Azure Advanced Threat Protection (Azure ATP) Bileşenleri ve Mimarisi Part-2

Azure ATP Mimarisini aşağıdaki resimde inceleyebilirsiniz.


Azure ATP standalone sensoru, fiziksel veya sanal switch’ler kullanarak (Port Mirroring) domain ortamınızdaki ağ trafiğini izlemektedir. Yada Domain controller sunucusuna Azure ATP sensorünü kurduğunuzda doğrudan event log’lara erişim sağlayabilirsiniz. Bu sebeple network ağınızda herhangi configurasyon yapmanıza gerek kalmayacaktır. Bu iki seceneği de ortamınızda konumlandırabilirsiniz. Bununlarla birlikte toplanan logs ve event’larınızı Windows Event Forwarding (WEF) veya SIEM entegrasyonu üzerinden Azure ATA ye gönderebilirsiniz.

Not: Default olarak, en fazla 100 Azure ATP sensorü desteklemektedir.

Azure ATP’i oluşturan bileşenler aşağıdaki gibidir.

  • Azure ATP workspace management portal
  • Azure ATP workspace portal
  • Azure ATP sensor
  • Azure ATP standalone sensor

Azure ATP Yönetim Portalı ve Çalışma Alanı Portalı gereksinimleri
Azure ATP yönetimi ve çalışma portalına erişim aşağıdaki tarayıcıları ve ayarları desteklemektedir.

  • Microsoft Edge
  • Internet Explorer sürüm 10 ve üstü
  • Google Chrome 4.0 ve üstü
  • Minimum ekran genişliği çözünürlüğü 1700 piksel olmalı
  • Güvenlik duvarı/proxy Azure ATP bulut hizmetiyle iletişim kurmak için açık olması gerekir: *. güvenlik duvarı/proxy’de atp.azure.com bağlantı noktası 443‘tür.

Azure ATP standalone sensor gereksinimleri
Azure ATP standalone sensor Windows Server 2012 R2 veya Windows Server 2016 çalışan sunuculara yüklemeyi desteklemektedir. Standalone sensor domain veya workgroup olan bir sunuculara da yüklenebilir.
Azure ATP sensor gereksinimleri
Azure ATP sensor Windows Server 2008 R2 SP1, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 çalıştıran domain üzerine yüklemeyi desteklemektedir. Domain Controller read-only domain controller (RODC) olabilir. Yükleme sırasında .net Framework 4.7 yüklenir ve yükleme sonrasında sunucuyu yeniden başlatmak gerekir. Azure ATP sensor en az 2 CPU ve 6 GB RAM gerektirir.
AZURE ATP CAPACITY PLANNING
AZURE ATP korumasını ortamınıza dahil etmeden önce, Azure ATP kapasite planlaması yapılması gerekir. Azure ATP kapasitesini belirlemenin en basit ve önerilen yolu,
Azure ATP Sizing Tool ‘unu kullanmaktadır. Bu tool’u çalıştırdığınızda size bir excel raporu sunmaktadır. Bu rapor içinde sunucunun CPU ve RAM degerleri belirlenmektedir. Bu degerlere göre Azure ATP sensorünü kullanmanız önerilir.

 

Azure ATP ve Microsoft ATA arasındaki farklar nedir? Part-3

Her iki üründe verilerini şirket için (Active Directory) domain ortamında alırken, Microsoft ATA tamamen şirket için çalışan bir servis olup, Azure ATP ise Azure tarafında barındırılan ve verileri bulut ortamında analiz eden bir bulut servisidir.


Aşağıdaki tabloda arasındaki genel farklar bulunmaktadır.

Feature Azure ATP Microsoft ATA
Environment On-premises & Cloud data sources On-premises
Windows Defender ATP Integration Yes No
Data Storage Sent to Azure On-premises
Deployment Azure Cloud ATA Center
New Sensor Gateway
Updates Automated via Azure Cloud Manual via ATA Center
Domain Controller Agent Sensor: up to 100K pps Lightweight Gateway:
Up to 10K pps
Licensing EMS/Microsoft 365 E5 EMS E3
Standalone Standalone
 Releases   Current Version – 1.9 
Regular Updates (Released March 2018)

Azure ATP Kurulumu ve Yapılandırılması Part-4

Ürün ile ilgili gerekli network ortamını sağladıktan sonra (Sensor), Azure ATP workspace portalına bağlanabiliriz. Erişim sağlayan kullanıcının global administrator veya security administrator yetkilerine sahip olması gerekir. Yetkili kullanıcı
https://portal.atp.azure.com/
adresine tıkladığı taktirde doğrudan Azure ATP workspace alanına erişim sağlayabilir.


Create Workspace butonuna tıklayarak, yeni bir çalışma alanı oluşturabilirsiniz.


Çalışma alanının ismini ve lokasyon bilgilerini güncelledikten sonra, Create butonu ile çalışma alanı oluşturulur. Oluşturalan çalışma alanı primary olarak düzenlendiğinde, Windows Defender ATP ile doğrudan entegrasyon yapılabilir. Primary olarak ayarlanmadığında Azure ATP ile Windows Defender ATP entegrasyonu yapılamamaktadır.

Not: Primary olarak ayarlanmamış bir çalışma alanına Windows Defender ATP entegrasyonu yapılmak istenildiğinde tüm yapıyı silip, yeniden primary olarak ayarlanması gerekir.


Çalışma alanını ilk kez açtığınızda sizi yukaridaki gibi bir pencereye karşılayacaktır. Burada kullanıcı erişim bilgileri Active Directory’unuzdeki bir kullanıcı hesabı olması gerekir.

Not: Bu kullanıcıya read-only user yetkisi verilir.


Directory Services bölümünden gerekli domain ayarlarını yaptıktan sonra, Azure ATP kurulumu paketini ister özel bir sunucuya, isterseniz AD sunucusuna indirebilirsiniz.


Sensors bölümünde Azure ATP sensor yazılımı indirebilirsiniz. Ayrıca yazılımın Azure ATP portalı ile iletişim kurabilmesi için Access key gereklidir.

Access key; kimlik doğrulama ve TLS şifreleme işleminden sonra bir kerelik kullanıma sunulan paroladır.


Çalışma alanından indirmiş olduğumuz Azure ATP Sensor yazılımını çalıştıyoruz.


Yüklenen sunucuda .Net Framework 4.7 yüklü değil ise Azure ATP Sensor paketi ile birlikte .Net kurulumu gerçekleştirilir.


.Net Framework 4.7 kurulumu tamamlandıktan sonra, Azure ATP kurulumu ekranı gelmektedir. Dil ayarını yapıp ilerliyoruz.


Azure ATP Sensor yazılımı, kurulum yapılacak sunucuyu denetleyerek Sensor veya Standalone Sensor mu? olması gerektiğini karar verir. Kurulumu AD üzerindeki bir sunucuya yapıldığından dolayı Sensor butonu aktif olarak gelmektedir.


Bir sonraki kurulumu ekranına geçtiğimizde bu pencerede kurulum lokasyonu ve Access key bilgileri bulunmaktadır. Lokasyonu değiştirmeden Azure ATP çalışma alanındaki Access key girilerek ilerlenir.


Bu şekilde Azure ATP Sensor kurulumu tamamlanır.


Azure ATP yönetimi portalında Sensors bölümüne geldiğimizde Service Status kısmından sunucu(DC01) ile iletişim halinde olduğunu görebilirsiniz.


Azure ATP’nın bağlı olduğu sunucu ismine tıkladığımızda Description – Domain Controllers (FQDN) – Capture Network adapters – Domain synchronizer candidate başlıklarını bulunmaktadır. Bu tarafta FQDN bölümü otomatik olarak ilk yapılandırmayla birlikte gelmektedir. Capture Netwprk Adapters ise Azure ATP sensorunun bağlı olduğu bilgisayarlardaki network’u simgeler. Domain synchronizer candidate Azure ATP ve Active Directory arasındaki senkronizasyondan sorumlu bölümdür.

Azure Advanced Threat Protection (Azure ATP) Nedir? Part-1

Azure Advanced Threat Protection (ATP), ağlarınızdaki güvenlik olaylarını tespit etmenize ve araştırmanıza yardımcı olan, bulut tabanlı bir güvenlik çözümüdür. Aynı zamanda siber saldırılarına ve içeriden dışarıya bilgi sızdırma gibi tehditlere karşı korumanıza yardımcı olan bir güvenlik çözümüdür.

Bununla birlikte Azure ATP, kimlik doğrulama, yetkilendirme ve bilgi toplamak için birden fazla protokolün (Kerberos, DNS, RPC, NTLM ve diğerleri gibi) ağ trafiğini izlemektedir. Ayrıca kurumdaki kullanıcı ve servislerin davranışlarını öğrenip ve bu davranışlara ilişkin bir davranış profili oluşturarak, güvenlik tespitinde bulunur. Yapılan tespitler sonucunda ortama ayrıkı bir süreç fark edildiğinde Azure ATP portalında bu süreçler görüntülenir.

Azure ATP hangi tehditlere karşı bir koruma sağlıyor;

  • Şüpheli kullanıcı ve cihaz etkinliğini öğrenme akabinde analiz etme
  • Bulut ve kurum içi ortamlardaki tehditleri algılama
  • Active Directory’de depolanan kullanıcı kimlik bilgilerini koruma ve analiz etme
  • Windows Defender Advanced Threat Protection ile entegrasyon sağlayarak araştırma ve analiz seviyesini arttırma


Not: Azure ATP, hem bulut hem de şirket içi verilerinden faydalanıp, hatalı süreçleri azaltarak ve Windows Defender ATP entegrasyonuyla uçtan uca bir araştırma deneyimi sunarak, gelişmiş kötü niyetli saldırıları tespit edebilir.
Azure ATP aşağıdaki servislerle de ilişkilendirilebilinir.

  • SIEM Integration
  • Windows Event Forwarding (WEF)
  • Directly from the Windows Event Collector (for the sensor)
  • RADIUS Accounting from VPNs

Azure ATP, üç ana saldırı türlerini kontrol eder, bu saldırı türleri sırasıyla, Kötü amaçlı saldırılar – Anormal davranışlar – Güvenlik sorunları ve Riskler.

Bilinen belirli başlı saldırı türleri aşağıdaki gibidir;

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Forged PAC (MS14-068)
  • Golden Ticket
  • Malicious replication
  • Directory Service Enumeration
  • SMB Session Enumeration
  • DNS Reconnaissance
  • Horizontal Brute Force
  • Vertical Brute Force
  • Skeleton Key
  • Unusual Protocol
  • Encryption Downgrade
  • Remote execution
  • Malicious Service Creation

Bu saldırı türlerine istinaden süpheli bir etkinlik olduğunda, Azure ATP portalında süreci nasıl göreceğimizi aşağıdaki ekran görüntüsünden inceleyebilirsiniz. Örneğin, ortamınızdaki bir kullanıcı ikinci bir kullanıcıya Pass-the-Ticket saldırı girişiminde bulunduğunda Azure ATP portalında bu saldırının nasıl gerçekleştiğini ve nasıl bir atak uygulandığını görebilirsiniz.


*Not: Enterprise Mobility + Security’nin E5 lisansına sahip kullanıcılar Azure Advanced Threat Protection (Azure ATP) ürünü kullanabilir.