CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Microsoft Defender for Identity: Tehdit Algılama Süreçlerine Derinlemesine Bakış

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Microsoft Defender for Identity ile tehdit algılamanın nasıl işlendiğini keşfedin. Güvenlik süreçlerinizi güçlendirin.

Microsoft Defender for Identity: Tehdit Algılama Süreçlerine Derinlemesine Bakış

Microsoft Defender for Identity (MDI), bulut tabanlı bir güvenlik çözümü olarak, gelişmiş tehditleri ve kimlik hırsızlığını algılamada etkili bir rol oynamaktadır. MDI'nın mimarisi ve işleyişine dair detaylı bilgiler.

Giriş ve Konumlandırma

Microsoft Defender for Identity (MDI) Nedir?

Microsoft Defender for Identity (MDI), bir şirketin siber güvenliğini sağlamak için tasarlanmış, tehdit algılama, analiz ve savunma süreçlerini yöneten bulut tabanlı bir güvenlik çözümüdür. MDI, özellikle şirket içi Active Directory (AD) sinyallerini kullanarak kimlik hırsızlığı, kötü niyetli içeriden saldırılar ve gelişmiş tehditleri tespit eder. Bu bağlamda, MDI'nın temel işlevleri arasında tehditlerin algılanması ve araştırılması yer alır, bu da onu organizasyonların siber güvenlik stratejilerinin ayrılmaz bir parçası haline getirir.

Neden Önemli?

Günümüzde siber tehditler, işletmelere büyük riskler oluşturmakta ve bu tehditlerin sayısı her geçen gün artmaktadır. Özellikle insan hatasından kaynaklanan ihlaller ve içeriden gelen tehditler, şirketlerin verimliliğini ve güvenliğini tehlikeye atmaktadır. MDI, bu saldırıların önlenmesi için gelişmiş analitik beceriler ve yerel ağın derinlemesine izlenmesi gibi stratejik avantajlar sunar. Ayrıca, kimlik tabanlı saldırılarının püskürtülmesi için gereken bilgilerin dinamik bir yapıda elde edilmesini sağlar.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlam

Siber güvenlik bağlamında, MDI gibi teknolojilerin kullanımı, yalnızca bir savunma mekanizması değil, aynı zamanda proaktif bir tehdit algılama aracı olarak da çalışır. Penetrasyon testleri (pentest) sırasında, ağın güvenlik açıkları belirlenir ve bu tür sistemler, test sırasında ele alınması gereken kritik unsurlar arasında yer alır. MDI'nın sunduğu tehdit algılama ve analiz yetenekleri, siber güvenlik ekiplerinin ağda var olan zayıflıkları tespit etmesine ve bu zayıflıkları gidermesi için gereken önlemleri almasına olanak tanır. Bu nedenle, MDI'nın kullanımı, daha güvenli bir ağ yapısının inşa edilmesinde önemli bir rol oynar.

Teknik İçeriğe Hazırlık

MDI'nın çalışma prensipleri ve mimarisi, teknik bilgi gerektiren karmaşık bir yapıya sahiptir. Bu çözümü anlayabilmek için dikkat edilmesi gereken bazı temel bileşenler bulunmaktadır. MDI'nin temel bileşenleri; sensörler, veri toplama mekanizmaları ve bu verilerin analizini içermektedir. Sensörler, ağ trafiğini analiz eden ve Windows olay günlüklerini toplayan yapı taşlarıdır. Bu yapıların doğru bir şekilde konumlandırılması ve çalışır durumda tutulması, MDI'nın etkinliğini artırır.

Aşağıda, MDI'nın temel bileşenleri ile ilgili önemli bir kod örneği bulunmaktadır:

# MDI Sensör Yapılandırması
sensör_tipi = "MDI Standalone Sensor"  # Sensör tipi seçimi
kurulum_tarihi = "2023-10-01"  # Sensörün kurulum tarihi
durum = "Aktif"  # Sensörün durumu

Yukarıdaki örnek, MDI sensörlerinin nasıl yönetildiği hakkında temel bir fikir vermektedir. MDI platformunda, sensörlerin ne zaman kurulduğu, hangi türde olduğuna dair bilgiler ve durumları gibi detayların izlenmesi kritik öneme sahiptir.

Sonuç olarak, Microsoft Defender for Identity, siber güvenlik alanındaki tehditleri önceden tespit etme, analiz etme ve ortadan kaldırma noktasında işletmelere kapsamlı bir çözüm sunmaktadır. Bu yazı dizisinin ilerleyen bölümlerinde MDI'nın mimarisi, veri toplama mekanizmaları ve tehdit algılama süreçleri gibi daha detaylı konular ele alınacaktır. Bu sayede okuyucular, MDI'nın sunduğu tüm özellikler ve nasıl daha güvenli bir yapı inşa edebileceğimizi öğrenme fırsatına sahip olacaklardır.

Teknik Analiz ve Uygulama

Microsoft Defender for Identity (MDI) Nedir?

Microsoft Defender for Identity (MDI), şirket içi Active Directory (AD) sinyallerini kullanarak gelişmiş tehditleri, kimlik hırsızlığını ve kötü niyetli içeriden saldırıları tespit etmeye yönelik bulut tabanlı bir güvenlik çözümüdür. MDI, hem mevcut tehditleri tanımlamak hem de gelecekteki saldırılara karşı proaktif bir savunma sağlamak için tasarlanmıştır. MDI'nın çalışma prensibi, aktif olarak ağ trafiğini izleyerek ve olay günlüklerini analiz ederek şüpheli aktiviteleri belirlemektir.

MDI Mimarisi: Sensörler

MDI mimarisi, verilerin toplanması ve analiz edilmesi için çeşitli sensör türlerine dayanır. İki ana sensör tipi bulunmaktadır:

  1. MDI Sensor: Doğrudan Domain Controller veya Active Directory Federation Services (AD FS) sunucularına kurulur ve yerel trafiği izler. Bu sensör, ağda gerçekleşen aktiviteleri doğrudan izler.

  2. MDI Standalone Sensor: Ayrı bir sunucu üzerine kurulur ve DC'lerden 'Port Mirroring' yöntemiyle trafiği alır. Bu sensör, merkezi bir noktadan ağ trafiğini izlemeye olanak tanır.

Aşağıdaki örnek, bir MDI sensörünün nasıl kurulacağını göstermektedir:

# MDI sensör kurulumu için gerekli komut
Install-MdiSensor -DomainController "dc.example.com" -SensorType "Standalone"

Veri Toplama Mekanizması

MDI, ağ trafiğini analiz ederek ve Windows olay günlüklerini toplayarak çalışır. Toplanan veriler, bulut üzerindeki analiz motoruna iletilir. Buradaki temel mekanizma şu şekildedir:

  • Veri Toplama: MDI sensörleri düzenli aralıklarla verileri toplar ve bulut sistemine gönderir.
  • Analiz: Bulut analitik motoru, toplanan verileri işleyerek şüpheli aktiviteleri belirler.

Bu süreç, zamanında müdahale edebilmek için hayati öneme sahiptir. Aşağıdaki komut, bir sensörün durumunu kontrol etmek için kullanılabilir:

# MDI sensör durumunu kontrol etme
Get-MdiSensorStatus -SensorId "sensor123"

Keşif Faaliyetlerinin Tespiti

Saldırganların ağ üzerindeki kullanıcıları ve grupları listelemek için kullandıkları teknikler, MDI tarafından otomatik olarak algılanmaktadır. Özellikle SAM-R veya DNS sorguları gibi keşif (Reconnaissance) faaliyetleri bu kapsamda değerlendirilir.

Bu tür aktivitelerin tespiti, saldırganların ağ üzerindeki potansiyel hedefleri belirlemesini engellemeye yardımcı olur. MDI'nın keşif faaliyetlerini analiz etme yeteneği, tehdit düzeyini azaltmak ve müdahale ile yanıt süreçlerini hızlandırmak için önemlidir.

Lateral Movement Path (LMP)

Tehdit aktörleri, bir ağda yan hareket yaparak (lateral movement) daha fazla yetkiye ulaşmaya çalışırlar. MDI, bu tür hareketleri izlemek için Lateral Movement Path (LMP) analizlerini kullanır. Zamanında tespit, daha geniş çapta bir saldırının önlenmesine yardımcı olur.

