Kategori arşivi: Identity

Just Enough Administration Guide – 17 Kasım Server 2016 Day Etkinliği Demo İçeriği

Merhaba, Microsoft Türkiye tarafından gerçekleştirilecek olan Windows Server etkinliğinde yapacağım sunum içerisinde eğer sizlerde benim ile beraber en yeni güvenlik çözümlerinden biri olan Just Enough Administration JEA demosu yapmak istiyorsanız aşağıdaki hazırlıkları yapmanız ve etkinliğe iki sanal makine çalıştıracak bir laptop ile gelmeniz yeterli. Etkinlik kayıtları dolduğu için ek olarak etkinlik linkini paylaşmıyorum, sadece kayıt olmuş ve gelecekler için bilgi paylaşmak istedim.

Demo için gerekli olan Domain ortamındaki bir sunucu, bir de istemci için sistem gereksinimleri aşağıdaki gibidir;

Windows Server

Windows Client

Öncelikle Sunucu işletim sistemi üzerinde uzak powershell desteğini açıyoruz

Enable-PSRemoting

Okumaya devam et

Microsoft Advanced Threat Analytics ATA 1.6 Yenilikler

Microsoft ATA Mayıs 2016 itibari ile 5 Milyon kullanıcı 10 Milyon aygıtı izleyen ve son derece popüler bir güvenlik ürünü haline gelmiştir. Ürünü bilenler için bir daha detaylandırmaya gerek yok, ilk defa duyanlar ise aşağıdaki yazıları inceleyebilir

Microsoft Advanced Threat Analytics – Bölüm 1 – What is ATA

Microsoft Advanced Threat Analytics – Bölüm 2 – Planning and Requirements

Microsoft Advanced Threat Analytics – Bölüm 3 – Deployment Guide – Lab Installation

Microsoft Advanced Threat Analytics – Bölüm 4 – Configure Event Collection

http://sozluk.cozumpark.com/goster.aspx?id=4024&kelime=Microsoft-ATA

https://channel9.msdn.com/Blogs/HakanUzuner/Microsoft-Advanced-Threat-Analytics-ATA-Nedir-Nasl-alr

Peki 1.6 sürümü ile neler geldi?

UEBA pazarının lideri olan ATA bu pazar için çıtayı yükseltmiş ve yeni standartlar belirlemiştir;

Yeni Saldırı Tespitleri

Kötü niyetli kişiler her geçen gün saldırı teknikleri ve yöntemlerini değiştirdiği için ATA da bu alanda özellikle saldırganların yeni yöneldikleri alanları tespit edebilmektedir.

Reconnaissance via Net Session enumeration

DC, GPO özelliği nedeni ile bir file server gibi hizmer vermekte olup istemciler GPO ayarlarını almak için SMB üzerinden DC lere bağlanmaktadır. Kötü niyetli kişiler keşif çalışmasında bu alanı kullanıp DC’ den o andaki tüm session’ lar için kullanıcı adı ve ip bilgisi isteyebilirler.

Compromised credentials via Malicious Replication Request

Benzer şekilde yine kötü niyetli kişiler düzenli olarak replikasyon yapan DC’ ler için bu trafiği manipüle edip buradan kullanıcı şifre bilgilerini alabilirler.

Compromised Credentials via Malicious DPAPI Request

Data Protection API (DPAPI), şifre temelli bir veri koruma servisidir. Bu veri koruma servisi pek çok uygulama tarafından kullanılmaktadır kullanıcı kimlik bilgisini saklamak için kullanılır ( Örneğin bir web sitesi giriş şifresi veya bir dosya paylaşımına erişim için kullancak şifre gibi). Ek olarak bu servis olası bir şifre kaybına karşın gizlenmiş verilerin tekrar erişilmesi için bir kurtarma anahtarı sunar. Kötü niyetli kişiler bu kurtarma anahtarını ele geçirebilir ve bu durumda şifre bilgilerinide edinmiş olurlar

Yeni Dağıtım Seçeneği

ATA Lightweight Gateway sayesinde on-prem veya Iaas modeli çalışan Domain ortamlarınızda özel bir sunucu ya da port yönlendirmesi olmadan ATA Gateway kurabilirsiniz. Domain Controller makine üzerine direkt olarak kurulan bu servis sayesinde artık port yönlendirme ihtiyacı ortadan kalkmaktadır. DC üzerine kurulan bu servis DC üzerindeki kaynakların kullanımını da otomatik olarak ayarlamaktadır. Bu sayede mevcut DC üzerinde çalışan servisler veya hizmetler bundan etkilenmez. Ek olarak bu yeni model sayesinde uzak ofislerde özellikle kaynak yetersizliği veya port yönlendirme imkânı olmayan durumlar için kolay dağıtım sağlar.

Bu yeni servis modelinden sonra mimari artık aşağıdaki gibi değişmiştir


Eskiden olduğu gibi yine ATA Center ve ATA Gateway olmasına karşın artık isterseniz port yönlendirme ile ATA Gateway kurmak yerine DC üzerine ATA Lightweight Gateway kurabilirsiniz. İsterseniz bu iki modeli de aynı anda kullanabilirsiniz. Yani merkez site içerisinde ATA Gateway kullanırken uzak ofislerde port yönlendirme veya ek GW sunucusu için kaynak olmaması durumunda ATA Lightweight Gateway kurabilirsiniz.


Ancak bu modelde önemli olan DC üzerinde yeterli bilgisayar gücü olması.


Yukarıda gördüğünüz gibi DC %30 kaynak kullanırken birden bu %60 olur ise bu durumda ATA GW kaynaklarını sınırlamaktadır, fakat bu durumda izlenen trafikte kayıplar olacaktır.

ATA Gateway için bundan önceki makalelerimde sizing yani gerekli olan makine yapılandırma ayarlarını payalaşmıştım, isterseniz bu bilgiye aşağıdaki link üzerinden ulaşabilirsiniz

https://docs.microsoft.com/en-us/advanced-threat-analytics/plan-design/ata-capacity-planning

Yine bu link içerisinde ATA L-Gateway kurulumu içinde gerekli olan kaynakları görebilirsiniz


Performans ve Ölçekleme

1.6 sürümü ile artık daha performanslı çalışan ATA özellikle eski sürüme göre veri depolama alanında 5 kat daha az yer istemektedir. Performans tarafındaki iyileştirme özellikle tespit etme motorunda ( detection engine ) gerçekleştirilmiş olup bu sayede çok büyük yapılarda dahi sorunsuz bir şekilde ürünü kullanabilirsiniz.

Otomatik Update Desteği

Güvenlik alanında güncelleme çok önemli olduğu için ATA artık WSUS; SCCM veya Windows Update üzerinden otomatik olarak güncellenebilecektir. Bu sayede yeni özellikleri kazanmak için elle indirme yükleme yapmaya gerek yoktur. İlk olarak ATA Center yükseltildikten sonra yine konfigürasyon yapılmış ise ATA Gateway makineleri de otomatik olarak yükseltilecektir.

3 Parti Program Entegrasyonu

Malum ATA için SIEM önemli bir ürün olup mevcut SIEM ürünü üzerinden log alabilir ve bunu tespitlerinde kullanabilirken benzer şekilde kendi sonularını da bir SIEM ile paylaşabilir. Bu konuda hali hazırda çalıştığı SIEM ürünlerine ek olarak bu sürümde IBM QRADAR ile entegre çalışmaktadır. ( bir önceki sürüm hali hazırda RSA Security Analytics, HP Arcsight ve Splunk ile entegre çalışıyordu)

User and Entity Behavior Analytics UEBA

Kullanıcı ve varlık davranış analizi olarak bilinen UEBA aslında kullanıcı ve kimliklerin kullanım modellerini profil analizi ile öğrenip ( makine öğrenme teknolojisi kullanılır, machine learning ) daha sonra anormal davranışların sergilenmesinde durumunda bunların raporlanmasını sağlar. Örnek vermek gerekir ise, siz sürekli Türkiye de kredi kartı ile alış veriş yapıyorken birden amazon.com da birisi kredi kartınızı kullanır ise banka bunun normal bir davranış olmadığını tespit eder ve hemen sizi arayarak bu alış verişin bilginiz dahilinde olup olmadığını doğrular, bu da aslında benzer bir teknolojidir. UEBA sektörüne en güzel örnek Microsoft ATA ürünüdür. Gerek bilinen saldırıları gerekse asıl uzmanı olduğu kullanıcı davranış analizine göre riskli hareketler ve eylemleri raporlar. Bu alanda pek çok üretici bulunmaktadır.

Microsoft
ObserveIT
Niara
Splunk
vb

Windows Defender Advanced Threat Protection – Windows Defender ATP

Windows 10 temelli yeni nesil güvenlik servislerinden biridir. Microsoft tarafından uç nokta güvenliğini arttırmak ve burada olan biten olayları bir ekran üzerinden görerek hızlıca aksiyon almak için kullanılmaktadır. Windows 10 ile beraber gelen pek çok güvenlik özelliğine ek olarak sunulan bu özellik Windows 10 işletim sistemi ile beraber sunulacağı için ek bir ajan dağıtımı ve benzeri bir iş yükü olmadan rahatlıkla merkezi olarak saldırıları izleyebilir ve aksiyon alabilirsiniz.

Daha fazla bilgi için

Announcing Windows Defender Advanced Threat Protection

just enough administration (JEA)

Aslında yeni bir teknoloji olmayan JEA, temelde powershell komut setinin bir güvenlik özelliği olarak açıklanabilir. Temel amacı yöneticilere sadece ihtiyaç duydukları hakları vererek hata yapmalarını, kötü niyetli olmaları durumunda sisteme zarar vermelerini veya saldırı yüzünü azaltmak için kullanılmaktadır.

Örneğin pek çok sistem yöneticisi exchange online powershell kullanıyordur. Biz sahibi olduğumuz tenant yani hesap için en yetkili admin iken bize bu alt yapıyı sunan sunuculara erişim hakkımız yoktur, yani sadece ihtiyaç duyduğumuz kadar yetki verildiği için bize Exchange online üzerinde kritik hatalar, kötü niyetli aksiyonlar veya bizden kaynakları ataklar olmamaktadır.

Sizlerde şirketinizde bu konsept ile adminlere sadece ihtiyacı olan yetkileri kullanaması için JeaTookit kullanabilirsiniz.

https://blogs.technet.microsoft.com/privatecloud/2014/05/14/just-enough-administration-step-by-step/