CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Microsoft Entra ID Protection ile Kullanıcı Risklerini Yönetmek

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Microsoft Entra ID Protection, kimlik tabanlı riskleri otomatik olarak yönetmek için geliştirilmiş bir güvenlik servisidir.

Microsoft Entra ID Protection ile Kullanıcı Risklerini Yönetmek

Microsoft Entra ID Protection, kullanıcıların kimlik tabanlı risklerini otomatik olarak algılayıp düzeltmelerine yardımcı olur. Bu blog yazısında, Entra'nın sunduğu risk yönetimi teknikleri ve avantajları ele alınıyor.

Giriş ve Konumlandırma

Microsoft Entra ID Protection ile Kullanıcı Risklerini Yönetmek

Siber güvenlik dünyası sürekli değişim ve gelişim içerisindedir. Bu bağlamda, özellikle kimlik yönetimi ve kullanıcı erişim güvenliği konuları, bilgi güvenliğinin temel taşları haline gelmiştir. Microsoft Entra ID Protection, organizasyonların kimlik tabanlı risklerini etkili bir şekilde yönetmelerine yardımcı olan kapsamlı bir güvenlik hizmetidir. Bu sistem, kullanıcı kimliklerinin korunmasında kritik bir rol oynamaktadır ve farklı risk türlerini otomatik olarak tespit etme, değerlendirme ve düzeltme yetenekleri sunmaktadır.

Entra ID Protection'ın Önemi

Kimlik tabanlı saldırılar, siber güvenlik tehditleri arasında önemli bir yer tutmaktadır. Kullanıcı adı ve parola gibi kimlik bilgileri, genellikle siber saldırganların hedefi haline gelir. Microsoft Entra ID Protection, bu gibi durumlarla başa çıkmak için çok sayıda özellik ve teknolojiyi bir araya getirir. Girilen her oturum açma isteği için, sistem çeşitli risk kategorilerini değerlendirebilir. Bu, kullanıcıların verilerinin güvenliğini artırmakla kalmayıp, işletmelerin itibarlarını ve operasyonel sürekliliklerini de güçlendirir.

Risk Yönetim Süreci

Gelişmiş risk yönetim süreçleri, siber güvenlik stratejilerinin vazgeçilmez bir parçasıdır. Microsoft Entra ID Protection, kullanıcıların risk durumlarını izlemek ve gerekli durumlarda otomatik düzeltme mekanizmalarını devreye sokmak için çeşitli stratejiler sunar. Örneğin, sızdırılmış kimlik bilgileri tespit edildiğinde, sistem hemen gerekli önlemleri alabilir. Bu, yalnızca kullanıcıların verilerinin korunmasına yardımcı olmakla kalmaz, aynı zamanda güvenlik analistlerinin iş yükünü de önemli ölçüde azaltır.

Kullanıcı riskleri genellikle iki ana kategoriye ayrılır:
1. Kullanıcı Riski (User Risk): Bir kullanıcının kimlik bilgilerinin sızdırıldığına dair olasılıktır.
2. Oturum Açma Riski (Sign-in Risk): Belirli bir oturum açma isteğinin yetkili kullanıcı tarafından yapılmama olasılığıdır.

Bu tür risklerin anında tespit edilmesi, bilgi güvenliği alanında kritik öneme sahipken, zamanında müdahale ile potansiyel veri ihlallerinin önlenmesini sağlar. Ayrıca, kullanıcı oturum açma aktivitelerinin coğrafi konum bazında izlenmesi (İmkansız Seyahat - Impossible Travel) sayesinde kullanıcıların sahte işlemlerle karşı karşıya kalma olasılığı azaltılır.

Pentest ve Savunma

Penetrasyon testleri (pentest) ve güvenlik savunmaları açısından, Entra ID Protection, sistemlerin zayıf yönlerini ve potansiyel saldırı vektörlerini belirlemek için gereken verileri sağlar. Güvenlik analistleri, raporları kullanarak riskli kullanıcılar ve oturumlar hakkında derinlemesine bilgi edinebilirler. Bu veriler, siber güvenlik stratejilerini güncellemeye ve potansiyel tehditlere karşı proaktif önlemler almaya yardımcı olur.

