Azure Advanced Threat Protection Nedir ?

    Azure ATP On-Prem yapı içerisinde bulunan Active Directory den gelen sinyalleri analiz eder. Kullanıcı ve cihazlardan gelebilecek bir çok bilinen tehdidi algılayarak bizleri bilgilendirir. Bulut tabanlı bir güvenlik çözümüdür. Active Directory bulunan kullanıcıları ve cihazları derinlemesine analiz ederek cihaz ve kullanıcıların nerelere eriştiğini veya nerelere erişmemesi gerektiğini öğrenir. Kullanıcı veya cihaz yanal veya normal olamayan bir hareket esnasında sistem gelen tehlikeye göre uyarı vermeye başlar. Örneğin; Ahmet kullanıcısı kendi bilgisayarı üzerinde Enterprise admin yetkisine sahip kullanıcıları görüntüledi. Veya erişmemesi gereken bir yere erişmeye çalıştı. Gibi gibi örnekleri çoğaltabiliriz.

Azure ATP belirtilen verileri toplayarak anlamlı hale getirir peki hangi tür verileri nerelerden toplar ? , yönetim, izleme ve raporlama amacıyla hizmete özgü bir veritabanında yapılandırılmış sunuculardan (domain controller ve üye sunuculardan) bilgileri toplar ve depolar. Toplanan bilgiler, etki alanı denetleyicilerine (Kerberos kimlik doğrulaması, NTLM kimlik doğrulaması, DNS sorguları), güvenlik günlükleri (örneğin, Windows güvenlik olayları), Active Directory bilgileri (yapı, alt ağlar, siteler), ve varlık bilgileri (adlar, e-posta adresleri ve telefon numaraları gibi). Belirtilen veriler toplanarak analiz edilir. Bu paragrafta alıntı yapılmıştır. Dünyayı tekrar keşfetmeye gerek yok. 🙂

    Azure ATP yi bir çok kişi bir koruma sağladığını düşünüyor. Bilinenin aksine Azure ATP gelen tehditlere karşı sadece bir uyarı mekanizması. Azure Advanced Threat Protection multi-forest desteğide sunmaktadır. Böylelikle bir çok forest yapısını tek bir yerden kontrol edebilirsiniz. Geniş bilgi için bu bağlantıyı kullanabilirsiniz. Azure ATP bulut üzerinde çalışan bir uygulama olduğu için sürekli olarak güncellenmektedir. Böylece sizin yapmanız gereken bir işlem olmayacaktır. Eğer Azure ATP yeniliklerine bakmak isterseniz bu bağlantıyı kullanabilirsiniz.

Azure ATP aşağıda ki servislerle tümleştirebilirsiniz

• Windows Defender ATP ile tümleştirme
• Redius VPN tümleştirme
  
• Syslog ile tümleştirme
• SIEM tümleştirme
• Cloud App Security

Lisanslama

Azure Advanced Threat Protection yapınız içerisinde kullanabilmek için aşağıda ki paketlerden birine yahut CSP olarak tek başına alabilirsiniz. Her kullanıcı için ayrı ayrı lisans alınması gereken bir üründür.

• Enterprise Mobility + Security E5
• Microsoft 365 E5
• Azure Advanced Threat Protection for Users (Tek Başına)

Azure ATP Hangi Tehditleri Tespit Eder

Azure ATP Mimarisi

Azure ATP mimarisini görselde incelediğimizde Azure ATP Sensorler Domain Controller üzerinden gelen verileri Azure ATP servisine gönderir. Böylelikle kullanıcılardan veya cihazlardan gelen veriler doğrultusunda Azure ATP servisi bunları yorumlar. Burada anormal veya siber bir saldırı olup olmadığını tespit eder.

Azure ATP Devreye Alma

Öncelikle local Active Domain cihazımızda bir kullanıcı oluşturalım. Ben azureatp isminde bir kullanıcı oluşturuyorum. Bu kullanıcıya sadece Read-only Controllers yetkisi verelim. Geniş bilgi için bu bağlantıyı tıklayabilirsiniz.

Şimdi ise Microsoft 365 admin center üzerinden Azure ATP kısa yoluna tıklayalım.

Karşımıza yukarıda ki pencere gelecektir. Bu pencerede Azure ATP için bir örnek oluşturmamız istenmektedir. Oluştur butonuna tıklayarak Azure ATP örneğimizi oluşturalım.

Azure ATP örneğimiz oluştuktan sonra local Active Directory Azure ATP ye bağlamamız gerekecektir. Daha önceden local Active Directory üzerinde azureatp adında bir kullanıcı oluşturmuştuk.

Oluşturduğumuz kullanıcı bilgilerini yukarıda ki görselde olduğu gibi girelim. Kaydet butonuna basarak bilgileri kaydedelim.

Şimdi ise local active directory ve Azure ATP yi konuşturabilmemiz için Azure ATP sensör indirmemiz gerekecek.

Yukarıda ki indir butonuna tıklayarak Azure ATP sensörü indirelim. Ayrıca burada mevcut bir anahtar var. Bu anahtar Azure ATP sensor kurulumu esnasında bizden istenecektir. Erişim anahtarını kopyalayalım.

Sensor kurulumu yapılacak sunucu gereksinimi en az sunucunuzun Windows Server 2012 R2 olması gerekmektedir. Ayrıca güvenlik duvarınız üzerinde 443 portunun açık olması ve yine firewall üzerinden *. atp.azure.com izin verilmelidir.

Not : Burada ayrıca dikkat edilmesi gereken bir huşu bulunmaktadır. Azure ATP ile doğru bir şekilde analiz yapabilmemiz için kapasitenin doğru bir şekilde hesaplanması gerekmektedir.

Yukarıda ki görselde paket adetlerine göre yüklenmesi gereken Sensor tiplerini görebilirsiniz. Azure ATP plan kapasitesi için bu bağlantıyı kullanabilirsiniz.

Local Active Directory makinemiz üzerine indirmiş olduğumuz Azure ATP sensor’ü çift tıklayarak çalıştıralım. Kullanmak istediğimiz dili seçerek ilerleyelim.

Yukarıda ki görselde Sensor seçeneği otomatik olarak gelmektedir. Bunun sebebini şu şekilde açıklamak daha uygun olacaktır. Azure ATP Sensor ve Azure ATP Standalone Sensor arasında ki farklar; Azure ATP sihirbazı , sunucunun bir Active Directory makinesi mi ? yoksa dedicate bir makinemi olup olmadığını otomatik olarak algılayacaktır. Eğer Azure ATP sensor yüklediğimiz makine bir active directory makinesi ise Azure ATP sensor yüklenir. Özel bir sunucu ise, Azure ATP Standalone Sensor kurulumu gerçekleşecektir. Bu arada hatırlatmakta fayda olacağını düşünüyorum. Standalone Sensor Workgroup ortamında ki bir sunucu üzerine yükleyebilirsiniz.

Not: Eğer Azure ATP Sensor yerine Standolone bir sensor kuracaksanız port mirroring işlemi gerçekleştirmeniz gerekmektedir. Port mirroring yapılandırması için bu bağlantıyı kullanabilirsiniz. Port mirroring işlemini doğrulamak için bu bağlantıyı kullanabilirsiniz.

Daha önceden kopyalamış olduğumuz erişim anahtarını Access key bölümüne yapıştıralım. Ardından yükleme işlemini başlatalım.

Azure ATP Sensor kurulumumu başlamış durumdadır.

Kurulum işlemimiz başarılı bir şekilde bitmiş durumdadır.

Algılayıcılar kısmından baktığımızda AzureAD isimli sunucumuz üzerine Azure ATP sensor başarılı bir şekilde kurulduğunu ve hizmetin çalıştığını görebiliriz.

Azure ATP’yi devreye aldıktan sonra ufak bir uygulama yapalım. NetSess aracını indirelim. Hemen ardından yukarıda ki komutları verelim.

Azure ATP Victim kullanıcısı için yukarıda ki uyarıyı verdi. Bu ufak uygulamayı sistemin doğru bir şekilde çalışıp çalışmadığını kontrol etmek amacıyla yaptım. İlerleyen yazılarımızda Azure ATP hakkında bir çok konuya değineceğiz.

Başka yazılarda görüşmek üzere…