LMP analizi, sistemler arasındaki ilişkileri ve potansiyel olarak zarar verebilecek yolları belirlemek için kullanılır. MDI’nın bu analizi yapabilmesi için kullanıcıların doğrudan veya dolaylı erişim yetkilerinin incelenmesi gerekir. Aşağıda bir LMP raporu görüntüleme komutu yer almaktadır:

# Lateral Movement Path raporunu görüntüleme
Get-LateralMovementPath -UserId "kayitliKullanici"

Domain Dominance Tespiti

MDI, gelişmiş saldırılara karşı koruma sağlamak için davranışsal analiz yöntemleri kullanır. Golden Ticket ve Skeleton Key gibi domain hakimiyetini hedef alan saldırılar, bu analitik sistem tarafından tespit edilebilir. Bu tür tehditlerin belirlenmesi, bir kurumun güvenlik duruşunu güçlendirmek için kritiktir.

Honeytoken Hesapları

Saldırganları cezbetmek için oluşturulan ve normalde hiç kullanılmayan sahte hesaplara "honeytoken" denir. Bu hesaplar, erişildiğinde anında MDI alarmı üreterek tehditlerin belirlenmesine yardımcı olur.

Uygulama Örneği

Honeytoken hesaplarının oluşturulması için basit bir script aşağıda verilmiştir:

# Honeytoken hesabı oluşturma
New-ADUser -Name "HoneypotAccount" -GivenName "Honeypot" -Surname "Account" -UserPrincipalName "honeypot@example.com" -AccountPassword (ConvertTo-SecureString "Sifre123!" -AsPlainText -Force) -Enabled $true

MDI ve Defender XDR Entegrasyonu

Microsoft Defender for Identity, Microsoft Defender Extended Detection and Response (XDR) ile entegre olarak çalışabilir. Bu entegrasyon, kullanıcı ve cihaz alarmlarını tek bir olay altında birleştirerek, güvenlik analistlerinin daha hızlı ve etkili bir şekilde yanıt vermesine olanak tanır.

Sensör Sağlığı

Sensörlerin sağlığı, MDI'nın doğru ve etkin çalışması için kritik bir unsurdur. Sensörlerin düzenli olarak izlenmesi ve kontrol edilmesi gerekmektedir. Aşağıdaki komut, sensörlerin durumunu kontrol etmeye yardımcı olur:

# Sensör sağlığını kontrol etme
Monitor-SensorHealth

Dışlamalar (Exclusions)

Güvenlik tarama araçları veya yönetim yazılımlarının ürettiği yanlış pozitifleri önlemek için özel dışlama ayarları yapılabilir. Bu ayarlar, sahte alarmların sayısını azaltarak güvenlik ekiplerinin konsantrasyonunu artırır. Yanlış pozitiflerin engellenmesi, anlık olaylara daha hızlı müdahale imkanı sunar.

Sonuç

Microsoft Defender for Identity, ağ güvenliğini sağlamak için kapsamlı ve güçlü bir araçtır. İnteraktif ve etkin bir tehdit algılama süreci sunarak, organizasyonların güvenlik yapısını güçlendirir. MDI'nin sunduğu avantajlar, yalnızca tehditlerin tespit edilmesiyle sınırlı olmayıp, aynı zamanda güvenlik ekiplerine kritik bilgi ve içgörüler sunar. Bu sayede, potansiyel tehditlere karşı hızlı ve etkili bir yanıt mekanizması kurmak mümkün hale gelir.

Risk, Yorumlama ve Savunma

Microsoft Defender for Identity (MDI), gerçek zamanlı tehdit algılama ve önleme için kullanılan güçlü bir araçtır. Ancak, bu aracın etkinliği, elde edilen bulguların doğru bir şekilde yorumlanmasına bağlıdır. MDI'nın sağladığı verilerden çıkartılacak sonuçlar, kurumların güvenlik stratejileri üzerinde önemli bir etkiye sahiptir.

Elde Edilen Bulguların Analizi

MDI, sistemdeki kullanıcı etkinliklerini ve ağ trafiğini analiz ederek potansiyel tehditleri tespit eder. Örneğin, ağda kullanıcıların belirli bir gruptan (örneğin, sensitivel hesaplar) beklenmeyen bir şekilde hareket ettiğini tespit ederse, bu durum potansiyel bir siber saldırının habercisi olabilir. Kullanıcıların diğer gruplar üzerindeki erişim hakları, bu tür analizler için kritik öneme sahiptir.