# Örnek: Kullanıcı aktivitesini izleme
Get-EntraAuditLog -Filter "UserPrincipalName eq 'user@domain.com'" -TimeStamp "Last30Days"

Yukarıdaki PowerShell komutu, belirli bir kullanıcının son 30 gün içerisindeki aktivite kaydını getirerek analiz edilmesine olanak tanır. Bu tür detaylı izleme, kullanıcıların güvenlik durumlarını değerlendirmek ve gerekiyorsa düzeltici adımlar atmak için kritik bir adımdır.

Sonuç olarak, Microsoft Entra ID Protection, hem büyük hem de küçük ölçekli organizasyonlar için kimlik güvenliğini yönetmek adına etkili bir araçtır. Bu sistemin sağladığı otomatik risk politikaları ve müdahale stratejileri, hem güvenlik mühendislerine hem de yöneticilere büyük kolaylıklar sunmaktadır. Siber güvenlik alanında etkin bir yönetim ve koruma uygulamak için bu tür araçların sağladığı avantajları iyi değerlendirmek gerekmektedir. İlerleyen bölümlerde, Entra ID Protection’ın sunduğu çeşitli özelliklere ve uygulama senaryolarına daha derinlemesine bir bakış açısı geliştireceğiz.

Teknik Analiz ve Uygulama

Entra ID Protection Nedir?

Microsoft Entra ID Protection, organizasyonların kimlik tabanlı risklerini otomatik olarak algılamasını, incelemesini ve düzeltmesini sağlayan bir güvenlik servisidir. Kullanıcı ve oturum açma risklerini tanımlar ve bu riskleri yönetmek için gerekli politikaları uygulayarak güvenliği artırır. Bu sistem, hem kullanıcı hesaplarının güvenliğini sağlamak hem de uygulama ve hizmetlerin risklerini yönetmek amacıyla dizayn edilmiştir.

Risk Türleri

Entra ID Protection, kullanıcı ve oturum açma riskleri olarak iki ana kategoriye ayrılır:

  1. Kullanıcı Riski (User Risk): Bir kullanıcının kimlik bilgilerinin sızdırıldığına dair olasılığı temsil eder. Bu risk, genellikle kullanıcının hesap güvenliğini tehdit eden koşullar ortaya çıktığında değerlendirilir.

  2. Oturum Açma Riski (Sign-in Risk): Belirli bir oturum açma isteğinin yetkili bir kullanıcı tarafından yapılmama olasılığını ifade eder. Bu tür riskler, kullanıcıların alışılmadık yerlerden veya şüpheli cihazlarla oturum açtıklarında ortaya çıkar.

Bu türlerin tespit edilmesi, zamanında müdahale edilmesini ve gerekli güvenlik önlemlerinin alınmasını sağlar.

Otomatik Düzeltme (Remediation)

Entra ID Protection, riskli kullanıcıların ya da oturum açma denemelerinin otomatik olarak düzeltilmesi için belirli politikalar uygular. Örneğin, şüpheli bir oturum açma tespit edildiğinde, sistem otomatik olarak kullanıcının parola sıfırlamasını veya çok faktörlü kimlik doğrulama (MFA) istemesini sağlayabilir. 

# Kullanıcı riski durumunda parola sıfırlama isteği uygulama
Set-MsolUserPassword -UserPrincipalName user@example.com -ForceChangePassword $true

Yukarıdaki PowerShell komutu, "user@example.com" için parola sıfırlama işlemi başlatır.

İmkansız Seyahat (Impossible Travel)

İmkansız Seyahat, bir kullanıcının kısa süre içinde birbirine çok uzak iki farklı coğrafi konumdan oturum açma girişiminde bulunması durumunu ifade eder. Bu tür durumlar, genellikle siber saldırıların veya kimlik hırsızlığının göstergeleridir.

Entra ID Protection, bu tür olayları tespit eder ve kullanıcıyı otomatik olarak bilgilendirir. Örneğin, eğer sistem, bir kullanıcının Avustralya'dan oturum açarken hemen ardından, birkaç dakika içinde Avrupa'dan oturum açtığını tespit ederse, bu durumu bir risk olarak işaretler.

Tespit Zamanlaması

Risklerin zamanında tespit edilmesi, siber güvenlik süreçlerinin etkinliği açısından son derece kritiktir. Entra ID Protection, hem gerçek zamanlı hem de geçmişe dönük analiz yöntemleri kullanarak riskleri tespit eder.

  • Gerçek zamanlı tespit: Kullanıcı oturum açma sırasında anlık analiz yapılarak, örneğin anonim bir IP adresi kullanımı durumunda, risk tespiti yapılır.
  • Gerçek sonrası (offline) tespit: Veri geçmişi analiz edilerek, imkansız seyahat gibi durumların tespiti gerçekleştirilir.

Sızdırılmış Kimlik Bilgileri

Microsoft Entra ID Protection, karanlık webde bulunan parola listelerini tarar. Eşleşen hesapları yüksek riskli olarak işaretler. Kullanıcıların güvenliğini sağlamak için, böyle bir riskle karşılaşıldığında, genellikle kullanıcıdan parola sıfırlama istenir.

# Sızdırılmış kimlik bilgileri kontrolü
Get-MsolUser -All | Where-Object { $_.PasswordNeverExpires -eq $false }

Yukarıdaki komut, sızdırılmış kimlik bilgileri açısından analiz yapılacak tüm kullanıcıları listelemenizi sağlar.

Riskli Kullanıcı Analizi

SOC (Security Operations Center) analistleri, kullanıcıların risk durumunu belirlemek ve incelemek için "Risky Users" raporunu kullanır. Bu rapor, risk altında olan tüm kullanıcıların bir özetini sunar.

Kendi Kendine Düzeltme (Self-Remediation)

Entra ID Protection, riskli kullanıcıların risk durumundan kurtulmak için kendi kendine düzeltme imkânı tanır. Kullanıcı, belirli adımları takip ederek riskli durumları azaltabilir.

İnceleme İş Akışı

Bir riskli oturumun incelenme adımları, analistlerin durumu anlamalarını ve gerekli önlemleri almasını sağlar. Analistler, şüpheli oturum açma isteğinin kaynağını IP adresi ve cihaz bilgilerini kontrol ederek riski onaylar veya riski kaldırabilir.

İş Yükü Kimlikleri (Workload Identities)

Entra ID Protection, sadece kullanıcı hesapları için değil, aynı zamanda uygulama ve servislerin risklerini de takip eder. "Workload Identities Protection" özelliği, bu risklerin otomatik olarak belirlenmesi ve düzeltilmesini sağlamak amacıyla geliştirilmiştir. Uygulama ve servisler, kullanıcı hesaplarıyla paralel bir risk değerlendirmesine tabi tutulurlar.

Bu bilgiler, Microsoft Entra ID Protection'un siber güvenlik alanındaki etkinliğini ve uygulamalarını derinlemesine anlamanızı sağlayacaktır.

Risk, Yorumlama ve Savunma

Risklerin Güvenlik Anlamı ve Önemi

Siber güvenlik bağlamında risk, potansiyel tehditlerin bir kuruluş üzerindeki olumsuz etkilerini temsil eder. Microsoft Entra ID Protection, bu riskleri belirlemek, incelemek ve yönetmek için kapsamlı bir yapıdır. İki ana risk türü ile kullanıcılara yönelik tehditlerin etkileri derinlemesine analiz edilmektedir: Kullanıcı Riski ve Oturum Açma Riski. Kullanıcı riski, bir kullanıcının kimlik bilgilerinin sızdırılma olasılığını veya kimliğinin tehlikeye atılmasını ifade ederken, oturum açma riski ise belirli bir oturum açma isteğinin yetkili kullanıcı tarafından yapılmadığına dair ihtimali temsil eder.

Bu tür risklerin doğru bir şekilde yorumlanması, organizasyonların saldırılara karşı hazırlıklı olmalarını ve savunma mekanizmalarını güçlendirmelerini sağlar.

Yanlış Yapılandırmalar ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar ve zafiyetler, siber güvenlikte önemli tehditlerdir. Örneğin, bir kuruluşun kimlik yönetim sisteminin yanlış yapılandırılması, kullanıcı hesaplarının izinsiz erişime açık olmasına yol açabilir. Bu tür bir durum, saldırganların kolayca kullanıcının kimliğini ele geçirmesine veya sızdırılmış kimlik bilgilerini kullanarak sistemlere erişmesine neden olur.

Örnek Senaryo:

Eğer bir kullanıcı, bir e-posta hesabında aynı parolayı kullanıyorsa ve bu parola karanlık webde sızdırılmışsa, bu durum ciddi bir risk teşkil edecektir. Microsoft Entra ID Protection, bu tür zafiyetleri belirleyip hızlı bir şekilde müdahalede bulunarak, kullanıcıya yönlendirme yapar. Bu tür senaryoların önüne geçmek için aşağıdaki adımlar önerilmektedir:

- Kullanıcı parolalarının güçlendirilmesi: Uzun, karmaşık ve özel semboller içeren parolalar kullanılmalıdır.
- Çok faktörlü kimlik doğrulama (MFA) kullanımı: Kullanıcı kimlik doğrulama süreçlerinde ek bir güvenlik katmanı sağlar.
- Periyodik güvenlik denetimleri: Sistemdeki zafiyetlerin düzenli olarak kontrol edilmesi.

Sızan Veri ve Topoloji Yönetimi

Sızdırılmış verilerin tespiti, hem bireysel kullanıcıları hem de organizasyonu tehdit eden en önemli unsurlardan biridir. Microsoft, karanlık webdeki parola listelerini tarayarak kullanıcı hesaplarını riskli olarak işaretlemektedir. Kullanıcıların parolalarının sızdırılması durumunda, Entra ID Protection bu hesapları otomatik olarak denetim altında tutar.

Topoloji ve Servis Tespiti

Ayrıca, sistemdeki servis süreçlerinin güvenliğini sağlamak için, Entra ID Protection, servis kimliklerini (Workload Identities) risk değerlendirme sürecine dahil eder. Bu, yalnızca kullanıcıların değil, aynı zamanda uygulama ve servislerin de risklerinin yönetilmesini sağlar. Servislerin kimlik bilgileri sızdığında, bu bilgiler üzerinden ataklar gerçekleşebilir, bu nedenle bu kimliklerin yönetimi hayati önem taşır.

Profesyonel Önlemler ve Hardening Önerileri

Kuruluşlar için önerilen profesyonel önlemler aşağıdaki gibidir:

  1. Otomatik düzeltme politikalarının uygulanması: Şüpheli durumlarda kullanıcıdan otomatik olarak parola sıfırlama veya MFA isteği gibi önlemler alarak, manuel inceleme işlemlerinin yükünü azaltmak.

  2. İmkansız Seyahat (Impossible Travel) senaryolarının tespiti: Kullanıcıların birbirine çok uzak coğrafi konumlardan kısa sürede oturum açma girişimlerine karşı sürekli izleme sağlamak.

  3. Sızdırılmış Kimlik Bilgileri Raporları: Kullanıcıların risk durumuyla ilgili sürekli güncellenen raporlar sunmak ve bu bilgileri kullanarak proaktif tedbirler almak.

  4. Kendi Kendine Düzeltme: Kullanıcıların risk durumlarından kurtulmalarına yardımcı olacak, kendilerine yönelik düzeltme adımlarını uygulama fırsatına sahip olmalarını sağlamak.

Kısa Sonuç Özeti

Microsoft Entra ID Protection, kullanıcı ve oturum açma risklerini otomatik olarak algılama ve yönetme kabiliyeti ile siber tehditlere karşı etkili bir savunma sunmaktadır. Kuruluşlar için güvenliği artırmak adına yapılan öneriler, muhtemel zafiyetlerle karşılaşmalarını azaltmakta ve genel güvenlik posture’larını iyileştirmektedir. Siber güvenlik alanında, riskleri doğru yorumlama ve etkin savunma stratejileri belirleme, sürdürülebilir bir güvenlik altyapısının anahtarıdır.