Microsoft 365 Threat Protection ve ATP Ürün Ailesine Genel Bakış

Koruma, ilk olarak kullanıcı kimliğiyle başlar ve tüm Microsoft 365 kullanıcı kimlikleri Azure Active Directory (Azure AD) temel alınarak Azure Active Directory Identity Protection tarafında korunur. Azure AD Identity Protection, kimlik gelişimlerine karşı otomatik olarak koruma sağlamak ve çeşitli gelişen risklere karşı kullanıcı bilgilerini güvence altına almak için dinamik zeka ve makine öğrenim dilini desteklemektedir. Bu nedenle Office 365 kullanıcı kimlikleri bir adım daha güvence altındadır. Microsoft 365 threat protection, e-posta yoluyla gönderileni bilinmeyen gelişmiş tehdit ve saldırıları durdurmaya yardımcı olan Office 365 ATP ile maillerinizi korur. Office 365 ATP sayesinde, tüm e-posta üzerindeki linkleri ve eklentileri kontrol ederek zararlı olup olmadığını belirleyip, zararlı olduğu fark ettiğinde taktirde maili farklı bir kullanıcıya daha göndermeden direk o maili siler. Saldırılar geniş çaplı olduğundan dolayı, bazı saldırılar direk cihazlara da yapılır. Fidye yazılımı içeren bir siteyi ziyaret eden bir kullanıcı yanlışla fidye yazılımını windows 10 bilgisayarına indirdiğini varsayalım. Böyle bir durumda Microsoft Edge, bu sitenin kötü amaçlı olup olmadığını belirleyen, erişimi engelleyebilen ve fidye yazılımların ilk adımında güvenliği ele alan Windows Defender ATP’nin tarayıcı koruma özelliğini kullanır. Windows Defender ATP, Windows Defender Antivirus, AppLocker ve Windows Defender Device Guard gibi makinelerde varolan Windows güvenlik teknolojileriyle çalışır. Fidye (Ransomware) saldırıları aynı zamanda bulutta çalışan iş yüklerini hedef alır. Bu tarafta ise Azure Security Center, Azure ve On-prem iş yüklerinizin güvenlik durumuna yönelik hızlı bir görünüm sağlayarak iş süreçlerinizin güvenliğini keşfedip değerlendirmenize ve riski belirleyip azaltmanıza yardımcı olur. Güvenlik çözümlerine yeni ve ek olarak sunulan Azure Advanced Threat Protection (ATP)’de, ağlarınızdaki güvenlik olaylarını tespit etmenize ve araştırmanıza yardımcı olan, bulut tabanlı bir güvenlik çözümüdür. Aynı zamanda siber saldırılarına ve içeriden dışarıya bilgi sızdırma gibi tehditlere karşı koruma sağlamanıza yardımcı olur.


Microsoft’un Office 365 ATP, Azure ATP ve Windows Defender ATP’den oluşan Advance Threat Protection Güvenlik çözümleri bulunmaktadır. Bu Güvenlik çözümleri güvenlik sırasına göre aşağıda sunulmaktadır.

1.Office 365 ATP: E-postanızı bilinmeyen ve gelişmiş saldırılara karşı gerçek zamanlı koruma sağlayan bir güvenlik çözümüdür. Güvenli olmayan eklere karşı koruma sağlayarak ve korumayı kötü amaçlı bağlantıları da içerecek şekilde genişleterek, Exchange Online Protection’ın güvenlik özelliklerini tamamlar ve daha iyi bir koruma sağlar. Güvenli Eklerle, imzaları biliniyor olsa bile kötü amaçlı eklerin ileti ortamınızı etkilemesini önleyebilirsiniz. Tüm şüpheli içerik, makine öğrenme tekniklerini kullanan ve içeriği etkinlik açısından değerlendiren; gerçek zamanlı, davranışsal bir kötü amaçlı yazılım çözümlemesinden geçirilir. Güvenli olmayan ekler, alıcıya gönderilmeden önce detonasyon odasında korumalı alana yerleştirilir. Bunun avantajı, kötü amaçlı yazılım içermeyen ve daha temiz bir posta kutusu elde etmektir.

  • Bilinmeyen kötü amaçlı yazılım ve virüslere karşı Güvenli Ekler özelliğini kullanarak dayanıklı koruma sağlama
  • Güvenli Linkler özelliğini kullanarak kullanıcıları zararlı linklerden koruyan, kötü amaçlı sayfalara karşı gerçek zamanlı, tam koruma.
  • Yöneticileri organizasyonlarındaki olası tehlikelere karşı uyaran zengin bildirim ve URL takip özellikleri.
  • Herhangi bir tehlike anında veya sonrasında mesajlarınıza erişme imkanı

2.Windows Defender ATP: Gelişmiş kötü amaçlı yazılımları tespit edilen ve cihazlarda cihaz seviyesinde koruma sağlan bir güvenlik çözümüdür. Aynı zamanda Akıllı koruma, tespit, araştırma ve yanıt için güvenlik platformu sağlar. Windows Defender ATP, gelişmiş saldırıları ve veri ihlallerini algılar, güvenlik olaylarını otomatikleştirerek cihazın güvenliğini arttırır.

