Risk Algılama ve Düzeltme için Azure AD Kimlik Korumasını Kullanma

Risk Algılama ve Düzeltme için Azure AD Kimlik Korumasını Kullanma

12/14/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine, ortamlarındaki kimlik risklerini algılamak, araştırmak ve düzeltmek için Azure AD Kimlik Korumasını kullanma konusunda rehberlik etmeyi amaçlamaktadır. Azure AD Kimlik Koruması, kimlik tabanlı risklerin algılanmasını ve iyileştirilmesini otomatikleştiren, kuruluşları güvenliği ihlal edilmiş kimlik bilgileri, kaba kuvvet saldırıları ve yetkisiz erişim gibi tehditlere karşı koruyan bir Microsoft Entra ID (eski adıyla Azure Active Directory) özelliğidir [1].

Giriş

Kimlikler yeni güvenlik çemberidir. Buluta ve uzaktan çalışmaya geçişle birlikte kullanıcı kimliklerini korumak her zamankinden daha kritik hale geldi. Kimlik avı saldırıları, kimlik bilgileri sızıntıları, parola püskürtme ve alışılmadık konumlardan erişim, hesap güvenliğinin ihlal edilmesine ve dolayısıyla veri ihlallerine ve hizmet kesintilerine yol açabilecek sürekli tehditlerdir. Azure AD Kimlik Koruması, riskli etkinlikleri belirlemek, kullanıcılar ve oturum açma işlemleriyle ilişkili risk düzeyini değerlendirmek ve kuruluşunuzun kimliklerini korumak için gerçek zamanlı iyileştirme ilkeleri uygulamak için proaktif, otomatikleştirilmiş bir çözüm sağlar [2].

Bu pratik kılavuz, risk algılama türleri, kullanıcı ve oturum açma risk ilkeleri, bu ilkeleri yapılandırma, Azure AD Koşullu Erişim ile tümleştirme ve risk araştırması ve iyileştirme dahil olmak üzere Azure AD Kimlik Korumasının temel kavramlarını kapsayacaktır. Okuyucunun Azure AD Kimlik Korumasını uygulayıp doğrulayabilmesi, kimliklerinin güvenliğini güçlendirebilmesi ve kimlik güvenliği olaylarına özerk, profesyonel ve güvenilir bir şekilde etkili bir yanıt verebilmesi için adım adım talimatlar, yapılandırma örnekleri sağlanacaktır.

Azure AD Kimlik Koruması neden önemlidir?

  • Gerçek Zamanlı Risk Algılama: Anonim konumlardan yapılan oturum açma işlemleri, virüslü IP'ler, imkansız seyahat ve sızdırılan kimlik bilgileri gibi şüpheli etkinlikleri otomatik olarak algılamak için Microsoft makine öğrenimi ve tehdit istihbaratı algoritmalarını kullanır.
  • Uyarlanabilir Risk Değerlendirmesi: Çeşitli faktörlere dayalı olarak her kullanıcıya ve girdiye bir risk düzeyi (düşük, orta, yüksek) atar ve tehdide orantılı yanıt verilmesini sağlar.
  • Otomatik Düzeltme İlkeleri: Belirli risk düzeylerine göre otomatik olarak MFA gerektiren, parolaları sıfırlayan veya erişimi engelleyen ilkeleri yapılandırmanıza olanak tanır.
  • Koşullu Erişim Entegrasyonu: Kimlik riskine dayalı uyarlanabilir erişim denetimlerini uygulamak için Azure AD Koşullu Erişim ile birlikte çalışır.
  • Görünürlük ve Soruşturma: Risk tespitleri, risk kullanıcıları ve risk girdileri hakkında ayrıntılı raporlar sunarak soruşturmayı ve olaya müdahaleyi kolaylaştırır.
  • SOC İş Yükünü Azaltın: Birçok kimlik olayının önceliklendirilmesini ve iyileştirilmesini otomatikleştirerek güvenlik personelinin daha karmaşık tehditlere odaklanmasını sağlar.

Önkoşullar

Azure AD Kimlik Korumasını kullanmak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Azure AD Kimlik Koruması, Microsoft Entra ID P2 lisansı (eski adıyla Azure AD Premium P2) gerektirir [3].
  2. Yönetim Erişimi: Azure portalında (https://portal.azure.com) 'Güvenlik Yöneticisi', 'Koşullu Erişim Yöneticisi' veya 'Genel Yönetici' rolüne sahip bir hesap.
  3. MFA Yapılandırılmış: Oturum açma ve kullanıcı riski politikalarının etkili bir şekilde çalışması için kullanıcıların Çok Faktörlü Kimlik Doğrulamayı (MFA) yapılandırılmış ve kaydettirmiş olması gerekir. Azure AD Multi-Factor Authentication'ın kullanılması önerilir.

Adım Adım: Azure AD Kimlik Korumasını Yapılandırma

Kimliklerinizi korumak için risk politikaları yapılandıracağız.

1. Azure AD Kimlik Korumasına Erişim

  1. Tarayıcınızı açın ve Azure portalına gidin: https://portal.azure.com.
  2. Gerekli izinlere sahip bir hesapla oturum açın.
  3. Üstteki arama alanına 'Azure AD Identity Protection' yazın ve sonuçlardan seçin.

2. Kullanıcı Risk Politikasını Yapılandırma

Bu politika, bir kullanıcı tespit edildiğinde gerçekleştirilecek eylemi tanımlarrisk altında olma (ör. kimlik bilgilerinin sızdırılması, kalıcı anormal etkinlik).

  1. Azure AD Kimlik Koruması sol gezinti bölmesinde Kullanıcı risk ilkeleri'ni seçin.

  2. Sorumluluklar:

    • Politikayı belirli kullanıcılara veya test gruplarına uygulamak için "Kullanıcılar"ın altında "Tüm Kullanıcılar"ı veya "Bireyleri ve Grupları Seçin"i seçin. Başlangıç ​​olarak bir test grubuna başvurmanız önerilir.
    • İsteğe bağlı olarak, 'Kullanıcıları ve grupları silebilirsiniz' (ör. hizmet hesapları, acil durum yöneticileri).

  3. Koşullar:

    • 'Kullanıcı Riski' altında, politikayı tetikleyecek risk düzeyini ayarlayın (ör. 'Yüksek'). "Orta ve üstü" ile başlayabilir ve gerektiği gibi ayarlayabilirsiniz.

  4. Kontroller:

    • Erişim: 'Erişime izin ver'i seçin.
    • Politikayı uygula: 'Güvenli şifre değişikliği iste'yi seçin.
      • Açıklama: Bir kullanıcı yapılandırılmış risk düzeyine ulaşırsa, bir sonraki oturum açma işleminde şifresini değiştirmeye zorlanacaktır. Bu, sızdırılan kimlik bilgileri için çok önemlidir.

  5. İlkeyi Etkinleştir: "Açık" olarak ayarlayın.

  6. Kaydet'i tıklayın.

3. Oturum Açma Risk Politikasını Yapılandırma

Bu politika, bir oturum açma girişiminin riskli olduğu (ör. alışılmadık bir konumdan, anonim IP'den, virüslü IP'den) algılandığında gerçekleştirilecek eylemi tanımlar.

  1. Azure AD Kimlik Koruması sol gezinti bölmesinde Gelen risk ilkeleri'ni seçin.

  2. Sorumluluklar:

    • "Kullanıcılar"ın altında "Tüm Kullanıcılar"ı veya "Kişileri ve Grupları Seçin"i seçin.
    • İsteğe bağlı olarak 'Kullanıcıları ve grupları silebilirsiniz'.

  3. Koşullar:

    • 'Girdi Riski'nde politikayı tetikleyecek risk düzeyini tanımlayın (örn. 'Orta').

  4. Kontroller:

    • Erişim: 'Erişime izin ver'i seçin.
    • Politikayı uygula: 'Çok Faktörlü Kimlik Doğrulaması İste'yi seçin.
      • Açıklama: Bir girişin riskli olduğu tespit edilirse, normalde gerekli olmasa bile kullanıcının bir MFA sorgulamasını tamamlaması gerekecektir. Bu, kullanıcının kimliğinin doğrulanmasına yardımcı olur.

  5. İlkeyi Etkinleştir: "Açık" olarak ayarlayın.

  6. Kaydet'i tıklayın.

4. Kayıt Defteri MFA Politikasını Yapılandırma

Bu politika, risk politikalarının bir önkoşulu olan yeni kullanıcıların veya henüz MFA'yı kaydetmemiş kullanıcıların bunu yapmalarının istenmesini sağlar.

  1. Azure AD Kimlik Koruması sol gezinti bölmesinde MFA Kayıt İlkesi'ni seçin.

  2. Sorumluluklar:

    • "Kullanıcılar"ın altında "Tüm Kullanıcılar"ı veya "Kişileri ve Grupları Seçin"i seçin.
    • İsteğe bağlı olarak 'Kullanıcıları ve grupları silebilirsiniz'.

  3. İlkeyi Uygula: "Etkin" olarak ayarlayın.

  4. Kaydet'i tıklayın.

5. Riskli Kullanıcıları ve Girdileri Araştırmak

Kimlik Koruması, riskli etkinlikleri izlemek ve araştırmak için raporlar sağlar.

