Etiket arşivi: Security principal reconnaissance (LDAP) Nedir?

Security principal reconnaissance (LDAP) Nedir?

Genellikle kötü niyetli kişilerin saldırı düzenlerken farklı amaçları vardır. Buradan yola çıkarak aslında kurbanlarını seçerler. Eğer bir sisteme rastgele sızmak ve anında sistem içerisindeki verileri şifreleyip fidye istemek ise bunu çok hızlı ve acı bir şekilde öğrenebilirsiniz.

Bu konuda hali hazırda aşağıdaki yazımda bahsetmiştim, özetlemek gerekir ise kötü niyetli kişiler saldırı öncesi basit LDAP sorguları ile domain için keşif yaparlar;

Active Directory Saldırılarının Temeli- LDAP Keşfi- LDAP Reconnaissance

Azure ATP ürünü üzerinde aşağıdaki gibi bir ayar yer almaktadır;

Bu ayarın amacı da tam olarak bu tür atakları kesmektir. Sisteme kurulduktan sonra ortalama 10 gün içerisinde kullanıcılarınızın yaptığı sorguları öğrenerek anormal sorguların gelmesi durumunda uyarı vermesini sağlayan son derece gelişmiş bir özelliktir. Günün sonunda domain içerisinde onlarca, yüzlerce veya binlerce kullanıcı ldap sorgusu yapabilir, ama bunların hangilerinin kötü amaçlı olduğunu ayırt edebilmek için mutlaka bir öğrenme süreci gereklidir.

Daha fazla bilgi için

https://docs.microsoft.com/en-us/azure-advanced-threat-protection/atp-reconnaissance-alerts#security-principal-reconnaissance-ldap-external-id-2038—preview