  • Endpoint behavioral sensors: Windows 10 içersinde yer alan sensorler sayesinde, işletim sisteminden davranış sinyalleri toplarak Windows Defender ATP yönetimi portalına işler. İşlenen veriler ise iş süreçleri, kayıt defteri, dosya ve ağ iletişimleri gibidir.
  • Cloud security analytics: Windows ekosistemindeki güvenliği ön planda tutup, davranış sinyalleri üzerinde belirli analizler yapılmasını sağlar.
  • Threat intelligence: Windows Defender ATP’nin saldırgan araçlarını, tekniklerini, prosedürlerini tanımlamasını ve toplanan sensör verilerindeki bilgilere göre uyarılar üretir

Not: Windows bilgisayarlarındaki yaygın kötü amaçlı yazılımlardan korunmak için Malicious Software Removal Tool yazılımını kullanabilirsiniz. MSRT tehditleri bulur ve kaldırır ve bu tehditler tarafından yapılan değişiklikleri tersine çevirir
3.Azure ATP: BT Yöneticilerinin bir ağ içindeki (kötü amaçlı olmayan) saldırganları, ne yaptıklarını ve gerçekleştirecekleri eylemleri izlemesini sağlar.

  • Şüpheli kullanıcı ve cihaz etkinliğini öğrenme akabinde analiz etme
  • Bulut ve kurum içi ortamlardaki tehditleri algılama
  • Active Directory’de depolanan kullanıcı kimlik bilgilerini koruma ve analiz etme
  • Windows Defender Advanced Threat Protection ile entegrasyon sağlayarak araştırma ve analiz seviyesini arttırma

Not: Tüm bunlar E5 lisanslama modeli ile sunulmaktadır.
Azure, Office 365 ve Windows Defender Advanced Threat Protection birlikte daha iyi çalışır

  • Kötü amaçlı yazılım saldırılarının çoğu e-postadan geldiğinden, Office 365 ATP güvenlik katmanın ilk halkasını oluşturur
  • Office 365 ATP, kötü amaçlı yazılımı tanımlamakta başarısız olursa, Aygıtlar tarafında Windows Defender ATP, cihazdaki anormal ve garip davranışı tanımlayarak kötü amaçlı yazılımları yakalamaya çalışır.
  • Kimlik hırsızlığı başarılı olursa, saldırganın Azure ATP aracılığıyla makineden diğerine geçmek için bu kimliği nasıl kullandığını izleyebilirsiniz.

Azure Advanced Threat Protection (Azure ATP) Bileşenleri ve Mimarisi Part-2

Azure ATP Mimarisini aşağıdaki resimde inceleyebilirsiniz.


Azure ATP standalone sensoru, fiziksel veya sanal switch’ler kullanarak (Port Mirroring) domain ortamınızdaki ağ trafiğini izlemektedir. Yada Domain controller sunucusuna Azure ATP sensorünü kurduğunuzda doğrudan event log’lara erişim sağlayabilirsiniz. Bu sebeple network ağınızda herhangi configurasyon yapmanıza gerek kalmayacaktır. Bu iki seceneği de ortamınızda konumlandırabilirsiniz. Bununlarla birlikte toplanan logs ve event’larınızı Windows Event Forwarding (WEF) veya SIEM entegrasyonu üzerinden Azure ATA ye gönderebilirsiniz.

Not: Default olarak, en fazla 100 Azure ATP sensorü desteklemektedir.

Azure ATP’i oluşturan bileşenler aşağıdaki gibidir.

  • Azure ATP workspace management portal
  • Azure ATP workspace portal
  • Azure ATP sensor
  • Azure ATP standalone sensor

Azure ATP Yönetim Portalı ve Çalışma Alanı Portalı gereksinimleri
Azure ATP yönetimi ve çalışma portalına erişim aşağıdaki tarayıcıları ve ayarları desteklemektedir.

  • Microsoft Edge
  • Internet Explorer sürüm 10 ve üstü
  • Google Chrome 4.0 ve üstü
  • Minimum ekran genişliği çözünürlüğü 1700 piksel olmalı
  • Güvenlik duvarı/proxy Azure ATP bulut hizmetiyle iletişim kurmak için açık olması gerekir: *. güvenlik duvarı/proxy’de atp.azure.com bağlantı noktası 443‘tür.