  1. Azure AD Kimlik Koruması sol gezinti bölmesinde Riskli Kullanıcılar'ı seçin.

    • Bu rapor, risk altında olduğu tespit edilen kullanıcıları risk düzeyleri ve son risk tespitleriyle birlikte listeler.

  2. Belirli risk tespitleri (örneğin, 'Sızan Kimlik Bilgileri', 'Anonim IP Girişi') dahil olmak üzere risk ayrıntılarını görmek için bir kullanıcıya tıklayın.

  3. Sol gezinme bölmesinde Risk Girişleri'ni seçin.

    • Bu rapor, riskli olduğu tespit edilen oturum açma girişimlerini risk düzeyi ve oturum açma ayrıntılarıyla birlikte listeler.

  4. Algılama türü, konum, cihaz ve uygulama dahil tüm ayrıntıları görüntülemek için bir risk girişine tıklayın.

6. Riskleri Manuel Olarak Düzeltmek

Politikalar düzeltmeyi otomatikleştirse de riskleri manuel olarak düzeltmeniz gerekebilir.

  1. Riskli Kullanıcılar İçin:

    • 'Riskli Kullanıcılar' raporunda bir kullanıcı seçin.
    • 'Kullanıcının Güvenliğinin Tehlikede Olduğunu Onayla'yı (bu, Kullanıcı Riski politikasını tetikleyerek şifre değişikliğini zorunlu kılacaktır) veya 'Kullanıcı Riskini Reddet'i (eğer riskin yanlış pozitif olduğunu belirlerseniz) seçebilirsiniz.

  2. Risk Girdileri için:

    • 'Risk Girişleri' raporunda bir giriş seçin.
    • 'Uzlaşmayı Onayla'yı veya 'Güvenliği Onayla'yı seçebilirsiniz (yanlış pozitif ise).

Doğrulama ve Test Etme

Azure AD Kimlik Korumasını test etmek, ilkelerin düzgün çalıştığından emin olmak için çok önemlidir.beklendiği gibi.

1. Gelen Risk Simülasyonu (Anonim IP)

  1. Her zamanki iş yeriniz dışında, anonim IP olarak sınıflandırılabilecek bir konumdan (ör. genel proxy sunucusu, Tor) internete bağlanmak için bir VPN veya proxy kullanın.

  2. Azure portalında veya Azure AD bağlantılı bir uygulamada bir test hesabıyla oturum açmayı deneyin.

    • Beklenen Sonuç: Oturum açma riski politikası "Orta" veya "Yüksek" ve "Çok Faktörlü Kimlik Doğrulaması Gerektir" olarak ayarlanmışsa, MFA'yı tamamlamanız istenecektir. Risk "Yüksek" ise ve politika "Erişimi engelle" olarak ayarlanmışsa erişim reddedilecektir.

  3. Azure AD Kimlik Korumasındaki 'Risk Girişleri' raporunu kontrol edin. Test hesabı için 'Anonim IP Girişi' algılama türüne sahip bir risk girişi görmelisiniz.

2. Kullanıcı Riski Simülasyonu (Sızan Kimlik Bilgileri)

Sızdırılan kimlik bilgilerini doğrudan simüle edemezsiniz ancak bir test kullanıcısını manuel olarak 'Yüksek' risk düzeyine ayarlayarak kullanıcı risk politikasını test edebilirsiniz (yalnızca kontrollü bir ortamda test amacıyla).

  1. 'Riskli Kullanıcılar' raporunda bir test kullanıcısını seçin.
  2. 'Güvenliği Altındaki Kullanıcıyı Onayla'yı tıklayın (bu, kullanıcı riskini 'Yüksek' olarak ayarlayacak ve politikayı tetikleyecektir).
  3. Test kullanıcısından oturum açmayı denemesini isteyin.
    • Beklenen Sonuç: Kullanıcı risk politikasında yapılandırıldığı gibi, bir sonraki oturum açma işleminde kullanıcıdan şifresini değiştirmesi istenmelidir.

