CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Entra ID (Azure AD) Günlük Analizi ile Siber Tehdit Avcılığı

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Entra ID'nin günlük analizi ile siber tehditleri tespit etme yöntemlerini keşfedin.

Entra ID (Azure AD) Günlük Analizi ile Siber Tehdit Avcılığı

Entra ID (Azure AD) günlüklerinin analizi, siber güvenlik tehditlerini tanımlamak ve önlemek için kritik bir öneme sahiptir. Bu yazıda, günlük türlerini ve analiz yöntemlerini ele alıyoruz.

Giriş ve Konumlandırma

Siber güvenlik alanında, bir organizasyonun bilgi varlıklarının korunması kritik bir öneme sahiptir. Bu süreç, hem dış tehditler hem de iç zafiyetler söz konusu olduğunda sürekli bir dikkat ve takip gerektirir. Entra ID (eski adıyla Azure Active Directory), özellikle bulut tabanlı kimlik yönetimi çözümleri arasında öne çıkan bir platformdur. Bu sistem, kullanıcıların kimlik bilgilerini güvenli bir şekilde yönetmelerine ve doğrulamalarına olanak tanıdığı gibi, aynı zamanda güvenlik olayları ve bu olayların izlenmesi konusunda da önemli araçlar sunar.

Günlüklerin Önemi

Entra ID günlükleri, sistemde gerçekleşen olayların detaylı kayıtlarını tutan yapılar olarak karşımıza çıkar. İki ana türde günlük bulunmaktadır: Audit Logs (denetim günlükleri) ve Sign-in Logs (oturum açma günlükleri). Denetim günlükleri, kullanıcı ve grup değişiklikleri gibi yapılandırma olaylarını takip ederken; oturum açma günlükleri, kullanıcıların ve uygulamaların kimlik doğrulama girişimlerini belgelemektedir. Bu günlükler, siber saldırılara karşı etkili bir savunma ve yanıt mekanizması kurmak için gereklidir.

Günlük analizi, yalnızca suçluların eylemlerini takip etmekle kalmaz, aynı zamanda sistem yöneticilerine ve güvenlik profesyonellerine, alışılmadık ve şüpheli aktiviteleri erken aşamada tespit etme imkanı sunar. Örneğin, günlüklerde yer alan "kaba kuvvet saldırısı" bulguları, bir kullanıcının hesabına yönelik izinsiz giriş denemelerini belirlemek için kritik göstergelerdir.

Analiz ve Tespit

Entra ID günlüklerinin analizi, kullanıcıların davranışlarını anlamak ve anormal aktiviteleri tespit etmek için kullanılır. Örneğin, çok sayıda başarısız oturum açma denemesi belirli bir kullanıcı adına gerçekleştirildiğinde ve bu denemeler kısa bir süre içerisinde meydana geldiğinde, bu durum bir kaba kuvvet saldırısının göstergesi olabilir. ```kql SignInLogs | where ResultType == "50126" // 50126 başarılı olmayan oturum açma denemesi | summarize count() by UserPrincipalName, bin(TimeGenerated, 1h) | order by count_ desc

Yukarıdaki Kusto Query Language (KQL) sorgusu, belirli bir zaman diliminde başarısız oturum açma girişimlerini analiz etmek için kullanılabilir.

MFA (Çok Faktörlü Kimlik Doğrulama) yorgunluğu saldırıları da önemli bir tehdit oluşturur. Saldırganlar, kullanıcıya birden fazla MFA onayı gönderip, bu istekleri kötüye kullanarak yetkisiz giriş yapmaya çalışabilir. Bu tür saldırıların izlenebilmesi için, MFA onaylarının kaydını tutan log verilerini analiz etmek gerekir.

### Cylindrical Bakış Açısı ve Koruma

Siber güvenlik analistleri olarak, Entra ID günlükleri incelemelere katılarak, organizasyonel güvenliğin sağlayıcısı olarak kritik bir rol üstleniyoruz. Bu analizlerin sağlıklı bir şekilde yapılması için; günlüklerin düzgün bir şekilde saklanması, analiz edilmesi ve yönetilmesi gerekir. Microsoft Sentinel gibi bir SIEM çözümü (Güvenlik Bilgisi ve Olay Yönetimi) kullanılarak Entra ID günlüklerine erişim sağlayabiliriz. Böylelikle, log analitiğiyle güvenlik tehditlerini tanımlamak ve önlemek için daha etkili bir yol haritası oluşturmak mümkün olur. 

Log Analytics Workspace, günlük verilerinin toplandığı ve KQL ile sorgularının yapıldığı merkezi bir alan olarak oldukça önemli bir bileşendir. Burada toplanan veriler sayesinde, ilgili günlüklerden detaylar çıkarılarak riskli davranışlar tespit edilebilir. Algılanan riskli kullanıcıların analizi, organizasyonun genel güvenlik sağlamlığı açısından kritik bir noktadır.

Sonuç olarak, Entra ID günlük analizi, yalnızca bir izleme ve raporlama aracı değil, aynı zamanda siber tehditlere karşı proaktif bir savunma mekanizması olarak da işlev görmektedir. Bu süreç, güvenlik profesyonellerinin sistemdeki tüm değişiklikleri detaylı bir şekilde takip etmesine olanak tanırken, aynı zamanda siber tehditlere karşı daha dayanıklı bir altyapı oluşturulmasına yardımcı olur.

## Teknik Analiz ve Uygulama

## Audit Logs vs. Sign-in Logs

Siber güvenlik uygulamalarının temel unsurlarından biri, sistemlerdeki olayların ve kullanıcı davranışlarının düzenli olarak izlenmesidir. Entra ID, bu amaçla iki önemli günlük türü sunar: Audit Logs (denetim günlükleri) ve Sign-in Logs (oturum açma günlükleri). 

Audit Logs, kullanıcı ve grup değişiklikleri, politika güncellemeleri gibi yapılandırma olaylarını takip ederken, Sign-in Logs, kullanıcıların oturum açma girişimlerini içerir. İki günlük türü arasında yapılan ayrım, güvenlik analistlerinin olayları daha etkin bir şekilde analiz etmelerine olanak tanır.

```kusto
// Sign-in günlüklerini listeleme
SignIns
| where CreatedDateTime > ago(30d)
| summarize count() by UserPrincipalName

Bu örnek, son 30 gün içerisinde her bir kullanıcı için kaç kere oturum açıldığı bilgisini verir.

Günlük Kategorileri

Entra ID izleme arayüzünde, günlükler belirli kategorilere ayrılmıştır:

  • Sign-in Logs: Kullanıcıların ve uygulamaların kimlik doğrulama girişimlerini içerir.
  • Provisioning Logs: Kullanıcıların üçüncü taraf uygulamalarda oluşturulma süreçlerini izler.
  • Risky Users: Algılanan riskli davranışlara sahip kullanıcıların tarihsel özetini sunar.

Bu kategoriler arasında ilişki kurmak, analiz sürecinin verimliliğini artırır.

Oturum Açma Türleri

Oturum açma girişimleri, farklı türlere ayrılır:

  • Interactive Sign-ins: Kullanıcının kendi bilgileriyle bizzat başlattığı oturumlar.
  • Non-interactive Sign-ins: Uygulamaların kullanıcı adına arka planda gerçekleştirdikleri işlemler.
  • Managed Identity Sign-ins: Azure kaynaklarının, secret kullanmadan birbirleriyle kimlik doğrulama işlemlerini yaptığı durumlar.

Bu türlerin farkında olmak, potansiyel tehditleri tanımlamada yardımcı olur.

Brute Force Tespiti

Brute force (kaba kuvvet) saldırıları, bir kullanıcıya yönelik kısa sürede gelen çok sayıda başarısız oturum açma denemesi ile tespit edilebilir. Entra ID'deki Sign-in Logs, bu tür saldırıları analiz etmek için kritik öneme sahiptir.

// Kaba kuvvet saldırılarını tespit etmek için sorgu
SigninLogs
| where ResultType == "50126" // Başarısız oturum açma
| summarize Attempts=count() by UserPrincipalName, bin(TimeGenerated, 1h)
| where Attempts > 10

Yukarıdaki sorgu, belirli bir kullanıcı için saatlik olarak 10'dan fazla başarısız giriş denemesi olan zaman dilimlerini gösterir.

Request ID ve Correlation ID

Sistemlerdeki olayların birbiriyle ilişkisini anlamak için kullanılan benzersiz tanımlayıcılardır. Bir oturum açma işlemini tüm sistemlerde uçtan uca takip etmek için Correlation ID kullanılır. Bu ID, inceleme sırasında hem güvenlik uzmanlarına hem de sistem yöneticilerine olayları kolayca ilişkilendirme imkânı tanır.

MFA Fatigue (Push Spam) Analizi

MFA (Çok Faktörlü Kimlik Doğrulama) yorgunluğu saldırıları, kullanıcıların birden fazla onaylama isteği alması ile karakterizedir. Bu tür saldırılarda, birbiri ardına gelen onaylanmamış MFA istekleri, sonrasındaki tek bir başarılı giriş, kritik bir kanıt oluşturur.

Tanılama Ayarları (Diagnostic Settings)

Entra ID günlüklerini, Microsoft Sentinel gibi SIEM çözümlerine veya bir Storage Account'a aktarmak için yapılan yapılandırma, Diagnostic Settings olarak adlandırılır. Bu ayarlarla ilgili aşağıdaki şekilde bir yapılandırma örneği sunulabilir:

az monitor diagnostic-settings create --resource <resource_id> --settings <settings_json>

Bu komut, belirtilen kaynak için tanılama ayarlarını oluşturur ve günlüklerin belirtilen hedefe akışını sağlar.

Kusto Query Language (KQL)

Microsoft'un veri sorgulama dili olan KQL, Entra ID günlüklerini analiz etmek için kullanılır. Aşağıda, örnek bir KQL sorgusu bulunmaktadır:

// Kullanıcıların oturum açma denemelerini listeleme
SigninLogs
| where TimeGenerated > ago(1d)
| project UserPrincipalName, ResultType, TimeGenerated

Bu sorgu, son bir gün içerisinde kullanıcıların oturum açma denemelerini ve sonuç türlerini listeleyecektir.

Break-glass Account İzleme

Acil durum (Break-glass) hesapları, genellikle nadiren kullanılmakta ve kritik durumlarda erişim amacıyla oluşturulmuştur. Bu hesapların sıkı izlenmesi gerekmektedir, çünkü normal kullanım senaryolarında bu hesaplarla yapılan her oturum açma işlemi yüksek öncelikli alarm oluşturmalıdır.

Log Analytics Workspace

Buluttan gelen günlüklerin toplandığı, saklandığı ve KQL ile sorgulandığı merkezi veritabanı alanına Log Analytics Workspace denir. Bu alan, kayıtların analiz edilmesi ve raporlanması için gereklidir. Önceden yapılandırılan günlükler buraya yönlendirilerek, kapsamlı bir görünürlük sağlanmış olur.

az monitor log-analytics workspace create --resource-group <resource_group> --workspace-name <workspace_name>

Bu komut ile yeni bir Log Analytics Workspace oluşturulabilir. Log Analytics, güncel verilerin analiz edilebilmesini ve güvenlik tehditlerine karşı proaktif bir yaklaşım geliştirilebilmesini sağlar.

Bu yapılandırmalar ve analiz yöntemleri, Entra ID ile etkili bir siber güvenlik stratejisi oluşturmanın temel bileşenleridir. Gelişen tehdit vektörleri karşısında güvenlik uzmanlarının bilgiye ulaşması, olayları analiz etmesi ve gerektiğinde aksiyon alması kritik bir gereklilik haline gelmiştir.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Yorumlama

Günlüklerin Önemi

Entra ID (Azure AD) günlük analizi, organizasyonların güvenlik risklerini değerlendirmeleri ve potansiyel tehditleri tanımlamaları için kritik bir araçtır. Günlükler, güvenlik olaylarının ayrıntılı bir kaydını sunarak, meydana gelen etkinliklerin arka planını anlamaya yardımcı olur. Özellikle, audit günlükleri (güvenlik yapılandırma değişiklikleri) ve oturum açma (sign-in) günlükleri, kullanıcı davranışını ve sistem hareketlerini izleyerek tehdit avcılığı için önemli ipuçları sağlar.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, siber güvenlik açısından büyük riskler yaratabilir. Örneğin, bir sistemde Authentication (kimlik doğrulama) ayarlarının hatalı yapılması, yetkisiz erişime zemin hazırlayabilir. Bu tür hatalar, kullanıcıların veya uygulamaların üzerinde çalıştığı kaynaklara kolayca erişim sağlamasına neden olabilir.

Zafiyetlerin tespit edilmesi durumunda, bu durumun etkileri ciddiyetle değerlendirilmelidir. Örneğin, aşağıdaki KQL sorgusu, bir sistemde oturum açma denemelerini inceleyerek kaba kuvvet saldırılarına karşı sanal bir önlem almaya olanak tanır:

SigninLogs
| where ResultType == '0' // Başarılı girişler
| summarize FailedAttempts = count() by UserPrincipalName
| order by FailedAttempts desc
| take 10

Bu sorgu, her kullanıcı için başarısız oturum açma denemelerini sayar ve en fazla deneme yapan 10 kullanıcıyı sıralar. Bu tür veriler, sistem yöneticilerine hangi kullanıcıların potansiyel tehdit oluşturduğunu göstermekte yardımcı olur.

Sonuçların Yorumlanması

Toplanılan verilerin etkili bir şekilde yorumlanması, organizasyonun güvenlik stratejisinin başarısı için elzemdir. Örneğin; eğer bir kullanıcı sık sık başarısız giriş denemeleri gerçekleştiriyorsa, bu durum o hesap üzerinde bir tehdit olabileceğini gösterir. Aynı zamanda, üst üste gelen MFA (Çok Faktörlü Kimlik Doğrulama) istekleri, MFA yorgunluğu saldırısının potansiyel bir göstergesi olabilir. Aşağıdaki örnek, bunu nasıl yorumlayabileceğimizi göstermektedir:

SigninLogs
| where ResultType != '0' // Başarısız girişler
| where Application == 'MFA App'
| summarize AttemptCount = count() by UserPrincipalName, ClientApp
| where AttemptCount > 5 // 5'ten fazla talep
| order by AttemptCount desc

Profesyonel Önlemler ve Hardening Önerileri

Siber tehditlere karşı etkili bir savunma oluşturmak için bazı temel önlemler alınmalıdır:

  1. Güçlü Kimlik Yönetimi: Tüm kullanıcı hesaplarının güçlü parolalar ve çok faktörlü kimlik doğrulama ile korunması sağlanmalıdır.

  2. Doğru Yetkilendirme: Kullanıcılara sadece ihtiyaçları olan izinlerin verilmesi, kötüye kullanımı azaltacaktır.

  3. Acil Durum Hesaplarının İzlenmesi: Acil durum (break-glass) hesapları sıkı bir şekilde izlenmeli ve bu hesaplarla gerçekleştirilen tüm oturum açma işlemleri için yüksek öncelikli alarm oluşturulmalıdır. Bu hesaplar genellikle normal olarak kullanılmadığı için bir tehdit durumunu hızlıca işaret edebilir.

  4. Düzenli Günlük Analizi: Günlüklerin düzenli olarak incelenmesi, potansiyel zafiyetlerin ve tehditlerin zamanında tespit edilmesine olanak tanır. Microsoft Sentinel gibi SIEM çözümlerinin kullanımı bu süreçleri otomatikleştirebilir ve hızlandırabilir.

  5. İzleme ve Yanıt Planları: Saldırı durumunda hızlı bir yanıt planı oluşturulması, hasarın en aza indirilmesini sağlar.

Sonuç

Entra ID günlük analizi ile gerçekleştirilen siber tehdit avcılığı, organizasyonlar için hayati bir öneme sahiptir. Elde edilen verilerin ve bulguların doğru yorumlanması, olası tehditleri ve zafiyetleri ortaya çıkarmaktadır. Doğru savunma önlemleri ile bu tehditlere karşı etkili bir savunma oluşturulması sağlanabilir. Siber güvenlik önlemlerinin sürekli olarak gözden geçirilmesi, değişen tehdit ortamında gerekli önlemlerin alınmasını ve organizasyonların güvenliğinin sağlanmasını temin eder.