Azure ATP standalone sensor gereksinimleri
Azure ATP standalone sensor Windows Server 2012 R2 veya Windows Server 2016 çalışan sunuculara yüklemeyi desteklemektedir. Standalone sensor domain veya workgroup olan bir sunuculara da yüklenebilir.
Azure ATP sensor gereksinimleri
Azure ATP sensor Windows Server 2008 R2 SP1, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 çalıştıran domain üzerine yüklemeyi desteklemektedir. Domain Controller read-only domain controller (RODC) olabilir. Yükleme sırasında .net Framework 4.7 yüklenir ve yükleme sonrasında sunucuyu yeniden başlatmak gerekir. Azure ATP sensor en az 2 CPU ve 6 GB RAM gerektirir.
AZURE ATP CAPACITY PLANNING
AZURE ATP korumasını ortamınıza dahil etmeden önce, Azure ATP kapasite planlaması yapılması gerekir. Azure ATP kapasitesini belirlemenin en basit ve önerilen yolu,
Azure ATP Sizing Tool ‘unu kullanmaktadır. Bu tool’u çalıştırdığınızda size bir excel raporu sunmaktadır. Bu rapor içinde sunucunun CPU ve RAM degerleri belirlenmektedir. Bu degerlere göre Azure ATP sensorünü kullanmanız önerilir.

 

Azure ATP ve Microsoft ATA arasındaki farklar nedir? Part-3

Her iki üründe verilerini şirket için (Active Directory) domain ortamında alırken, Microsoft ATA tamamen şirket için çalışan bir servis olup, Azure ATP ise Azure tarafında barındırılan ve verileri bulut ortamında analiz eden bir bulut servisidir.


Aşağıdaki tabloda arasındaki genel farklar bulunmaktadır.

Feature Azure ATP Microsoft ATA
Environment On-premises & Cloud data sources On-premises
Windows Defender ATP Integration Yes No
Data Storage Sent to Azure On-premises
Deployment Azure Cloud ATA Center
New Sensor Gateway
Updates Automated via Azure Cloud Manual via ATA Center
Domain Controller Agent Sensor: up to 100K pps Lightweight Gateway:
Up to 10K pps
Licensing EMS/Microsoft 365 E5 EMS E3
Standalone Standalone
 Releases   Current Version – 1.9 
Regular Updates (Released March 2018)

Azure ATP Kurulumu ve Yapılandırılması Part-4

Ürün ile ilgili gerekli network ortamını sağladıktan sonra (Sensor), Azure ATP workspace portalına bağlanabiliriz. Erişim sağlayan kullanıcının global administrator veya security administrator yetkilerine sahip olması gerekir. Yetkili kullanıcı
https://portal.atp.azure.com/
adresine tıkladığı taktirde doğrudan Azure ATP workspace alanına erişim sağlayabilir.


Create Workspace butonuna tıklayarak, yeni bir çalışma alanı oluşturabilirsiniz.


Çalışma alanının ismini ve lokasyon bilgilerini güncelledikten sonra, Create butonu ile çalışma alanı oluşturulur. Oluşturalan çalışma alanı primary olarak düzenlendiğinde, Windows Defender ATP ile doğrudan entegrasyon yapılabilir. Primary olarak ayarlanmadığında Azure ATP ile Windows Defender ATP entegrasyonu yapılamamaktadır.

Not: Primary olarak ayarlanmamış bir çalışma alanına Windows Defender ATP entegrasyonu yapılmak istenildiğinde tüm yapıyı silip, yeniden primary olarak ayarlanması gerekir.


Çalışma alanını ilk kez açtığınızda sizi yukaridaki gibi bir pencereye karşılayacaktır. Burada kullanıcı erişim bilgileri Active Directory’unuzdeki bir kullanıcı hesabı olması gerekir.

Not: Bu kullanıcıya read-only user yetkisi verilir.


Directory Services bölümünden gerekli domain ayarlarını yaptıktan sonra, Azure ATP kurulumu paketini ister özel bir sunucuya, isterseniz AD sunucusuna indirebilirsiniz.


Sensors bölümünde Azure ATP sensor yazılımı indirebilirsiniz. Ayrıca yazılımın Azure ATP portalı ile iletişim kurabilmesi için Access key gereklidir.

Access key; kimlik doğrulama ve TLS şifreleme işleminden sonra bir kerelik kullanıma sunulan paroladır.


Çalışma alanından indirmiş olduğumuz Azure ATP Sensor yazılımını çalıştıyoruz.


Yüklenen sunucuda .Net Framework 4.7 yüklü değil ise Azure ATP Sensor paketi ile birlikte .Net kurulumu gerçekleştirilir.


.Net Framework 4.7 kurulumu tamamlandıktan sonra, Azure ATP kurulumu ekranı gelmektedir. Dil ayarını yapıp ilerliyoruz.


Azure ATP Sensor yazılımı, kurulum yapılacak sunucuyu denetleyerek Sensor veya Standalone Sensor mu? olması gerektiğini karar verir. Kurulumu AD üzerindeki bir sunucuya yapıldığından dolayı Sensor butonu aktif olarak gelmektedir.


Bir sonraki kurulumu ekranına geçtiğimizde bu pencerede kurulum lokasyonu ve Access key bilgileri bulunmaktadır. Lokasyonu değiştirmeden Azure ATP çalışma alanındaki Access key girilerek ilerlenir.


Bu şekilde Azure ATP Sensor kurulumu tamamlanır.


Azure ATP yönetimi portalında Sensors bölümüne geldiğimizde Service Status kısmından sunucu(DC01) ile iletişim halinde olduğunu görebilirsiniz.


Azure ATP’nın bağlı olduğu sunucu ismine tıkladığımızda Description – Domain Controllers (FQDN) – Capture Network adapters – Domain synchronizer candidate başlıklarını bulunmaktadır. Bu tarafta FQDN bölümü otomatik olarak ilk yapılandırmayla birlikte gelmektedir. Capture Netwprk Adapters ise Azure ATP sensorunun bağlı olduğu bilgisayarlardaki network’u simgeler. Domain synchronizer candidate Azure ATP ve Active Directory arasındaki senkronizasyondan sorumlu bölümdür.

Azure Advanced Threat Protection (Azure ATP) Nedir? Part-1

Azure Advanced Threat Protection (ATP), ağlarınızdaki güvenlik olaylarını tespit etmenize ve araştırmanıza yardımcı olan, bulut tabanlı bir güvenlik çözümüdür. Aynı zamanda siber saldırılarına ve içeriden dışarıya bilgi sızdırma gibi tehditlere karşı korumanıza yardımcı olan bir güvenlik çözümüdür.

Bununla birlikte Azure ATP, kimlik doğrulama, yetkilendirme ve bilgi toplamak için birden fazla protokolün (Kerberos, DNS, RPC, NTLM ve diğerleri gibi) ağ trafiğini izlemektedir. Ayrıca kurumdaki kullanıcı ve servislerin davranışlarını öğrenip ve bu davranışlara ilişkin bir davranış profili oluşturarak, güvenlik tespitinde bulunur. Yapılan tespitler sonucunda ortama ayrıkı bir süreç fark edildiğinde Azure ATP portalında bu süreçler görüntülenir.

Azure ATP hangi tehditlere karşı bir koruma sağlıyor;

  • Şüpheli kullanıcı ve cihaz etkinliğini öğrenme akabinde analiz etme
  • Bulut ve kurum içi ortamlardaki tehditleri algılama
  • Active Directory’de depolanan kullanıcı kimlik bilgilerini koruma ve analiz etme
  • Windows Defender Advanced Threat Protection ile entegrasyon sağlayarak araştırma ve analiz seviyesini arttırma


Not: Azure ATP, hem bulut hem de şirket içi verilerinden faydalanıp, hatalı süreçleri azaltarak ve Windows Defender ATP entegrasyonuyla uçtan uca bir araştırma deneyimi sunarak, gelişmiş kötü niyetli saldırıları tespit edebilir.
Azure ATP aşağıdaki servislerle de ilişkilendirilebilinir.

  • SIEM Integration
  • Windows Event Forwarding (WEF)
  • Directly from the Windows Event Collector (for the sensor)
  • RADIUS Accounting from VPNs

Azure ATP, üç ana saldırı türlerini kontrol eder, bu saldırı türleri sırasıyla, Kötü amaçlı saldırılar – Anormal davranışlar – Güvenlik sorunları ve Riskler.

Bilinen belirli başlı saldırı türleri aşağıdaki gibidir;

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Forged PAC (MS14-068)
  • Golden Ticket
  • Malicious replication
  • Directory Service Enumeration
  • SMB Session Enumeration
  • DNS Reconnaissance
  • Horizontal Brute Force
  • Vertical Brute Force
  • Skeleton Key
  • Unusual Protocol
  • Encryption Downgrade
  • Remote execution
  • Malicious Service Creation

Bu saldırı türlerine istinaden süpheli bir etkinlik olduğunda, Azure ATP portalında süreci nasıl göreceğimizi aşağıdaki ekran görüntüsünden inceleyebilirsiniz. Örneğin, ortamınızdaki bir kullanıcı ikinci bir kullanıcıya Pass-the-Ticket saldırı girişiminde bulunduğunda Azure ATP portalında bu saldırının nasıl gerçekleştiğini ve nasıl bir atak uygulandığını görebilirsiniz.


*Not: Enterprise Mobility + Security’nin E5 lisansına sahip kullanıcılar Azure Advanced Threat Protection (Azure ATP) ürünü kullanabilir.