3. Denetim Günlüklerini ve Giriş Günlüklerini Kontrol Etme

  1. Azure portalında "Azure Active Directory" > "İzleme" > "Gelen günlükler" seçeneğine gidin.
  2. Değerlendirilen girdileri ve gerçekleştirilen eylemleri görmek için günlükleri "Giriş Risk Durumu" ve "Kullanıcı Risk Durumu"na göre filtreleyin.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Raporlama Moduyla Başlayın: Risk politikalarını yapılandırırken, politikaları uygulama modunda uygulamadan önce etkilerini anlamak için "Yalnızca Rapor" moduyla başlayın. Bu, kullanıcıları rahatsız etmeden yanlış pozitiflerin belirlenmesine yardımcı olur.
  • Kullanıcı Eğitimi: Kullanıcıları MFA'nın önemi ve şifre değiştirme isteklerine veya MFA zorluklarına nasıl yanıt verecekleri konusunda eğitin. Kimlik Korumanın faydalarını onlara açıklayın.
  • Koşullu Erişim ile Entegrasyon: Daha karmaşık uyarlanabilir erişim politikaları oluşturmak için Kimlik Korumasını Koşullu Erişim ile birlikte kullanın. Örneğin, giriş riski 'Yüksek' ise kritik uygulamalara erişimin engellenmesi.
  • Sürekli İzleme: Şüpheli etkinlikleri araştırmak ve politikaların beklendiği gibi çalıştığından emin olmak için "Risk Kullanıcıları" ve "Risk Girişleri" raporlarını düzenli olarak izleyin.
  • Politikaların Periyodik Olarak İncelenmesi: Tehdit ortamındaki ve iş gereksinimlerindeki değişikliklere uyum sağlamak için risk politikalarınızı düzenli olarak gözden geçirin ve ayarlayın.
  • SIEM/SOAR entegrasyonu: Merkezi görünüm ve daha kapsamlı olay yanıtı otomasyonu için Azure AD Kimlik Koruması uyarılarını SIEM'inizle (ör. Microsoft Sentinel) entegre edin.
  • Ayrıcalıklı Kullanıcılara Öncelik Verin: Yüksek ayrıcalıklı kullanıcıları (yöneticileri) en katı risk politikalarıyla korumaya odaklanın.

Genel Sorun Giderme

  • Kullanıcılardan MFA/parola değişikliği istenmez: Kullanıcının Azure AD P2 lisansına sahip olduğunu doğrulayın. Risk politikalarının 'Etkin' olduğundan ve kullanıcının atamalara dahil edildiğinden emin olun. Kullanıcının zaten MFA'ya kaydolup kaydolmadığını kontrol edin.
  • Yanlış pozitif riskler: Neden tetiklendiklerini anlamak için risk tespitlerini araştırın. Herhangi bir tehdit olmadığından eminseniz, girişler için 'Güvenliği Onayla' veya kullanıcılar için 'Kullanıcı Riskini Reddet' seçeneğini kullanabilirsiniz. Gerekirse risk politikası koşullarını ayarlayın (örneğin politikayı tetikleyen risk düzeyini artırın).
  • Kullanıcılar Yanlış Şekilde Engellendi: Oturum açma riski politikası "Orta" veya "Düşük" risk için "Erişimi Engelle" olarak ayarlanırsa bu durum aşırı engellemelere neden olabilir. Risk düzeyini ve politika eylemini gözden geçirin. Orta riskler için "Erişimi Engelle" yerine "Çok Faktörlü Kimlik Doğrulaması Gereksin" seçeneğini kullanmayı düşünün.
  • MFA Kayıt Sorunları: MFA Kayıt Politikasının "Etkin" olduğundan ve kullanıcıların dahil edildiğinden emin olunSen. Engelleyici olabilecek diğer Koşullu Erişim politikalarını kontrol edin.
  • Risk algılamaları görünmüyor: Kimlik Korumasının etkinleştirildiğini ve Azure AD'nizde kimlik doğrulama trafiğinin bulunduğunu doğrulayın. Özellikle kullanıcı riskleri için risk tespitlerinin ortaya çıkması biraz zaman alabilir.

Sonuç

Azure AD Kimlik Koruması, modern bulut tabanlı ortamlarda kimlikleri korumak için vazgeçilmez bir araçtır. Kimlik riski tespitini ve iyileştirmeyi otomatikleştirerek kuruluşların tehditlere hızlı bir şekilde yanıt vermesini, saldırı yüzeyini azaltmasını ve genel güvenlik duruşlarını güçlendirmesini sağlar. Kullanıcı eğitimi ve sürekli izlemeyle birlikte risk politikalarının dikkatli bir şekilde uygulanması, güvenlik ekiplerine en kritik kimlikleri proaktif bir şekilde koruma gücü verir. Bu pratik kılavuzla güvenlik uzmanları Azure AD Kimlik Korumasını yapılandırmak, doğrulamak ve yönetmek için iyi bir donanıma sahip olacak ve kimliklerinin sürekli gelişen siber tehditlere karşı güvenli ve dayanıklı kalmasını sağlayacak.

Referanslar:

[1] Microsoft Learn. Microsoft Entra Kimlik Koruması nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2] Microsoft Learn. Risk tespitleri nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks [3] Microsoft Learn. Microsoft Entra ID Koruması için lisans gereksinimleri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4] Microsoft Learn. Microsoft Entra ID Koruması için risk politikalarını yapılandırın. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5] Microsoft Learn. Microsoft Entra ID Protection ile riskleri araştırın. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6] Microsoft Learn. Riskleri ortadan kaldırın ve kullanıcıların engellemesini kaldırın. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock