilir.

EndDate: EndDate parametresi, alınacak olan raporda bitiş tarihini belirlemek için kullanılır.

EventType: EventType parametresi, gerçekleşen olaylara göre filtreleme yapmanızı sağlar.

Expression: Bu parametre Microsoft iç kullanımı için ayrılmıştır.

MalwareName: MalwareName parametresi, kötü amaçlı yazılım sonuçlarını filtrelemenizi sağlar. Değer olarak ( Excel, EXE, Flash, Others, PDF, PowerPoint, URL) değerlerini alır. Virgül ile ayırarak birden fazla değer belirtilebilir.

Page: Page parametresi, görüntülemek istediğiniz sonuçların sayfa numarasını belirtir. Bu parametre için varsayılan değer 1’dir. Fakat 1 ile 1000 arasında bir değer alabilir.

PageSize: PageSize parametresi, sayfa içerisinde en fazla yer alacak olan sonuçları belirlemek için kullanılır. Varsayılan değeri 1000’dir. Fakat 1000 ile 5000 arasında bir değer alabilir.

ProbeTag: Bu parametre Microsoft iç kullanımı için ayrılmıştır.

StartDate: StartDate parametresi, alınacak olan raporda başlangıç tarihini belirlemek için kullanılır.

 

Örnek kullanım:

Belirtilen tarihler arasındaki güvenli ekler ve güvenli linkler eylemlerinin sonuçlarını gösterir.

Get-AdvancedThreatProtectionTrafficReport -StartDate "5/01/2016" -EndDate "5/31/2016" | Format-Table

 

Raporunuzun 5000’den fazla bir değer olduğunu düşünüyor veya biliyorsanız. Belirtmiş olduğunuz tarihler arasında tüm raporları tek bir dosya içerisinde listelemenizi sağlar.

$Path = "C:\AdvancedThreatProtectionTrafficReport.csv"

$CurrMessages = $null

$Page = 1

do

{

    Write-Host "Advanced Threat Protection Traffic Report Trace Process - Page $Page..."

    $CurrMessages = Get-AdvancedThreatProtectionTrafficReport -StartDate "05/01/2016 00:00:00" -EndDate "05/31/2016 23:59:00" -PageSize 5000 -Page $Page

    $CurrMessages | Export-Csv -Path $Path -NoTypeInformation -Encoding UTF8 -Delimiter ";" -Append

    Write-Host ($CurrMessages).GetType()

    $Page++

}

Until ($CurrMessages -eq $null)

 

 

Get-SafeAttachmentPolicy: Get-SafeAttachmentPolicy komutu, organizasyon içerisinde tanımlı olan güvenli ekler politikalarını görüntülemek için kullanılır. Parametre olarak (Identity) parametresini alır. Bu parametre opsiyoneldir.

Identity: Identity parametresi, görüntülemek istediğiniz güvenli ekler politikasını belirlemek için kullanılır.

 

Örnek kullanım:

Tüm güvenli ekler politikalarını listelemek için kullanılır.

Get-SafeAttachmentPolicy

 

İsmi “Default” olan güvenli ekler politikasını görüntülemek için kullanılır.

Get-SafeAttachmentPolicy -Identity Default | Format-List

 

New-SafeAttachmentPolicy: New-SafeAttachmentPolicy komutu, organizasyon içerisinde güvenli ekler politikası oluşturmak için kullanılır. Parametre olarak (Name, Action, ActionOnError, AdminDisplayName, Confirm, Enable, Redirect, RedirectAddress, WhatIf) parametrelerini alır. Bu parametrelerde sadece “Name” parametresinin girilmesi zorunludur. Diğerleri opsiyonel parametredir.

Name: Name parametresi, yeni oluşturulacak olan güvenli ekler politikasına benzersiz bir isim vermemizi sağlar. Verilen değer içerisinde boşluk varsa tırnak içerisinde yazılmalıdır.

Action: Action parametresi, oluşturulacak olan güvenli ekler politikasında ki eylemi belirlemek için kullanılır. Değer olarak ( Allow, Block ve Replace) değerlerini alır.

ActionOnError: ActionOnError parametresi, güvenli ekler politikasında hata işleme eylemini belirtir. Değer olarak ( true ya da false) değerlerini alır.

AdminDisplayName: AdminDisplayName parametresi, güvenli ekler politikasına açıklama eklemek için kullanılır. Değer boşluk içeriyorsa tırnak içerisinde yazılmalıdır.

Confirm: Confirm parametresi, güvenli ekler politikası oluşturulurken onay işlemini otomatik olarak gerçekleştirmek için kullanılır. Değer olarak ( true ya da false) değerlerini alır.

Enable: Enable parametresi, oluşturulan güvenli ekler politikasının etkin olup olmayacağını belirtir. Değer olarak ( true ya da false) değerlerini alır. Varsayılan değer false değeridir. Yani oluşturulan politika pasif durumdadır.

Redirect: Redirect parametresi, tespit edilen kötü amaçlı yazılım eklerinin başka bir e-posta adresine göndermeyi aktif etmek için kullanılır. Değer olarak ( true ya da false) değerlerini alır.

RedirectAddress: RedirectAddress parametresi, tespit edilen kötü amaçlı yazılım eklerinin başka bir e-posta hesabına göndermek için kullanılır.

WhatIf: WhatIf parametresi, yazmış olduğunuz komutun sistem üzerinde nasıl bir değişikliğe sebep olacağını gösterir. Değişikliği gerçekleştirmez.

 

Örnek kullanım:

Bu komut “Block Attachments” isimli güvenli ekler politikasını oluşturup, politikayı aktif edip, admin@bulutnet.net adresine yeniden yönlendirme işlemini gerçekleştiriyor.

 

New-SafeAttachmentPolicy -Name "Block Attachments" -Enable $true -Redirect $true -RedirectAddress admin@bulutnet.net

 

Remove-SafeAttachmentPolicy: Remove-SafeAttachmentPolicy komutu, güvenli ekler politikasını silmek için kullanılır. Parametre olarak (Identity, Confirm, Force, WhatIf) parametrelerini alır. Bu parametrelerden “Identity” parametresinin girilmesi zorunludur.

Identity: Identity parametresi, silmek istenilen güvenli ekler politikasını belirlemek için kullanılır. Bu parametreye verilecek olan değer benzersiz olmalıdır. Yani güvenli ekler politikasına ait “Name, Distinguished name (DN) veya GUID” değerlerinden birisi yazılmalıdır.

Confirm: Confirm parametresi, silme işlemi sırasında istenilen olayı otomatik olarak onay vermesi için kullanılır. Değer olarak ( true ya da false) değerini alır.

Force: Force parametresi, yazılan silme işleminin zorunlu bir şekilde yapılacağını belirtir.

WhatIf: WhatIf parametresi, yazmış olduğunuz komutun sistem üzerinde nasıl bir değişikliğe sebep olacağını gösterir. Değişikliği gerçekleştirmez.

 

Örnek kullanım:

Bu komut “Block Attachments” isimli politikayı silmek için kullanılır.

Remove-SafeAttachmentPolicy -Identity "Block Attachments"

 

Set-SafeAttachmentPolicy: Set-SafeAttachmentPolicy komutu, var olan güvenli ekler politikasında değişiklik yapmak için kullanılır. Parametre olarak ( Identity, Action, ActionOnError, AdminDisplayName, Confirm, Enable, Redirect, RedirectAddress, WhatIf) parametrelerini alır. Bu parametrelerden sadece “Identity” parametresinin girilmesi zorunludur.

Identity: Identity parametresi, düzenlenmek istenilen güvenli ekler politikasını belirlemek için kullanılır. Bu parametreye verilecek olan değer benzersiz olmalıdır. Yani güvenli ekler politikasına ait “Name, Distinguished name (DN) veya GUID” değerlerinden birisi yazılmalıdır.

Action: Action parametresi, düzenlenecek olan güvenli ekler politikasında ki eylemi belirlemek için kullanılır. Değer olarak ( Allow, Block ve Replace) değerlerini alır.

ActionOnError: ActionOnError parametresi, güvenli ekler politikasında hata işleme eylemini belirtir. Değer olarak ( true ya da false) değerlerini alır.

AdminDisplayName: AdminDisplayName parametresi, güvenli ekler politikasına açıklama eklemek için kullanılır. Değer boşluk içeriyorsa tırnak içerisinde yazılmalıdır.

Confirm: Confirm parametresi, güvenli ekler politikası düzenlerken onay işlemini otomatik olarak gerçekleştirmek için kullanılır. Değer olarak ( true ya da false) değerlerini alır.

Enable: Enable parametresi, düzenlenen güvenli ekler politikasının etkin olup olmayacağını belirtir. Değer olarak ( true ya da false) değerlerini alır. Varsayılan değer false değeridir. Yani oluşturulan politika pasif durumdadır.

Redirect: Redirect parametresi, tespit edilen kötü amaçlı yazılım eklerinin başka bir e-posta adresine göndermeyi aktif etmek için kullanılır. Değer olarak ( true ya da false) değerlerini alır.

RedirectAddress: RedirectAddress parametresi, tespit edilen kötü amaçlı yazılım eklerinin başka bir e-posta hesabına göndermek için kullanılır.

WhatIf: WhatIf parametresi, yazmış olduğunuz komutun sistem üzerinde nasıl bir değişikliğe sebep olacağını gösterir. Değişikliği gerçekleştirmez.

Örnek kullanım:

Bu komut “Block Attachments” isimli güvenli ekler politikasında kötü amaçlı yazılum tespit edildiğinde yönlendirilecek mail adresini değiştirmek için kullanılır.

Set-SafeAttachmentsPolicy -Identity "Block Attachments" -Redirect $true -RedirectAddress umit.seyhan@bulutnet.net

 

Bu makalemizde Exchange Online Advanced Threat Protection servisine ilişkin Get-AdvancedThreatProtectionTrafficReport, Get-SafeAttachmentPolicy, New-SafeAttachmentPolicy, Remove-SafeAttachmentPolicy ve Set-SafeAttachmentPolicy komutlarının nasıl kullanılacağını göstermiş olduk. Umarım faydalı bir makale olmuştur. Bir sonraki makalemizde görüşmek üzere.

PAYLAŞ