Gelişmiş Saldırıları Tespit Etmek İçin Kimlik için Microsoft Defender'ı Kullanma

Gelişmiş Saldırıları Tespit Etmek İçin Kimlik için Microsoft Defender'ı Kullanma

07/14/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine, gelişmiş tehditleri ve güvenliği ihlal edilmiş kimlikleri tanımlamak, tespit etmek ve araştırmak için şirket içi Active Directory sinyallerinden yararlanan bulut tabanlı bir güvenlik çözümü olan Microsoft Defender for Identity'yi (MDI) kullanma konusunda rehberlik etmeyi amaçlamaktadır. MDI, Microsoft 365 Defender paketinin ayrılmaz bir parçasıdır ve kimlik ortamındaki şüpheli etkinliklere yönelik kritik görünürlük sağlar [1].

Giriş

Kimlikler yeni güvenlik çemberidir. Modern siber saldırılar genellikle ayrıcalıklı erişim elde etmek, yanal hareketler gerçekleştirmek ve veri sızdırmak için kullanıcı ve yönetici kimlik bilgilerini tehlikeye atmayı amaçlar. Geleneksel ağ güvenliği çözümleri çoğu zaman bu karmaşık taktikleri tespit etmek için yeterli olmuyor. Kimlik için Microsoft Defender, Karma Geçiş, Bilet Geçişi, ağ keşfi ve ayrıcalık yükseltme gibi kimlik saldırılarını gösteren anormal davranışları tanımlamak için etki alanı denetleyicilerinin ağ trafiğini ve olay günlüklerini izleyerek bu boşluğu doldurur [2].

Bu pratik kılavuz, sensörlerin konuşlandırılmasından uyarıların analiz edilmesine ve olayların araştırılmasına kadar MDI'nın yapılandırmasını ve kullanımını kapsayacaktır. Adım adım talimatlar, örnek tespitler ve doğrulama yöntemleri sağlanacak, böylece okuyucular kendi kimliklerinin korunmasını uygulayıp güçlendirebilecek, riske maruz kalmayı azaltabilecek ve Microsoft ortamlarındaki gelişmiş tehditlere yanıt verme yeteneğini geliştirebilecek.

Kimlik için Microsoft Defender neden önemlidir?

  • Kimlik Tabanlı Saldırı Tespiti: Kimlik saldırılarında kullanılan Karma Geçiş, Bilet Geçişi, Altın Bilet, ağ keşfi ve ayrıcalık yükseltme gibi yaygın taktikleri, teknikleri ve prosedürleri (TTP'ler) tanımlar.
  • Kapsamlı Görünürlük: Normal kullanıcı davranışının bir profilini oluşturmak ve anormallikleri tespit etmek için etki alanı denetleyicilerinden ve olay günlüklerinden gelen ağ trafiğini izler.
  • Microsoft 365 Defender ile entegrasyon: Olayların birleşik bir görünümü için MDI uyarılarını diğer Defender çözümlerinden (Uç Nokta, Office 365, Bulut Uygulamaları) gelen sinyallerle ilişkilendirir.
  • Davranış Analizi: Geleneksel imzaların fark edemeyeceği tehditleri tespit etmek için makine öğrenimi ve davranış analizini kullanır.
  • Yanlış Pozitifleri Azaltın: Microsoft tehdit istihbaratı ve davranış profili oluşturma, gürültüyü ortadan kaldırmanıza ve gerçek tehditlere odaklanmanıza yardımcı olur.

Önkoşullar

Kimlik için Microsoft Defender'ı uygulamak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Microsoft 365 E5 Security, Microsoft 365 E5, Enterprise Mobility + Security E5 lisansı veya Defender for Identity bağımsız lisansı [3].
  2. Yönetim Erişimi: Microsoft 365 Defender portalında (https://security.microsoft.com) 'Genel Yönetici' veya 'Güvenlik Yöneticisi' rolüne sahip bir hesap.
  3. Active Directory Yerel: En az bir etki alanı denetleyicisine sahip yerel bir Active Directory etki alanı.
  4. Sensör Sunucusu (İsteğe bağlı, ancak önerilir): Doğrudan etki alanı denetleyicilerine yüklemek istemiyorsanız, bağımsız MDI sensörünü yüklemek için bir Windows Sunucusu (2012 R2 veya üzeri) sunucusu. Bir etki alanı denetleyicisine yüklendiğinde sensör DC'nin kaynaklarını kullanır.
  5. Ağ Bağlantısı: Sensör sunucusunun (veya etki alanı denetleyicisinin), bulut MDI hizmeti uç noktalarına (TCP bağlantı noktası 443) giden bağlantıya sahip olması gerekir.

Adım Adım: Kimlik için Microsoft Defender'ı Yapılandırma ve Kullanma

Sensör dağıtımını ve uyarı analizini ele alacağız.

1. Microsoft 365 Defender Portalına Erişim ve MDI'yı Yapılandırma

  1. Tarayıcınızı açın ve "https://security.microsoft.com" adresine gidin.
  2. Gerekli izinlere sahip bir hesapla oturum açın.
  3. Sol gezinme bölmesinde Ayarlar > Kimlikler'i seçin.
  4. Kimlik ayarları sayfasında MDI ortamınızın durumunu göreceksiniz. Henüz kurulmamışsa kuruluma başlamak için talimatları izleyin.

2. Kimlik Sensörü için Microsoft Defender'ı İndirme ve Yükleme

MDI sensörü doğrudan dom denetleyicilerine kurulabilirinium veya özel bir sunucuda (bağımsız sensör).

  1. Microsoft 365 Defender portalında Ayarlar > Kimlikler > Sensörler'e gidin.
  2. Sensör ekle'ye tıklayın.

  3. 'Erişim Anahtarı'nı kopyalayın ve 'Sensör Kurulum Paketi'ni indirin.

  4. Sensörü kurmak istediğiniz sunucuda (etki alanı denetleyicisi veya özel sunucu):

    • Kurulum paketini çalıştırın (Azure Advanced Threat Protection Sensor Setup.exe).
    • Sihirbazın talimatlarını izleyin. İstendiğinde 'Erişim Anahtarı'nı yapıştırın.
    • Bağımsız Sensör için Not: Bağımsız bir sensör yüklüyorsanız ağ anahtarlarınızda, ağ trafiğini etki alanı denetleyicilerinden bağımsız sensörün ağ arayüzüne gönderecek şekilde bağlantı noktası yansıtmanın yapılandırıldığından emin olun.

  5. Kurulumdan sonra sensör, MDI portalının Sensörler sayfasında 'Çalışıyor' olarak görünmelidir.

3. Sensör Ayarlarını Yapılandırma

Optimum algılamayı sağlamak için sensör ayarlarını yapılandırmak önemlidir.

  1. Microsoft 365 Defender portalında Ayarlar > Kimlikler > Sensörler'e gidin.
  2. Ayarlarını düzenlemek için bir sensöre tıklayın.
  3. Kontrol edin ve yapılandırın:
    • Etki Alanı Denetleyicileri: İlgili tüm etki alanı denetleyicilerinin listelendiğinden emin olun.
    • Hesapları Eşitle: Birden fazla Active Directory ormanınız varsa, her orman için eşitleme hesaplarını yapılandırın.
    • Hariç tutulanlar: (Dikkatli bir şekilde) Meşru olduğunu bildiğiniz ve hatalı pozitif sonuçlar üreten varlıklar veya faaliyetler için hariç tutmaları yapılandırın.

4. Güvenlik Uyarılarını Analiz Etme

MDI, şüpheli veya kötü amaçlı etkinlik tespit ettiğinde uyarılar üretir. Bu uyarılar Microsoft 365 Defender portalında görülebilir.

  1. Microsoft 365 Defender portalının sol gezinme bölmesinde Olaylar ve uyarılar > Uyarılar'ı seçin.
  2. Uyarıları "Hizmet" = "Kimlik için Microsoft Defender"a göre filtreleyin.
  3. Aşağıdakiler dahil ayrıntıları görüntülemek için bir uyarıya tıklayın:
    • Açıklama: Saldırının doğasını açıklar.
    • Etkilenen varlıklar: İlgili kullanıcılar, bilgisayarlar ve kaynaklar.
    • Saldırı Zaman Çizelgesi: Olay sırasının görsel bir temsili.
    • Önerilen Eylemler: Uyarıyı araştırma ve düzeltme adımları.

5. Olayları Araştırmak

MDI, olaylar arasındaki ilgili uyarıları ilişkilendirerek saldırının birleşik bir görünümünü sağlar.

  1. Microsoft 365 Defender portalının sol gezinme bölmesinde Olaylar ve uyarılar > Olaylar'ı seçin.
  2. Tüm uyarıları ve ilgili öğelerin yanı sıra tam saldırı geçmişini görmek için bir olaya tıklayın.
  3. Analizi derinleştirmek için özel KQL (Kusto Sorgu Dili) sorguları için 'Gelişmiş Arama' gibi araştırma araçlarını kullanın.

Doğrulama ve Test Etme

MDI'nın doğrulanması, tehditleri doğru şekilde tespit ettiğinden ve uyarı oluşturduğundan emin olmak için çok önemlidir.

1. Karma Geçiş (PtH) Saldırısının Simüle Edilmesi

Bir PtH saldırısını simüle etmek için etki alanı denetleyicisi ve istemci bilgisayar içeren bir test ortamına ihtiyacınız olacaktır. Bu test son derece dikkatli bir şekilde ve yalnızca kontrollü ortamlarda gerçekleştirilmelidir.

  1. İstemci bilgisayarda, ayrıcalıklı bir kullanıcının (örn. 'Yönetici') NTLM karmasını çıkarmak için Mimikatz gibi bir araç kullanın.
    • Komut (örnek, yükseltilmiş ayrıcalıklar gerektirir): ```cmd ayrıcalık::hata ayıklama sekurlsa::oturum açmaşifreleri ''''
  2. Gerçek parola olmadan ağdaki başka bir bilgisayarda kimlik doğrulaması yapmayı denemek için elde edilen karmayı kullanın.
    • Komut (örnek, yükseltilmiş ayrıcalıklar gerektirir): ```cmd sekurlsa::pth /user:Yönetici /etki alanı:etkialanım.com /ntlm:HASH_DO_ADMIN /run:cmd.exe ''''
  3. Birkaç dakika bekleyin.
  4. Kimlik için Microsoft Defender'dan gelen "Şüpheli Yanal Hareket (Karma Geçiş)" veya benzer bir uyarı için Microsoft 365 Defender portalını kontrol edin.

2. Ağ Keşifini Simüle Etme

  1. Bir test makinesinde MDI'nın algılayabileceği bir ağ bulma komutunu çalıştırın.
    • Komut (tüm kullanıcılar için örnek LDAP sorgusu): cmd nltest /domain_trusts '''' veyacmd dsquery kullanıcı -limit 0 ''''
  2. Birkaç dakika bekleyin.
  3. Microsoft 36 portalını kontrol edin5 Kimlik için Microsoft Defender'dan "Ağ Farkındalığı (Kullanıcı/Grup Sayımı)" veya benzer bir uyarı için savunma yapın.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Tam Etki Alanı Denetleyicisi Kapsamı: Kimlik doğrulama trafiğinin ve günlüklerinin tam olarak kapsanmasını sağlamak için tüm etki alanı denetleyicilerine MDI sensörleri yükleyin.
  • Doğru Bağlantı Noktası Yansıtma: Bağımsız sensörler için, ilgili tüm trafiği yakalamak üzere bağlantı noktası yansıtmanın doğru şekilde yapılandırıldığından emin olun.
  • Sürekli Uyarı İzleme: Microsoft 365 Defender portalında MDI tarafından oluşturulan uyarıları aktif olarak izleyin ve bunları anında araştırın.
  • SIEM/SOAR entegrasyonu: Olay müdahale otomasyonu ve diğer güvenlik verileriyle korelasyon için MDI uyarılarını SIEM'iniz (örn. Microsoft Sentinel) veya SOAR'ınızla entegre edin.
  • Active Directory Hijyeni: Etkin olmayan hesapları kaldırarak, en az ayrıcalık ilkesini uygulayarak ve ayrıcalıklı hesapları koruyarak Active Directory'yi temiz ve güvenli tutun.
  • Ayrıcalıklı Hesap Koruması: Ayrıcalıklı hesapları daha da korumak için MDI ile birlikte PIM'i (Ayrıcalıklı Kimlik Yönetimi) uygulayın.
  • Yamalar ve Güncellemeler: Etki alanı denetleyicilerini ve MDI sensörlerini barındıran sunucuları en son güvenlik yamalarıyla güncel tutun.

