CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Active Directory İzleme: Kimlik Doğrulama Logları ve Güvenlik Tehditleri

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Active Directory izleme yöntemleri ile güvenlik açıklarını tespit edin. Kimlik doğrulama loglarını analiz ederek saldırganlara karşı önlemler alın.

Active Directory İzleme: Kimlik Doğrulama Logları ve Güvenlik Tehditleri

Bu yazıda Active Directory'nin önemi, kimlik doğrulama loglarının yönetimi ve olası güvenlik tehditlerine karşı nasıl bir strateji geliştirileceği ele alınıyor. Siber güvenliği artırmak için gerekli bilgiler burada!

Giriş ve Konumlandırma

Siber güvenlik alanında, özellikle kurumsal ağların yönetiminde Active Directory (AD), merkezi bir kimlik yönetim sistemi olarak kritik bir rol oynamaktadır. Active Directory, organizasyon içindeki kullanıcıların kimlik bilgilerini, erişim haklarını ve gruplarını yönetmek için kullanılan bir Microsoft teknolojisidir. Bu sistem, ağdaki güvenlik ve erişim kontrollerinin temelini oluşturarak, ağ yöneticilerine kullanıcı hesaplarını ve izinlerini düzenleme yetkisi tanır. Ancak, bu aynı zamanda siber saldırganlar için de cazip bir hedef haline gelir.

Siber güvenlik açısından bakıldığında, Active Directory izleme süreçleri, ağın güvenliği için hayati öneme sahiptir. Kullanıcıların kimlik doğrulama esnasında oluşturduğu loglar, bir saldırı gerçekleştiğinde veya olası bir tehdit varlığında izlenmesi gereken önemli kayıtları içerir. Bu loglar; kullanıcı oturum açma işlemleri, hesap yönetimi, grup değişiklikleri gibi kritik olayları içermektedir. Bu veriler, sistem yöneticilerine hem güvenlik tehditlerini tespit etme hem de aksiyon alma konusunda rehberlik eder.

Neden Önemli?

Active Directory'nin izlenmesi, organizasyonların siber güvenlik stratejilerinin temel yapı taşlarından biridir. Artan siber saldırı sayısı ve karmaşık saldırı vektörleri göz önüne alındığında, bu süreçler şunlar için kritik öneme sahiptir:

  1. Erken Tehdit Tespiti: Log analizleri, kullanıcı davranışındaki anormalliklerin fark edilmesini sağlar. Örneğin, belirli bir zaman diliminde beklenmedik giriş denemeleri veya anormal IP adresleri üzerinden yapılan oturum açma işlemleri, potansiyel bir güvenlik açığını işaret edebilir.

  2. Olay Yanıtı: Olay takip sistemleri (SIEM gibi), loglar üzerinden bir tehdit tespit edildiğinde hızlı olay yanıtı gerçekleştirilmesine olanak tanır. Bu, saldırının büyümesini önlemek için zamanında müdahale edilmesini sağlar.

  3. Yasal ve Uyumluluk Gereklilikleri: Kurumların, veri koruma yasalarına ve sektörel düzenlemelere uyum sağlamaları gerekmektedir. Düzenli log yönetimi ve izleme, denetim süreçlerinde büyük kolaylık sağlar.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlamlandırma

Active Directory loglarının analizi, siber güvenlik uzmanları için bir pentest (penetrasyon testi) süreci üzerinde çalışırken de önem taşır. Bir penetrasyon testi sırasında, saldırganlar hedef sistemlerin zafiyetlerini keşfetmeyi ve bu zafiyetler üzerinden sistemlere sızmayı amaçlar. Ancak, bu süreçte logların gözlemlenmesi, saldırganların tespitini kolaylaştırır ve savunma stratejilerinin geliştirilmesine katkı sağlar.

Ayrıca, günümüzde sıkça kullanılmakta olan Kaba Kuvvet (Brute-Force) saldırıları, Active Directory üzerinde log analizi ile tespit edilebilir. Örneğin, çok sayıda yanlış biçimde şifre girme denemesi sonucunda hesap kilitlenme olayını (Event ID 4740) tetiklemek, saldırının bir göstergesi olabilir. Bu durum, saldırganın hesap erişim bilgilerini elde etme çabasını net bir şekilde ortaya koyar.

Teknik İçeriğe Hazırlık

Active Directory'nin detaylı analizi, logların içeriğini anlamayı ve bu loglardan nasıl yararlanılacağını bilmeyi gerektirir. Örneğin, Event ID açısından, yeni bir kullanıcı hesabının oluşturulması (Event ID 4720) veya kritik bir güvenlik grubuna yeni bir üyenin eklenmesi (Event ID 4728) gibi olaylar, sistemdeki potansiyel tehditleri tespit etme adına önemli göstergelerdir.

Ayrıca, analiz sürecinde göz önünde bulundurulması gereken anomali türleri de bulunur. Örneğin, zaman anomalisinin (Time Based) izlenmesi, normal çalışma saatleri dışında gerçekleşen oturum açma girişimlerini işaret edebilirken; hız/konum anomalisi (Impossible Travel) ise bir kullanıcının kısa sürede iki farklı coğrafi konumdan oturum açma denemelerini ifade eder. Bu tür anomaliler, siber saldırganların sistemden istediği gibi faydalandığını gösteren önemli izler sunar.

Sonuç olarak, Active Directory izleme süreçleri, siber güvenlik uzmanları için olmazsa olmaz bir bileşendir. Çünkü bu, sadece tehditlerin tespiti açısından değil, aynı zamanda organizasyonun genel güvenlik duruşunun güçlendirilmesi açısından kritik bir adımdır.

Teknik Analiz ve Uygulama

Ağın Kalbi: Active Directory ve Domain Controller

Active Directory (AD), kurumsal ağların yönetiminde kritik bir rol oynar. Kullanıcı kimlik bilgileri, bilgisayarlarla olan etkileşimleri ve yetkilerin merkezi olarak kontrol edilmesi amacıyla kullanılan bu sistem, Domain Controller (DC) adı verilen sunucularda barındırılır. AD, sistem yöneticilerine kullanıcı hesaplarını, gruplarını ve şifre politikalarını merkezi bir noktadan yönetebilme imkanı sunar.

Kimlik Doğrulamanın Dili: Kerberos

Modern Active Directory kurulumlarında, kimlik doğrulama işlemleri için varsayılan olarak Kerberos protokolü kullanılır. Kerberos, bir bilet tabanlı ağ protokolüdür ve kullanıcı ile Domain Controller arasında güvenli bir bağlantı sağlar. Kullanıcılar bilgisayarlarını açtıklarında, girdikleri şifre, Domain Controller'a iletilir. Doğrulama başarıyla gerçekleştiğinde, kullanıcıya bir Kerberos bileti verilir. Bu bilet, kullanıcının ağa erişimini sağlamada ve kaynaklara yetkili olarak ulaşmasında kritik bir rol oynar.

# Kerberos içindeki temel logları kontrol etmek için PowerShell komutları
Get-WinEvent -LogName 'Security' | Where-Object { $_.Id -eq 4624 -or $_.Id -eq 4776 }

Saldırganın Nihai Hedefi (Crown Jewels)

Siber güvenlik bağlamında, saldırganların ana hedefleri genellikle en yetkili gruplardır. Domain Admins grubu, AD içindeki en kritik yetkilere sahip olan gruptur. Bir saldırgan, ağa giriş yapmak için normal bir kullanıcıyı hedef alabilir. Bu ilk saldırıdan sonra, asıl amaçları Domain Admins grubuna erişmektir. Bu tür saldırılara karşı proaktif yöntemlerle önlem alınması gerekir.

Kritik Hesap Yönetimi Logları

SOC analistleri, AD üzerinden akan loglarda hesap yönetimi ile ilgili olan kritik Event ID'lere odaklanmalıdır. Bu Event ID'ler, kullanıcı hesapları üzerinde gerçekleşen etkinlikleri kayıt altına alır. Örneğin:

  • Event ID 4720: Yeni bir kullanıcı hesabı oluşturulduğunda kaydedilir. Bu durum, bir saldırganın arka kapı açma girişimi anlamına gelebilir.
  • Event ID 4724: Bir yönetici, başka bir hesabın parolasını sıfırlamaya çalıştığında kaydedilir. Yetkisiz bir parolanın sıfırlanması, sistemde tehlikeli bir değişiklik olduğunu gösterir.
  • Event ID 4728: Kritik bir güvenlik grubuna yeni bir üye eklenmesi durumunu gösterir. Yetki yükseltme girişimlerini takip etmek bu bağlamda önem taşır.

Kaba Kuvvetin Sonucu: Account Lockout

Brute-force (kaba kuvvet) saldırıları, genellikle kullanıcıların parolalarını denemek için yapılan tekrarlı giriş denemeleri ile gerçekleşir. Bir hesabın belirli bir sayıdan fazla hatalı giriş denemesi yaşaması neticesinde, bu hesap otomatik olarak kilitlenir ve analistlere bir alarm düşer. 

# Hesap kilitlenme olaylarını kontrol etmek için PowerShell
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4740}

Loglarda Anomali (Anormal Davranış) Avı

Sadece Event ID'leri bilmek yeterli değildir; aynı zamanda loglarda normal dışı davranışları tespit etmek de kritik bir öneme sahiptir. SIEM (Security Information and Event Management) sistemleri kullanarak, anomali tespiti için özel kurallar yazılabilir.

Örneğin:

  • Zaman Anomalisi: Bir çalışanın yalnızca Pazartesi-Cuma 09:00-17:00 saatleri arasında aktif olduğu varsayıldığında, Pazar günü 03:00'te yapılan bir giriş, potansiyel bir güvenlik ihlali belirtisidir.
  • Hız/Konum Anomalisi: Bir kullanıcının İstanbul'dan giriş yaptıktan 10 dakika sonra, IP adresi üzerinden Çin'den tekrar giriş yapması, yetkisiz bir erişim girişimi örneğidir.

İleri Seviye Tehdit: Golden Ticket Attack

APT (Advanced Persistent Threat) grupları gibi ileri seviye saldırganlar, Domain Controller'ı ele geçirdiklerinde, kısıtlamalara tabi olmayan sahte Kerberos biletleri üretebilirler. Gold Ticket olarak adlandırılan bu biletler, ağa erişim için sınırsız yetki sağlar. Saldırganlar için bu tür hijacker biletlerini oluşturmak, büyük tehlikeler arz etmektedir.

# Gerekli logların kontrolü için
Get-WinEvent -LogName 'Security' | Where-Object { $_.Id -eq 4769 }

Siber güvenlik uzmanlarının, Active Directory yönetimini sağlamaları ve potansiyel tehditlere karşı sürekli izleme yapmaları, sistemin güvenliğini artırmak adına vazgeçilmez bir gerekliliktir. Bu bağlamda, log analizi ve anomalilerin tespiti, etkili güvenlik stratejilerinin oluşturulmasında temel bir bileşen haline gelmiştir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Siber güvenlikte etkili bir risk değerlendirmesi, Active Directory (AD) izleme sürecinin temel taşlarından biridir. Kimlik doğrulama logları, sistem üzerinde gerçekleşen olayların kaydını tutar ve bu loglar üzerinden analiz gerçekleştirerek potansiyel güvenlik açıklarını belirlemek mümkündür. Bu nedenle, bu loglarını dikkatli bir şekilde takip etmek, yanlış yapılandırma ve zafiyetlerin belirlenmesi açısından kritik öneme sahiptir.

Yanlış Yapılandırmanın Etkileri

Yanlış yapılandırmalar, güvenlik açığı yaratabilir. Örneğin, bir kullanıcının "Domain Admins" grubuna yetkisiz bir şekilde eklenmesi, saldırganların ağa erişimi üzerinde ciddi bir tehdit oluşturur. Böyle bir durumda, aşağıdaki gibi bir log olayı kaydedilir:

Event ID 4728: Domain Admins grubuna yeni bir üye eklendi.

Bu tür olaylar, bir yönetici tarafından yapılmadıysa, potansiyel bir iç tehdit ya da dış saldırganın izni olmadan erişim sağlama girişimi anlamına gelebilir.

Sızan Veri ve Topoloji Analizi

Sızan verilerin analizi, siber saldırının iç yüzünü anlamak için esastır. Kullanıcı kimlikleri, şifreler ve yetkiler, saldırganların ulaşmayı hedeflediği en değerli veri noktalarıdır. Örneğin, bir saldırgan "Golden Ticket" saldırısıyla ağa sızdığında, Kerberos protokolü üzerinden yetkisiz biletler oluşturarak tüm kaynaklara erişim sağlayabilir.

Event ID 4769: Kerberos bilet talebi yapıldı.

Bu tür loglar, potansiyel olarak bir saldırının başlangıcına işaret edebilir; dolayısıyla yakından takip edilmelidir.

Anomali Tespiti ve Yorumlama

Log dosyalarındaki anormallikler, siber güvenlik analistlerinin dikkatini çekmelidir. Birçok farklı anomali türü, potansiyel güvenlik ihlalleri için göstergeler sağlar. Örneğin, aşağıdaki türlerden biri üzerinde durulabilir:

  • Zaman Anomalisi (Time Based): Bir kullanıcının normal çalışma saatleri dışındaki zaman dilimlerinde yaptığı girişimler.
  • Hız/Konum Anomalisi (Impossible Travel): Kullanıcının çok kısa bir zaman diliminde coğrafi olarak imkânsız olan alanlardan giriş yapması.

Bu anomalilerin tespit edilmesi, bir güvenlik ihlalinin varlığını veya potansiyel bir saldırının belirlenmesini sağlar ve zamanında müdahale edilmese büyük zararlar doğurabilir.

Güvenlik Önlemleri ve Hardening Önerileri

Güvenlik önlemleri almak, Active Directory yapılandırmasının güçlendirilmesi için elzemdir. Aşağıdaki öneriler, bu bağlamda dikkate alınmalıdır:

  1. Güçlü Parola Politikası: Kullanıcı hesaplarında güçlü ve karmaşık parolalar kullanılması teşvik edilmelidir. Parola değişim süreleri de düzenli aralıklarla uygulanmalıdır.

  2. Yetki Yönetimi: Gereksiz yere üst düzey yetkilere sahip hesaplar minimize edilmelidir. "Principle of Least Privilege" (En Az Hakkı Tanıma Prensibi) uygulanmalıdır.

  3. Log İzleme Otomasyonu: SIEM (Security Information and Event Management) sistemleri kullanılarak logların otomatik analizi sağlanmalıdır. Bu sistemler, anomali tespiti için kurallar yazılarak özelleştirilebilir.

  4. Eğitim ve Bilinçlendirme: Kullanıcılara yönelik düzenli güvenlik eğitimleri verilmesi, oltalama gibi sosyal mühendislik saldırılarına karşı korunma sağlayacaktır.

  5. Regular Auditing: Düzenli aralıklarla sistem denetimleri yapılmalı ve loglar gözden geçirilmelidir. Böylelikle potansiyel zafiyetler önceden tespit edilebilir.

Kısa Sonuç Özeti

Active Directory izleme, siber güvenlik alanında kritik rollerden birine sahiptir. Kimlik doğrulama loglarının izlenmesi, yanlış yapılandırmaların ve potansiyel bir saldırının belirtilerinin erken aşamada tespit edilmesine olanak sağlar. Yapılandırma ve yönetim süreçlerinin güvenliğinin sağlanması, aynı zamanda kullanıcıların bilinçlendirilmesi, siber saldırılara karşı alınabilecek etkili önlemler arasında yer alır. Bu nedenle, siber güvenlik ekiplerinin bu unsurlara özel bir önem vermesi şarttır.