Saldırganlar, genellikle kuruluşların hassas bilgilerini hedef alır ve MDI bu tür tehditleri kimlik hırsızlığı veya içeriden gelen tehditlerle ilişkilendirerek algılayabilir. Aşağıdaki örnek, MDI'nın keşif faaliyetlerini nasıl tespit ettiğini göstermektedir:

Saldırganların ağda bulunan kullanıcı ve grup bilgilerini toplamak için "Reconnaissance" faaliyetlerini kullanması,
MDI tarafından otomatik olarak algılanabilir. Örneğin, SAM-R veya DNS sorguları ile bilgi edinme girişimleri izlenir.

Riskli Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, MDI'nın etkinliğini azaltabilir. Örneğin, sensörlerin doğru bir şekilde yapılandırılmaması durumunda, kritik verilerin veya ağ trafiğinin izlenememesi riski bulunmaktadır. Özellikle, sensör sağlık durumunun düzenli olarak kontrol edilmesi, görünürlük kaybını önlemek için gereklidir. Düzenli kontrollerle, aşağıdaki hususlar gözden geçirilmeli:

  • Sensörlerin aktif olduğundan emin olun.
  • Trafik analizi için doğru kaynaklardan (örn. Domain Controller) veri alındığını doğrulayın.

Yanlış yapılandırmalar ve zafiyetler, saldırganların MDI izlemelerinden kaçmasına olanak tanıyabilir. Bu yüzden, düzenli olarak yapılandırma denetimleri yapmak ve güncellemeleri takip etmek önemlidir. MDI'dan alınan sonuçlar, stratejik savunma önlemlerinin alınmasında kritik rol oynamaktadır.

Data Sızma ve Hizmet Tespiti

Microsoft Defender for Identity, sızan verilerin tespiti konusunda yardımcı olan bir dizi özellik içerir. Özellikle "Honeytoken" hesapları, saldırganları çekmek amacıyla oluşturulan sahte hesaplar olarak bilinir. Bu hesaplar, saldırganlar tarafından erişilmeye çalışıldığında hemen alarm verebilir. Aşağıdaki örnek, bu tür bir uygulamanın nasıl çalıştığını göstermektedir:

Honeytoken hesaplarının oluşturulması, saldırganların dikkatini çekmek için tasarlanmıştır. 
Bu hesaplar, normalde kullanılmayan ve herhangi bir erişim girişimi halinde MDI alarmı üreten performansa sahiptir.

Bir diğer önemli konu, MDI'nın sağladığı Lateral Movement Path (LMP) analizidir. Bu özellik, saldırganların ağda hareket ederken geçtikleri yolları analiz eder. Bu tür bir haritalama sayesinde, potansiyel bir saldırı durumunda, hangi kullanıcıların ya da cihazların tehlikede olduğunu tespit etmek mümkündür.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik risklerini minimize etmek için, aşağıdaki önlemler ve hardening önerileri uygulanabilir:

  1. Sensör Sağlığı Kontrolü: Sensörlerin düzenli kontrol edilmesi, anlık verilerin toplanmasını ve analiz edilmesini sağlar.
  2. Kullanıcı Erişim Yönetimi: Yetkilendirme süreçlerinin düzenli olarak gözden geçirilmesi, hassas hesapların korunmasına yardımcı olur.
  3. Güvenlik Politikaları: Kuruluşun güvenlik politikalarını güncellemek ve tüm çalışanlara bu konularda eğitim vermek, siber saldırılara karşı farkındalığı artırır.
  4. Düzenli Denetimler: Ağ ve kullanıcılardaki potansiyel zafiyetlerin tespit edilmesi için periyodik güvenlik denetimleri yapılmalıdır.

Sonuç

Microsoft Defender for Identity, güçlü tehdit algılama yetenekleri ile siber güvenlik süreçlerini güçlenmesine yardımcı olur. Ancak, elde edilen bulguların doğru bir şekilde yorumlanması, yanlış yapılandırmaların etkilerinin belirlenmesi ve potansiyel veri sızıntılarının tespiti kritik öneme sahiptir. Güvenlik stratejileri bu analizler doğrultusunda geliştirilmelidir ki, MDI'nın sunduğu avantajlar en üst düzeye çıkarılsın.