Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA)
Microsoft Ignite 2019 oturumlarında Microsoft ORCA olarak bilinen, “Office 365 Advanced Threat Protection Recommended Configuration Analyzer” yayımladığnı duyurdu. Microsoft Kıdemli Premier Saha Mühendisi Cam Murray, tarafından yazılan Office 365 tenantları için çalıştırılan Exchange Online Protection (EOP) tarafından kullanılan kullanıcıların e-posta, URL ve kötü amaçlı yazılımlara karşı korumak için yazılmış Office 365 eklentisidir. Aynı zamanda ORCA, Office 365 platformlarında Advanced Threat Protection (ATP)’yi etkileyen yapılandırma sorunların ve geliştirmelerin gösterildiği rapordur. İçerisinde Content Filter Policies, DKIM, Transport Rules, Zero Hour Autopurge, Tenant Settings, Malware Filter Policy, Advance Threat Protection Policies ile ilgili ayarların raporları yer alır. Bu kategorilere ait hali hazırdaki konfigürasyonlara ait raporlar sunarken, önerilen ayarlar ile ilgili de her kategori özelinde kullanıcıları bilgilendiren linkler paylaşılır. Böylelikle kullanıcılar hali hazırdaki güvenlik ayarlarını kontrol ederken yapılması gereken iyileştirmeler konusunda da yönlendirilir.
ORCA, bir cmdlet ile PowerShell modülü yüklenerek çalıştırılır. Aynı zamanda PowerShell galerisinden Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA)’nın son modülü indirilebilir. Gelişmiş bir çözüm olan ORCA’yı çalıştırmak için aşağıdaki adımlar kullanılır:
Yönetici hesabı ile PowerShell oturumu açılır. Aşağıdaki komut çalıştırılarak ilgili modül yüklenir.
Install-Module -Name ORCA
Exchange Online PowerShell Modülü ile Exchange Online’da oturum açılır.
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session -DisableNameChecking
Exchange Online’a bağlantı sağlandıktan sonra Get-ORCAReport komutu çalıştırılarak rapor oluşturulur.
Get-ORCAReport
İlgili komutların başarılı şekilde çalışmasının ardından ilgili rapor HMTL dosyası tarayıcıda açılarak incelenir. ORCA raporu oluşturulurken hali hazırdaki konfigürasyonlar ile önerilen ayarlar karşılaştırılır. İlgili kontrollerin sağlanmasının ardından HTML raporu kullanıcılara sunulur. Böylelikle kullanıcılar değiştirmek ya da uygulamak istedikleri ayarlara karar verirler. Örnek ORCA raporunda da görüntülendiği üzere “Recommendation” ve “OK” olmak üzere yapılan konfigürasyonlarla ilgili özet rapor yer alır. Her kategori altında o kategori ile ilgili alt başlıklar ve yapılan ayarlarla ilgili değerlendirmeler detaylı olarak yer alır.
Aşağıdaki rapordaki bazı örnek veriler incelendiğinde “Bulk Complaint Level” değeri 4 ile 6 arasındaki bir değer olması hedeflenirken örnekte 7 olduğu için burada iyileştirme yapılması gerekir. Bunun ile ilgili ilgili rapor verisinin altında “Recommended settings for EOP and Office 365 ATP Security” ile önerilen yapılandırma için ilgili linkler paylaşılmıştır. Aynı zamanda ilgili ayar ile ilgili de bilgilerin bulunduğu Microsoft linkleri yine rapor içerisinde görüntülenir. Buradaki öneriler ve ayarlar ile ilgili detaylar incelendikten sonra iyileştirmeler yapılabilir.
ORCA’nın ürettiği rapor içerisindeki kategori bazındaki başlıkları aşağıdaki gibidir:
Content Filter Policies
- Bulk Complaint Level
- Mark Bulk as Spam
- Advanced Spam Filter (ASF)
- Outbound spam filter policy settings
- IP Allow Lists
- Domain Whitelisting
- Spam Action
- High Confidence Spam Action
- Bulk Action
- Phish Action
- High Confidence Phish Action
- Safety Tips
DKIM
- Signing Configuration
- DNS Records
Transport Rules
- Domain Whitelisting
Zero Hour Autopurge
- Zero Hour Autopurge is Enabled
- Zero Hour Autopurge Enabled for Phish
- Zero Hour Autopurge Enabled for Malware
- Supported filter policy action
Tenant Settings
- Unified Audit Log
Malware Filter Policy
- External Sender Notifications
- Common Attachment Type Filter
Advanced Threat Protection Policies
- Safe Links Tracking
- Safe Attachments SharePoint and Teams
- Office Enablement
- Intra-organization Safe Links
- Safe Links Synchronous URL detonation
- Anti-spoofing protection
- Safe Attachment Whitelisting
- Safe Links Whitelisting
- Advanced Phishing Threshold Level
- Mailbox Intelligence Enabled
- Domain Impersonation Action
- User Impersonation Action
- Mailbox Intelligence Action
