CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Microsoft Defender for Identity ile Kimlik Tehditlerini Tespit Etmek

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Microsoft Defender for Identity (MDI) kullanarak siber tehditleri tespit etme ve kimlik güvenliğini artırma yollarını keşfedin.

Microsoft Defender for Identity ile Kimlik Tehditlerini Tespit Etmek

Microsoft Defender for Identity, kimlik tehditlerini tespit etmek için bulut tabanlı bir çözüm sunar. Bu blogda, MDI'nin işleyişi, sensör mimarisi ve saldırı aşamalarını detaylı olarak öğreneceksiniz.

Giriş ve Konumlandırma

Microsoft Defender for Identity (MDI) Nedir?

Siber güvenlik dünyasında, kimlik yönetimi ve koruması, organizasyonların genel güvenlik duruşunu doğrudan etkileyen kritik bir alan olarak karşımıza çıkıyor. Microsoft Defender for Identity (MDI), bu kapsamda, bir kuruluşun Active Directory (AD) ortamını korumak amacıyla tasarlanmış bulut tabanlı bir güvenlik çözümüdür. MDI, normal kullanıcı davranışlarını izleyerek anomali tespit etmeye yönelik gelişmiş algoritmalar kullanarak, tehditlerin erken aşamalarda belirlenmesine yardımcı olur. MDI'nin ana misyonu, kötü niyetli saldırganların kimlik bilgilerini elde etmesini engellemek ve bu bilgileri kullanarak kuruluş içinde hareket etmesini tespit etmektir.

Neden Önemli?

Kimlik tabanlı saldırılar, günümüzde siber saldırganların en yaygın olarak kullandığı yöntemler arasında yer alıyor. Saldırganlar, genellikle çalınmış kimlik bilgilerini kullanarak ağda yayılmayı sağlayan Pass-the-Hash ve Pass-the-Ticket gibi saldırı teknikleri ile sistemlere sızmaktadır. Tüm bunlar, bir organizasyonun dijital varlıklarını tehlikeye atabilir ve veri kaybı, finansal zarar veya itibar kaybı gibi ciddi sonuçlara yol açabilir. Dolayısıyla, MDI gibi çözümlerin, bu tür tehditleri erken tespit edebilmesi ve savunma mekanizmalarını uzaktan kontrol etmesi, siber güvenlik stratejileri açısından hayati bir önem taşır.

Siber Güvenlik ve MDI

Siber güvenlik alanındaki en güncel tehditler ve saldırı yöntemleri hızla evrildiği için, herhangi bir organizasyonun bu tehditlerle başa çıkabilmesi için sürekli güncelleme yapması gerekiyor. MDI, bu bağlamda, Active Directory içindeki kimliklerin izlenmesini ve analizini sağlar. Kullanıcı hareketleri, ağ trafiği ve sistem etkinlikleri gibi veriler, MDI’nin sensörleri aracılığıyla devamlı olarak takip edilir. Örneğin, bir kullanıcının olağan dışı bir şekilde hassas verilere erişmeye çalışması, sistem üzerinde anında uyarılar oluşturabilir.

Sensör Mimarisi

MDI'nin temel bileşenlerinden biri sensörlerdir. Bu sensörler, doğrudan Domain Controller (DC) üzerine kurulan ve trafiği yerinde analiz eden yapıdan oluşur. Ayrıca, ağ trafiğinin bir kopyasını alarak ayrı bir sunucu üzerinde analiz yapan MDI Standalone Sensörleri de bulunmaktadır. Bu mimari, güvenlik ekiplerine, kimlik tehditlerini anlamak için gerekli derinlemesine görünürlüğü sunar ve böylece olası tehditlerin önlenmesine yardımcı olur. Aşağıdaki kod bloğu, sensör mimarisinin genel görünümünü özetlemektedir:

MDI Sensör Mimarisi:
- Doğrudan DC Sensörü
  - Yerinde trafiği analiz eder.
- MDI Standalone Sensör
  - Port mirroring ile ayrı sunucu üzerinde analiz yapar.

Tehditlerin Tespiti ve önemi

MDI, kimlik tehditlerini tespit etmede, özellikle yatay hareket (lateral movement) ve keşif (reconnaissance) saldırıları gibi aşamalarda etkili bir çözüm sunar. Saldırganlar, ağdaki kullanıcıları ve grupları haritalamak için şüpheli sorgular yapmaktadır. MDI, bu tür sorguları algılayarak, potansiyel tehditleri zamanında tespit edebilir. Ayrıca, tuzak hesaplar (honeytoken) oluşturarak, saldırganların yanıltılmasına ve yetkisiz erişim girişimlerinin fark edilmesine yardımcı olur.

Sonuç olarak, Microsoft Defender for Identity, organizasyonların kimlik temelli saldırılara karşı gelişmiş koruma sağlamakta ve aynı zamanda bu tehditlerin erken aşamada tespit edilmesine imkan tanımaktadır. MDI’nin, siber güvenlik stratejilerinin merkezinde yer alması gerektiği açıktır; çünkü tehditlerin önlenmesi ve etkili bir kimlik yönetimi için en uygun çözümü sunmaktadır. Bu teknoloji hakkında daha fazla bilgi edinmek ve teknik detayları incelemek için bir sonraki bölüme geçebiliriz.

Teknik Analiz ve Uygulama

Microsoft Defender for Identity Nedir?

Microsoft Defender for Identity (MDI), şirket içi Active Directory (AD) ortamlarında kimlik tabanlı tehditleri tespit etmek için tasarlanmış bir bulut tabanlı güvenlik çözümüdür. MDI, gelişmiş algoritmalar kullanarak kullanıcı davranışlarını analiz eder ve şüpheli etkinlikleri tespit eder. MDI'nın temel bileşenleri arasında sensörler, analiz araçları ve bulut platformu bulunmaktadır. Özellikle, kullanıcı ve grup aktivitelerini gözlemleyerek, Pass-the-Hash veya Pass-the-Ticket gibi tekniklerle yapılan saldırıları belirleyebilir.

Sensör Mimarisi

MDI, iki ana sensör türü içerir: MDI Sensor ve MDI Standalone Sensor.

  • MDI Sensor, doğrudan Domain Controller (DC) üzerine kurulan ve yerel trafiği analiz eden bir bileşendir. Bu sensör, kimlik doğrulama işlemleri sırasında geçen verileri gerçek zamanlı olarak değerlendirir.

  • MDI Standalone Sensor, DC trafiğinin bir kopyasını almak için port mirroring tekniğini kullanarak ayrı bir sunucu üzerinde analiz yapar. Bu yapı, ağ trafiğinde herhangi bir kesintiye neden olmadan detaylı analiz yapma imkanını sunar.

Kurulum bu sensörlerle gerçekleştirildiğinde, sistemin etkili bir şekilde çalışabilmesi için Directory Services Audit ile Windows günlüklerinin aktif hale getirilmesi gerekmektedir.

# Windows Server'da MDI için gerekli günlükleri aktif etme
wevtutil sl Security /rt:true

Yatay Hareket (Lateral Movement) Tespiti

MDI, birçok siber saldırgan için yaygın bir teknik olan yatay hareketleri tespit etmek üzere özel olarak tasarlanmıştır. Bu tespit süreci, ağdaki kullanıcılar, gruplar ve IP adresleri üzerinde gerçekleştirdiği şüpheli sorgularla başlar. Örneğin, bir saldırganın DNS, SMB veya LDAP gibi protokollerle sistem bilgilerinin toplamasını izlemek mümkündür. İlk tespitlerin ardından, MDI, bu tür hareketlerin neden olduğu tehlikeleri daha iyi anlamak için davranış analizi yapar.

Keşif (Reconnaissance) Saldırıları

MDI, saldırganların ağ üzerindeki kullanıcıları ve kaynakları haritalamak için gerçekleştirdiği keşif aşamalarını da izler. Bu aşamada gerçekleştirilen şüpheli sürüm sorguları ve benzeri aktiviteler MDI tarafından otomatik olarak algılanır. Örneğin, bir saldırganın güvenlik açıklarını tespit etmek amacıyla haritalama yapması durumunda, MDI bu anormal davranışları kayda alır.

# Örnek keşif sorgusu
nslookup <hedef-domaine>

Tuzak Hesaplar ve Hassas Hesaplar

MDI, tuzak hesaplar (honeytoken) oluşturarak saldırganları yanıltmak ve yetkisiz erişim girişimlerini anında fark etmek için stratejiler geliştirir. Tuzak hesaplar, kolayca çözülebilecek sahte kimliklerdir ve genellikle saldırganların ilgisini çekmek için cazip hale getirilir.

Ayrıca, MDI altında "hassas hesaplar" terimi, genelde geçen yılların en yüksek riski taşıyan hesapları tanımlamak için kullanılır. Bu hesaplar, Domain Admin gibi kritik gruplara üye olan kullanıcıları içerir.

Sensör Sağlığı ve İzleme

MDI'nın etkinliğinin sürdürülmesi için sensörlerin sağlığı son derece önemlidir. Sensörler arası iletişimde bir kesinti olduğunda veya sensör çalışmadığında, sistemin etkisiz hale gelebileceği durumlar ortaya çıkar. MDI, bu tür durumları izlemek için Health Alerts oluşturarak yöneticilere bildirimler gönderir. 

# Sensör durumunu kontrol etme komutu
Get-MdiSensorHealth

Defender XDR Entegrasyonu

Microsoft Defender for Identity, Defender XDR ile entegrasyon sağlayarak, kimlik tabanlı saldırılar üzerine daha kapsamlı bir analiz sunar. Bu entegrasyon sayesinde, uç nokta, e-posta ve diğer sinyallerle birleşen kimlik verileri, ilgili güvenlik olaylarının bütünlüklü bir resmini sunar.

Otomatik Yanıt (Remediation)

Şüpheli bir hareket tespit edildiğinde, organizasyonlar hızlı bir şekilde yanıt vermek zorundadır. MDI, tehlike oluşturan hesapları korumak için parolaların sıfırlanması ya da hesapların askıya alınması gibi otomatik yanıt işlemleri gerçekleştirilebilir. Bu tür proaktif önlemler, sistemlerin güvenliğini artırmaya yardımcı olur ve siber saldırılara karşı anında yanıt verme kabiliyetini geliştirir.

Bu yapı ve yöntemlerle Microsoft Defender for Identity, kimlik tehditlerini etkili bir şekilde tespit etmeyi ve yönetmeyi sağlar. Uygulama süreçlerini ve analiz araçlarını doğru bir şekilde kullanmak, organizasyonların siber güvenlik seviyelerini önemli ölçüde artıracaktır.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Microsoft Defender for Identity (MDI), işletmelerin Active Directory (AD) ortamlarında kimlik tehditlerini tespit etmek için geliştirilmiş bir güvenlik çözümüdür. Bu sistem, bağlı olduğu AD'deki potansiyel riskleri belirlemek için sürekli olarak kayıtları izler ve analiz eder. Ancak, MDI'nin sunduğu verilerin güvenliği anlamında doğru yorumlanması, siber savunma stratejilerini güçlendirmek açısından kritik bir adımdır.

MDI, şüpheli aktiviteleri ve hareketleri tespit etmek için çok sayıda sensör kullanır. Bu sensörler, çeşitli tehdit türlerini ve kötü niyetli eylemleri belirlemek üzere yapılandırılmıştır. Örneğin, bir kullanıcı hesabının alışılmışın dışında bir konumdan veya cihazdan erişim sağladığı durumlarda MDI, bu durumu potansiyel bir risk olarak değerlendirir.

Kullanıcı: janedoe
Erişim: Los Angeles -> New York
Zaman Aralığı: 1 saat içerisinde

Bu tür durumlar, hesap ele geçirilmesi veya kimlik hırsızlığı gibi tehditleri akla getirir. MDI, bu verileri analiz ederek ilgili güvenlik ekiplerine uyarılar gönderir, böylece hızlı bir müdahale için olanak sağlar.

Yanlış Yapılandırma ve Zafiyetler

MDI aracılığıyla elde edilen bulgular, güvenlik açıklarının ve yanlış yapılandırmaların etkilerini net bir şekilde ortaya koyabilir. Örneğin, bir sensörün doğru yapılandırılmaması durumunda, güvenlik ekipleri potansiyel tehditleri gözden kaçırabilir. "Health Alerts" olarak adlandırılan uyarılar, bu tür durumların gerçekleştiğini gösterir. Sensörler çevrimdışı olduğunda ya da gerekli verileri okuyamadığında, sistem yöneticilerinin hemen harekete geçmesini sağlayacak kritik bilgiler sunar.

Yanlış yapılandırılmış bileşenler, gelecekteki saldırganların, özellikle de "Pass-the-Hash" veya "Pass-the-Ticket" gibi teknikler kullanarak, ağa sızmalarına yol açabilir. Bu tür tehditler, zafiyetlerin açığa çıkmasına neden olur ve verilerin sızmasına zemin hazırlar. Örneğin, çift yönlü bir Domain Controller (DC) konfigürasyonu, dikkat edilmediği takdirde, "Domain Dominance" olarak bilinen durumu tetikleyebilir.

Yanlış yapılandırma türleri:
1. Sağlam yapılandırılmamış erişim kontrolleri
2. Zayıf parolalar veya parola politikaları
3. Yetersiz güncelleme yönetimi

Sızan Veri, Topoloji ve Servis Tespiti

MDI, sadece tehditleri tespit etmekle kalmaz, aynı zamanda saldırganların hedef aldıkları hesaplar, servisler ve veri tipleri hakkında da bilgiler sağlar. Örneğin, "Compromised Credentials" durumunda, kimlik bilgileri çalınmış bir kullanıcının hesaplarına erişim sağlanmış demektir. MDI, bu tür durumlarda saldırganların hangi verileri çalabileceği ve mevcut ağ topolojisini nasıl kullanabileceği hakkında raporlar sunar.

Kritik hesaplar, yani "Sensitive Accounts", MDI tarafından izlenir. Bu hesaplar ele geçirildiğinde, saldırganlar kendilerini ağda konumlandırabilir ve "Lateral Movement" adı verilen tekniklerle diğer kullanıcı hesaplarına geçiş yapabilir. Süreç sonunda, yüksek risk taşıyan kullanıcıların saldırganlar tarafından ele geçirilmesi, ciddi veri kayıplarına neden olur.

Profesyonel Önlemler ve Hardening Önerileri

MDI'nin sunduğu bulguların etkili bir şekilde kullanılması, siber güvenlik önlemlerinin güçlendirilmesi için hayati önem taşır. Güvenlik uzmanları, aşağıdaki profesyonel önlemleri alarak kurumlarını korumaya almalıdır:

  1. Aktif İzleme: MDI'nın sunduğu "Reconnaissance" ve "Lateral Movement" tespiti özelliklerini etkin bir şekilde kullanarak anlık izleme sağlanmalıdır.

  2. İleri Düzey Savunmalar: "Honeytoken" hesaplar oluşturmak, saldırganların ilgisini çekmek ve saldırı girişimlerini kayıt altına almak için etkili bir yöntemdir. Bu tuzaklar, saldırının ilk aşamalarında tespit edilmesini kolaylaştırır.

  3. Güçlü Kimlik Doğrulama: Parola politikalarını revize ederek güçlü kimlik doğrulama yöntemleri (çok faktörlü kimlik doğrulama gibi) uygulanmalıdır.

  4. Güncelleme Stratejisi: Tüm sistemlerin güncel tutulması, bilinen zafiyetlere karşı korunma sağlar. Windows ve AD üzerinde gerekli güvenlik güncellemeleri düzenli aralıklarla yürütülmelidir.

Sonuç

Microsoft Defender for Identity, kimlik tehditlerini tespit etmek ve bunlar üzerinde etkin önlemler almak için güçlü bir araçtır. Ancak elde edilen bulguların doğru yorumlanması, etkin bir savunma stratejisi oluşturmak açısından kritik öneme sahiptir. Yanlış yapılandırmalar, zafiyetler ve sızma durumları, kapsamlı bir güvenlik değerlendirmesi gerektirir. Kurumlar, belirlenen riskleri azaltmak ve daha güvenli bir ortam oluşturmak için MDI'nin sunduğu özellikleri ve önerilen önlemleri etkin bir şekilde kullanmalıdır.