Genel Sorun Giderme

  • Sensör "Çalışıyor" olarak görünmüyor: Sensörün bulut MDI hizmetine (bağlantı noktası 443) olan ağ bağlantısını kontrol edin. Kurulum veya iletişim hataları için sensör sunucusundaki olay günlüklerini kontrol edin. Sensör hizmetini yeniden başlatın.
  • Uyarı oluşturulmadı: Sensörün "Çalışıyor" olup olmadığını kontrol edin. Etki alanı denetleyicilerinden gelen ağ trafiğinin bağımsız sensöre (varsa) doğru şekilde yansıtıldığından emin olun. Algılamayı engelleyebilecek yapılandırılmış tarama dışı durumları kontrol edin.
  • Yanlış Pozitif Uyarılar: Uyarı ayrıntılarını inceleyin. Gürültüyü azaltmak için hariç tutmaları veya ayarları değiştirmeniz gerekebilir, ancak bunu gerçek tehditleri göz ardı etmemek için dikkatli bir şekilde yapın.
  • Etki alanı denetleyicisi performans sorunları: MDI sensörü doğrudan etki alanı denetleyicisine kuruluysa ve performans sorunları varsa, donanım gereksinimlerini kontrol edin ve özel bir sunucuya bağımsız bir sensör kurmayı düşünün.
  • Etki alanı senkronizasyon sorunları: Her AD ormanı için senkronizasyon hesaplarının MDI ayarlarında doğru şekilde yapılandırıldığından emin olun.

Sonuç

Kimlik için Microsoft Defender, bir kuruluşun kimlik altyapısını hedef alan gelişmiş saldırılara karşı savunmada önemli bir araçtır. MDI, Active Directory'ye derinlemesine görünürlük sağlayarak ve anormal davranışları gerçek zamanlı olarak tespit ederek, güvenlik ekiplerine yanal hareket, ayrıcalık yükseltme ve kimlik bilgilerinin tehlikeye atılması gibi tehditleri hızlı bir şekilde tanımlama ve bunlara yanıt verme yetkisi verir. MDI'nın dikkatli bir şekilde uygulanması, kimlik güvenliğine yönelik en iyi uygulamalar ve diğer Microsoft 365 Defender çözümleriyle entegrasyonla birlikte genel güvenlik duruşunu önemli ölçüde güçlendirir. Bu pratik kılavuzla güvenlik uzmanları, en değerli kimliklerini korumak için Kimlik için Microsoft Defender'ı kullanabilecek ve saldırganların en karmaşık taktiklerine karşı daha güvenli ve daha dayanıklı bir ortam sağlayabilecek.

Referanslar:

[1] Microsoft Learn. Kimlik için Microsoft Defender nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] Microsoft Learn. Kimlik dağıtımı için Microsoft Defender'a genel bakış. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] Microsoft Learn. Kimlik lisanslama gereksinimleri için Microsoft Defender. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements