Microsoft Advanced Threat Analytics Kurulum ve Yapılandırma ATA Bölüm-1

By | 1 Haziran 2017

Merhabalar;

Bu yazımızda yeni nesil bir güvenlik çözümü olan Microsoft Advanced Threat Analytics ATA çözümünden bahsediyor olacağız. Bildiğimiz gib network ve sunucu güvenliğimiz için biz takım çözümlerimiz her zaman mevut. Bir firewall ile dışarıdan gelecek saldırılara karşı korunuyoruz, bir antivirus yazılımı ile istemcimize gelen bir dosya veya bir mail vasıtasıyla bulaşan zararlı içeriklerden korunuyoruz. Peki yeni nesil saldırı tiplerinden nasıl korunacağız ? İşte bu değişen saldırı tiplerine karşı, yeni nesil güvenlik çözümleri kullanmalıyız. İşte Microsoft Advanced Threat Analytics ATA, yeni nesil güvenlik çözümlerinin balında gelmektedir.

ATA ne yapar, ne işe yarar ve nasıl çalışır ? Biraz bunun üzerinde duralım.

Microsoft Advanced Threat Analytics şirket çalışanlarınızın ve cihazlarınızın, davranışsal bir analizini yapar, bu analiz sonrası tüm şirket ortamınızı öğrenir ve aldığı bu bilgiler sonucunda, şirket ortamınızda anormal bir durum oluştuğu takdirde bunu size raporlar ve ne aksiyon almanızı gerektiğini bildirir.

Aslında ATA, Domain Controller ‘larınızın ürettiği logları alır analiz eder ve size raporlar. Bildiğizin üzere Active Directory ortamlarında ulaşmak istenilen her uygulamanın ve her kaynağın Domain Controller ile bir ilişkisi olacaktır. Dolayısı ile bu işlemler sırasında, DC mutlaka bir log üretecektir. İşte ATA, öğrendiği şirket ortamınızı ve bu loglar sayesinde gerçekleşen aksiyonları karşılaştırarak analiz eder. Yani ATA Active Directory trafğinizi dinler.

ATA sadece Active Directory loglarını mı inceler ? Tabi ki hayır. ATA şirketinizde bulunan SIEM ortamınızın loglarınıda inceler, analiz eder ve raporlar.

ATA 3 temel koruma sağlar, Bunlar;

Anormal Kullanıcı Davranışları : ATA şirket ortamının tüm davranışsal analizini çıkarmıştır ve bunu öğrenmiştir. Bir kullanıcının veya bir kaynağın her zamankinden farklı davranması durumunda ATA bunu raporlar ve size sunar.

Nedir bu davranışlar. Örneğin;

  • Anormal oturum açma işlemleri
  • Bilinmeyen tehditler
  • Parola paylaşımı

Örneğin bir kullanıcı her sabah şirkete geliyor ve şirket bilgisayarından oturum açıyor ve çalışmaya başlıyor. Fakat bir süre sonra aynı kullanıcı gece 02:00 da aynı bilgisayardan oturum açayıyor.

Diğer bir örnek ise kullanıcı gün içersinde ofiste çalışırken, kendi erişim bilgileri ile farklı bir ülkeden VPN yapılıyor ve şirket networküne dahil oluyor. Veya iki farklı lokasyondan bir uygulama üzerinde oturum açılıyor.

İşte ATA bu normal olmayan davranışları analiz edip size raporlayabilir.

Kötü Amaçlı Saldırılar: ATA bilinen saldırı türlerinin tam listesini bilmektedir. Bu saldiri türleri aşağıdaki bi sıralanabilir.

Pass-the-Ticket

Pass-the-Hash

Key malware

Overpass-the-Hash

Brute Force

Forged PAC

Remote execution

Golden Ticket

ATA hangi şüpheli aksiyonları algılayabilir ayrınılı bir şekilde buradan öğrenebilirsiniz. ATA bu şüpheli aksiyonları algılar ve Kim, Ne, Ne Zaman ve Nasıl sorularına yönelik, net bir bakış sağlayarak bilgileri ATA konsolunda sunar.

Güvenlik Sorunları ve Riskler : ATA dünya geneline bilinen güvenlik açıkları için koruma sağlar. Örneğin ;

  • Zayıf protokoller
  • Bilinen protokol güvenlik açıkları
  • Güven ilişkisi sorunları

ATA Nasıl Çalışır ?

Microsoft Advanced Threat Analytics (ATA) Active Directory ortamınızı inceler ve analiz eder. Sonrasında tüm Active Directory trafiğini dinler. Bu analiz sonucunda ATA, ortamınızdaki kullanıcı ve diğer kaynakları tanır ve davranışlarını öğrenir. Sonrasında ATA bu öğrendiği bilgiler sayesinde, normal olmayan davranışlar, kötü amaçlı saldırılar ve güvenlik sorunlarına karşı yapılması gerekenler hakkında size bilgi sunar. Burada önemli bir nokta ise ATA bu tehtitlere karşı herhangi bir aksiyon almaz.

Buraya kadar ATA hakkında gerekli bilgileri vermiş olduk. Bir sonraki bölümde ATA kurulum aşamalarına geçiyor olacağız.

Teşekkürler

Cüneyt E. ORHUN

Senior Microsoft Solutions Consultant

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir