Windows Defender Advanced Threat Protection WDATP Kullanımı – Microsoft Defender Advanced Threat Protection MDATP – Microsoft Defender ATP

Bundan önceki makalemde genel olarak WDATP özelliklerinden ve agent yükleme işlemlerinden bahsetmiştim. Bu makalemde ise agent dağıtımı sonrasında artık W10 makinelerinizi WDATP konsolu üzerinden nasıl takip edebilirsiniz konusunda bilgi vereceğim.

Makalemin ilk bölümüne erişmek için aşağıdaki link’ i kullanabilirsiniz

https://www.hakanuzuner.com/index.php/windows-defender-advanced-threat-protection-wdatp.html

Öncelikle aşağıdaki link üzerinden hesabınıza erişebilirsiniz

https://securitycenter.windows.com/

Kullanıcı kimlik bilgilerini girdikten sonra aşağıdaki gibi bir konsol sizi karşılayacaktır

image001

Aslında daha geniş bir ekran göreceksiniz ancak ben her bölümü parça parça anlatacağım için ATP alerts bölümünü aldım ilk olarak.

Konsole giriş yaptığınız zaman sol tarafta 5 ana link yer almaktadır.

Dashboard hepimizin bildiği gibi ana rapor ekranımız.

Alert Queue bölümünde ise günce ve geçmiş uyarıları takip edebiliyoruz.

image003

Machines View bölümünde ise ATP ye bilgi gönderen yani izlediğimiz makinelerin durumunu görebiliyoruz

image005

Preferences Setup bölümünde ise hesabımız ile ilgili temel ayarları gerçekleştirebiliyoruz

image006

Öncelikle verilerin hangi lokasyonda saklanacağına, verilerin saklanma süresine, organizasyonunuzun büyüklüğüne ve hangi sektörde olduğuna dair seçenekleri değiştirebiliyoruz.

Son olarak Endpoint Management bölümünde ise W10 makineleriniz için ATP alt yapısına bağlanması veya bağlantı halinde olan istemcilerin koparılması için farklı dağıtım paketlerine ulaşabilirsiniz.

image008

Peki tekrar ana ekrana dönelim;

Öncelikle alert kısmı çok önemli, bu bölümden hızlı bir şekilde hangi bilgisayarda ne zaman nasıl bir atak olduğunu rahatlıkla görebiliriz

image010

Örneğin burada 20 ağustos tarihinde çok ciddi bir atak olmuş ve hemen onun üstüne tıklayabilirsiniz

image011

Atak hakkında detaylı bilgi yer almaktadır. Sağ bölümde ise öneriler yer almaktadır.

Biraz alt bölüme indiğimiz zaman ise hangi dosyanın buna sebep olduğunu görebiliriz

image013

Dahası o anda bu dosya üzerine tıklayıp acaba bu dosya başka hangi bilgisayarlarda benzer bir aktivite yapmış onu görebiliriz

image014

Dosyanın bir nevi geçmişini kontrol ediyoruz. Yani zaman geçmişine bakıp nerelerde aktif olduğunu görebiliriz. Bu dosya sadece demo-abby-lap makinesinde aktifmiş ki bu iyi bir durum.

Peki bu dosya neler yapmış onu kontrol edelim.

Şimdi Machine View bölümünden ilgili makinemizin üzerine tıklayalım

image016

Bu makine için tüm hareketlilikleri kontrol edebiliriz. Yine alt bölüme bakıyoruz

image018

Yukarıdaki ekranda da gördüğümüz gibi her şey kullanıcının bu keygen i çalıştırması ile başlamış. Sonrasında ise bir dizi işlemler, dosya oluşturmalar, gizlemeler, kayıt defteri değişiklikleri hepsini detaylı bir şekilde görebiliyorsunuz.

Bu bölümü sadece sorunlu PC’ ler için değil örneğin benim sağlıklı çalışan yani kötü içerikli kod içermeyen makinem içinde kontrol edebiliriz;

image020

Yukarıda gördüğünüz gibi hangi exe nin nereye bağlandığını kontrol etme şansına sahipsiniz.

Herhangi bir IP nin üzerine tıklayarak o ip hakkında bilgi de alabilirsiniz

image022

Konsolumuzdaki diğer ekranları da hızlı bir şekilde özetlemek isterim;

image023

Alert ekranın sağ tarafından yer alan Machines at risk bölümü temel olarak izlenmekte olan makinelerden sorunlu olanları gösterir.

Hemen alt bölümdeki Status ekranı ise servisin durumu ve toplam kaç makineden rapor aldığınızı gösterir.

image024

En altta yer alan ekranlarda ise makine rapor günlüğü ve aktif bir kötü içerikli kod tehdidi bölümlerini görebilirsiniz.

Böyle bir üründe tabiki raporlama çok önemlidir, ancak daha önemlisi uyarılar.

image026

Uyarılar otomatik olarak oluşmakta olup büyük bir ortam için bazen bunların yönetimi zor olabilir. Yani bir uyarı geldiğinde o anda eğer ilgili makinede bir pentest yapılıyor ise veya başka harici durumlar söz konusu ise bazı aksiyonlar almanız gerekebilir.

Bir uyarı için sağ bölümde bulunan 3 noktaya tıkladığınız zaman aşağıdaki gibi bir menü açılır;

image027

Bu uyarı üzerinde çalışılan bir konumda ise ona almanız gerekli ki sizden başka güvenlik uzmanı var ise bunu ayrıca rapor etmesin. Veya sorun çözüldü ise bir altındaki Resolved seçeneğini seçmeniz gerekli

image028

Bu durumda 3 seçeneğiniz oluyor, evet bu gerçekten bir tehdidi, bu bir tehdit ama şirket iç güvenlik politikasına uygun yada bu doğru bir tespit değil şeklinde seçeneklerimiz bulunmaktadır.

Bunlara ek olarak iki tane Suppress seçeneğimiz yer almaktadır.

Suppress alert on this machine

Eğer bu makinede birileri pentest yapıyor, yada geliştirme işlemleri için bir takım denemeler yapılıyor ya da benzeri bir harici tutma ihtiyacı var ise gelen alert üzerinde bu seçenek seçilir ise artık aktif olarak alert kuyruğunda görünmez. Ancak bu durumda sadece ilgili makine için geçerli olup örneğin bu uyarı yani saldırı başka bir makinede görünür ise bu durumda aktif alert olarak sisteme düşecektir.

Suppress alert in my organization

Yukarıdakine benzer bir durum eğer makine bazında değil de organizasyon bazında olacak ise, yani bildiğiniz bir komut seti dağıtımı, uygulama vb var ve bu alert üretiyor ise bunu organizasyon bazında bastırabilirsiniz.

Not: daha sonra bu tanımladığınız kuralları görmek veya silmek için üst menüden yer alan ayarlardan “Suppression rules” kısmına tıklayarak bu kuralları görebilirsiniz.

image029

Ek olarak uzun süreli bir sorun ile karşı karşıya kalmanız durumunda bu uyarılar için yorumlar ekleyebilir ve bunu daha sonra siz yada bir başkası kontrol edebilir

image030

image031

Peki bir atak tespit edildiği zaman sistem nasıl tepki veriyor. Hızlı bir şekilde W10 makinelerimden biri üzerinde mimkatz ile yerel bir atak yaptım;

image032

ATP konsolunda ise anında bunun uyarısını görebildim

image033

Detayları ise aşağıdaki gibidir;

image034

image036

image037

image039

Gördüğünüz gibi atağın tüm detaylarını rahatlıkla inceleyebiliyorum.

Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere