




























Study with the several resources on Docsity
Earn points by helping other students or get them with a premium plan
Prepare for your exams
Study with the several resources on Docsity
Earn points to download
Earn points by helping other students or get them with a premium plan
MICROSOFT ATA DOCUMENT FOR YOU
Typology: Exercises
1 / 36
This page cannot be seen from the preview
Don't miss anything!





























Sırada ne var? Ayrıca bkz. Keşif Deneme Yanılma Uzaktan yürütme Algılamaların ve açıklamalarının tam listesi için lütfen bkz. ATA Hangi Şüpheli Etkinlikleri Algılayabilir? ATA bu şüpheli etkinlikleri algılar ve Kim, Ne, Ne Zaman ve Nasıl sorularına yönelik net bir bakış sağlayarak bilgileri ATA konsolunda sunar. Burada, basit, kullanıcı dostu bir panoda, ATA’nın ağınızdaki İstemci 1 ve İstemci 2 bilgisayarları üzerinde Karma Geçişi saldırısı denendiğinden şüphelendiği konusundaki uyarısı görülüyor. ATA, aşağıda örnekleri verilen ve ağınızdaki kullanıcılarla cihazlarda görülen şüpheli etkinliklerle anormal davranışları ortaya çıkarmak için davranışsal analiz kullanarak ve Makine Öğrenimi özelliğinden faydalanarak Anormal davranışları algılar: Anormal oturum açma işlemleri Bilinmeyen tehditler Parola paylaşımı Yanal hareket Bu tür şüpheli etkinlikleri ATA Panosunda görüntüleyebilirsiniz. Aşağıdaki örnekte, bir kullanıcı her zaman erişmediği 4 bilgisayara erişir ve bu bir uyarı nedeni olabileceğinden, ATA sizi uyarır. ATA ayrıca, aşağıdakiler gibi güvenlik sorunlarını ve risklerini de algılar: Bozulmuş güven Zayıf protokoller Bilinen protokol güvenlik açıkları Bu tür şüpheli etkinlikleri ATA Panosunda görüntüleyebilirsiniz. Aşağıdaki örnekte, ATA, ağınızdaki bir bilgisayar ve etki alanı arasında bir bozulmuş güven ilişkisi olduğunu size bildirir. ATA’nın ağınıza nasıl uyum sağladığı hakkında daha fazla bilgi için: ATA mimarisi ATA’nın dağıtımına başlamak için: ATA’yı yükleme ATA forumuna bakın!
24.3.2017 • 6 min to read • Edit Online
Keşif Keşif Güvenliği tehlikede olan kimlik bilgileri Güvenliği tehlikede olan kimlik bilgileri Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1. ATA gelişmiş bir tehdidin çeşitli aşamaları için algılama sağlar: keşif, kimlik bilgilerinin tehlikeye atılması, yanal hareket, ayrıcalık yükseltme, etki alanı hakimiyeti ve daha fazlası. Bu algılamaların amacı, gelişmiş saldırıları ve içeriden gelen tehditleri kuruluşunuza zarar vermeden önce algılamaktır. Her aşamadaki algılama, söz konusu aşamayla ilgili birkaç şüpheli etkinlikle sonuçlanır ve burada her şüpheli etkinlik farklı türde olası saldırılarla ilişkilidir. ATA’nın, ölüm zincirinde şu anda algılayabildiği bu aşamalar aşağıdaki resimde vurgulanmıştır. ATA birçok keşif algılaması sağlar. Bu algılamalar şunları içerir: Hesap listeleme kullanarak keşif Saldırganların bir kullanıcının mevcut olup olmadığını keşfetmek için Kerberos protokolünü kullanarak yaptığı girişimleri algılar. Üstelik, bu etkinlik etki alanı denetleyicisinde bir olay olarak günlüğe kaydedilmemiş olsa bile algılanır. Ağ Oturumu Listeleme Saldırganlar, keşif aşamasının bir parçası olarak etki alanı denetleyicisini sorgulama yoluyla sunucudaki tüm etkin SMB oturumlarını bulabilir ve bu SMB oturumlarıyla ilişkili tüm kullanıcılara ve IP adreslerine erişme olanağı elde edebilir. SMB oturumu numaralandırması saldırganlar tarafından hassas hesapları hedeflemek için kullanılabilir ve bu da saldırganların ağda yanal olarak hareket etmelerine yardımcı olur. DNS kullanarak keşif Hedef ağdaki DNS bilgileri genellikle çok yararlı keşif bilgileridir. DNS bilgileri tüm sunucuların ve genellikle tüm istemcilerin listesini ve IP adreslerinin eşlemesini içerir. DNS bilgilerini görüntülemek, saldırganlara ortamınızdaki bu varlıkların ayrıntılı görünümünü sağlayabilir ve bu kişilerin saldırıları kampanyayla ilgili varlıklara odaklamasına olanak tanır. Dizin hizmetleri listelemesi kullanarak keşif Etki alanı denetleyicilerinde sorgu çalıştırmak için SAM uzak protokolü kullanılarak gerçekleştirilen varlık (kullanıcılar, gruplar vb.) keşfi işlemlerini algılama. Bu keşif yöntemi gerçek dünyadaki saldırı senaryolarında görülen birçok kötü amaçlı yazılım türünde yaygındır. ATA, güvenliği tehlikede olan kimlik bilgilerinin algılanması için hem makine öğrenimi tabanlı davranış
Ayrıcalık yükseltmeAyrıcalık yükseltme Etki alanı hakimiyeti Etki alanı hakimiyeti Sırada ne var? Ayrıca bkz. yanal hareketi algılayabilir ve bir saldırgan tarafından sergilenen bir yanal harekete işaret edebilen olağan dışı erişim kalıplarını algılayabilir. ATA başarıyla gerçekleştirilen veya girişimde bulunulan ayrıcalık yükseltme saldırılarını algılar; burada saldırganlar var olan ayrıcalıkları artırmaya ve bunları birkaç kez kullanıp sonunda kurbanın ortamı üzerinde tam denetim kazanmaya çalışır. ATA bilinen ve kötü amaçlı saldırıları ve aşağıdaki gibi, ayrıcalıkları yükseltmek için sık kullanılan teknikleri algılamanın yanı sıra, ayrıcalıklı hesapların olağan dışı davranışlarını algılamak üzere davranış analizini birleştirerek ayrıcalık yükseltme algılamasına olanak sağlar: MS14-068 açığından yararlanma (Forged PAC) Sahte PAC, saldırganın geçerli TGT anahtarlarına sahte yetkilendirme üst bilgisi biçiminde yetkilendirme verileri yerleştirdiği saldırılardır ve kuruluşun kendilerine vermediği ek izinler verir. Bu senaryoda saldırgan, daha önce güvenliği aşılmış kimlik bilgileri veya yanal hareket işlemleri sırasında toplanan kimlik bilgilerini kullanır. MS11-013 açığından yararlanma (Gümüş PAC) MS11-013 açığından yararlanma saldırıları, bir Kerberos hizmet biletinin belirli yönlerden sahtesini üretmeye olanak sağlayan Kerberos’taki ayrıcalık güvenlik açığından yararlanılarak gerçekleştirilir. Bu güvenlik açığından yararlanmayı başaran kötü amaçlı bir kullanıcı veya saldırgan Etki Alanı Denetleyicisinde yükseltilmiş ayrıcalıklarla bir belirteç elde edebilir. Bu senaryoda saldırgan, daha önce güvenliği aşılmış kimlik bilgileri veya yanal hareket işlemleri sırasında toplanan kimlik bilgilerini kullanır. ATA aşağıdakiler gibi, saldırganlar tarafından bilinen teknikler sayesinde algılama gerçekleştirerek kurbanın ortamı üzerinde tam denetim veya egemenlik elde etmeye çalışan veya bunu başaran saldırganları algılar: Maymuncuk kötü amaçlı yazılımı Maymuncuk saldırılarında, etki alanı denetleyicinize bir yandan saldırganların herhangi bir kullanıcı olarak kimlik doğrulaması yapmalarına izin veren ve diğer yandan da normal kullanıcıların oturum açmasına olanak tanıyan kötü amaçlı bir yazılım yüklenir. Altın bilet Altın bilet saldırılarında, saldırgan KBTGT’nin kimlik bilgilerini (Kerberos Altın Bileti) çalar. Bu anahtar, saldırganın ağdaki kaynakları erişim kazanmak amacıyla kullanılacak çevrimdışı bir TGT anahtarı oluşturmasına olanak tanır. Uzaktan yürütme Saldırganlar etki alanı denetleyicinizde uzaktan kod çalıştırarak ağınızı denetleme girişiminde bulunabilir. Kötü amaçlı çoğaltma istekleri Active Directory (AD) ortamlarında, Etki Alanı Denetleyicileri arasında düzenli olarak çoğaltma yapılır. Bir saldırgan (bazen bir Etki Alanı Denetleyicisinin kimliğe bürünerek), AD çoğaltma isteğini taklit edebilir ve bu da saldırganın Birim Gölge Kopyası gibi daha kullanışsız tekniklerden yararlanmadan, parola karmaları dahil olmak üzere AD’de depolanan verileri almasına izin verir. ATA’nın ağınıza nasıl uyum sağladığı hakkında daha fazla bilgi için: ATA mimarisi ATA’nın dağıtımına başlamak için: ATA’yı yükleme ATA forumuna bakın!
24.3.2017 • 4 min to read • Edit Online
Yeni ve güncelleştirilmiş algılamalarYeni ve güncelleştirilmiş algılamalar AltyapıAltyapı Bu sürüm notları, Advanced Threat Analytics’in bu sürümündeki bilinen sorunlar hakkında bilgi sağlar. ATA 1.7 güncelleştirmesi aşağıdaki alanlarda geliştirmeler sağlar: Yeni ve güncelleştirilmiş algılamalar Rol tabanlı erişim denetimi Windows Server 2016 ve Windows Server 2016 Core desteği Kullanıcı deneyimi iyileştirmeleri Küçük değişiklikler Dizin Hizmetleri Numaralandırması kullanarak keşif Keşif aşamasının bir parçası olarak, saldırganlar farklı yöntemler kullanarak ağdaki varlıklar hakkında bilgi toplar. SAM-R protokolünü kullanan Dizin hizmetleri numaralandırması saldırganların bir etki alanındaki kullanıcıların ve grupların listesini ele geçirmesini ve farklı varlıklar arasındaki etkileşimi anlamasını sağlar. Karma Değer Geçişi Geliştirmeleri Karma Değer Geçişi algılamayı geliştirmek için varlıkların kimlik doğrulama modellerine yönelik ek davranışsal modeller ekledik. Bu modeller ATA’nın varlık davranışını şüpheli NTLM kimlik doğrulamalarıyla ilişkilendirmesini ve gerçek zamanlı Karma Değer Geçişi saldırılarını yanlış pozitif senaryoların davranışından ayırt etmesini sağlar. Anahtar Geçişi Geliştirmeleri Gelişmiş saldırıları genel olarak ve özellikle Anahtar Geçişi için başarılı bir şekilde algılamak amacıyla bir IP adresi ve bilgisayar hesabı arasındaki bağıntının doğru olması gerekir. Bu, IP adreslerinin tasarımsal olarak hızla değiştiği ortamlarda (örneğin, Wi-Fi ağları ve aynı ana bilgisayarı paylaşan birden çok sanal makine) zordur. Bu zorluğun üstesinden gelmek ve Anahtar Geçişi algılamasının doğruluğunu artırmak için ATA’nın Ağ Adı Çözümleme (NNR) mekanizması yanlış pozitifleri azaltmak için önemli ölçüde iyileştirilmiştir. Anormal Davranış Geliştirmeleri ATA 1.7’de, NTLM kimlik doğrulama verileri anormal davranış algılamaları için bir veri kaynağı olarak eklenmiş ve böylece algoritmaların ağdaki varlık davranışını daha geniş bir şekilde kapsaması sağlanmıştır. Olağan Dışı Protokol Uygulaması Geliştirmeleri ATA artık Kerberos protokolünde olağan dışı protokol uygulamalarını ve NTLM protokolündeki ek anormallikleri algılamaktadır. Özellikle, Kerberos’taki bu yeni anormallikler Karma Değeri Atlayarak Geçiş saldırılarında yaygın olarak kullanılır. Rol tabanlı erişim denetimi Rol Tabanlı Erişim Denetimi (RBAC) kapasitesi. ATA 1.7 üç rol içerir: ATA Yöneticisi, ATA Analisti ve ATA İdarecisi. Windows Server 2016 ve Windows Server Core Desteği ATA 1.7; Windows Server 2008 R2 SP1 (Server Core içermeyen), Windows Server 2012, Windows Server 2012 R2 ve Windows Server 2016 (Core içerip Nano içermeyen) çalıştıran etki alanı denetleyicilerinde Lightweight Gateway’lerinin dağıtımını destekler. Ayrıca, bu sürüm Windows Server 2016’yı hem ATA Center hem de ATA Gateway bileşenleri için destekler.
Şüpheli etkinlik ayrıntılarını Excel'e dışarı aktarma başarısız olabilirŞüpheli etkinlik ayrıntılarını Excel'e dışarı aktarma başarısız olabilir Küçük değişiklikler Ayrıca bkz. Bu sorunu çözmek için, sertifikayı değiştirdikten sonra yükseltilmiş komut isteminden %ProgramFiles%\Microsoft Advanced Threat Analytics\Center\MongoDB\bin konumuna gidin ve şu komutu çalıştırın:
24.3.2017 • 2 min to read • Edit Online
NOTNOT NOTNOT
1. Adım: ATA Center’ı güncelleştirme 1. Adım: ATA Center’ı güncelleştirme ATA 1.7 güncelleştirmesi aşağıdaki alanlarda geliştirmeler sağlar: Yeni algılamalar Var olan algılamalarda geliştirmeler ATA ortamınızda yüklü değilse, ATA’nın sürüm 1.7’yi da içeren tam sürümünü indirin ve ATA’yı Yükleme başlığı altında açıklanan standart yükleme yordamını izleyin. ATA’nın 1.6 sürümünü önceden dağıttıysanız, bu yordam dağıtımınızı güncelleştirmek için gereken adımlarda size yol gösterir. ATA sürüm 1.7’yı doğrudan ATA sürüm 1.4 veya 1.5’in üzerine yükleyemezsiniz. Önce ATA sürüm 1.6’yı yüklemeniz gerekir. ATA’yı 1.7 sürümüne güncelleştirmek için bu adımları izleyin: ÖNEMLIÖNEMLI 1. Sürüm 1.7 güncelleştirmesini indirme Uygulamanın bu sürümünde, yeni bir ATA dağıtımı yüklemek ve var olan dağıtımları yükseltmek için aynı yükleme dosyası (Microsoft ATA Center Setup.exe) kullanılır. 2. ATA Center’ı güncelleştirme 3. ATA Gateway’leri güncelleştirme ATA’nın düzgün çalıştığından emin olmak için tüm ATA Gateway bileşenlerini güncelleştirin. 1. Veritabanınızı yedekleyin: (isteğe bağlı) ATA Center sanal makinede çalışıyorsa ve bir denetim noktası almak istiyorsanız, önce sanal makineyi kapatın. ATA Center fiziksel sunucuda çalışıyorsa, MongoDB’yi yapılandırmak için önerilen yordamı izleyin. 2. Microsoft ATA Center Setup.exe adlı yükleme dosyasını çalıştırın ve ekrandaki yönergeleri izleyerek güncelleştirmeyi yükleyin. Hoş Geldiniz sayfasında dilinizi seçin ve İleri ’ye tıklayın. Sürüm 1.6’da otomatik güncelleştirmeleri etkinleştirmediyseniz, ATA’nın güncel kalması için ATA’yı Microsoft Update kullanacak şekilde ayarlamanız istenir. Microsoft Update sayfasında,
ÖNEMLIÖNEMLI NOTNOT Ayrıca bkz. Gateway’leriniz bu noktada güncelleştirilir. Bu şekilde yapılandırmadıysanız her ATA Gateway’in yanındaki Güncelleştir ’e tıklayın. ATA’nın düzgün çalıştığından emin olmak için tüm ATA Gateway bileşenlerini güncelleştirin. Tüm Gateway’ler üzerinde yapılandırılan Syslog dinleyicisi bağlantı noktası 514 olarak değiştirilecektir. Yeni ATA Gateways yüklemek amacıyla ATA 1.7 yükleme paketini edinmek ve 4. Adımda açıklanan yeni Ağ Geçidi yükleme yönergelerini takip etmek için Ağ Geçitleri ekranına gidip Ağ Geçidi Kurulumunu İndir seçeneğine tıklayın. ATA Gateway’i yükleyin. ATA forumuna bakın!
24.3.2017 • 5 min to read • Edit Online
Yeni algılamalarYeni algılamalar Bu sürüm notları, Advanced Threat Analytics’in bu sürümündeki bilinen sorunlar hakkında bilgi sağlar. ATA 1.6 güncelleştirmesi aşağıdaki alanlarda geliştirmeler sağlar: Yeni algılamalar Var olan algılamalarda geliştirmeler ATA Lightweight Gateway Otomatik güncelleştirmeler Geliştirilmiş ATA Center performansı Daha az depolama alanı gereksinimleri IBM QRadar desteği Kötü Amaçlı Veri Koruma Özel Bilgi İsteği Veri Koruma API’si (DPAPI) parola tabanlı bir veri koruma hizmetidir. Bu koruma hizmeti web sitesi parolaları ve dosya paylaşımı kimlik bilgileri gibi kullanıcının gizli bilgilerini depolayan çeşitli uygulamalar tarafından kullanılır. Parolanın kaybolması senaryolarını desteklemek için, kullanıcılar parolalarını içermeyen bir kurtarma anahtarı kullanılarak korunan verilerin şifresini çözebilir. Bir etki alanı ortamında, saldırganlar uzaktan kurtarma anahtarını çalabilir ve tüm etki alanına katılmış bilgisayarlarda korunan verilerin şifresini çözmek için kullanabilirler. Ağ Oturumu Numaralandırma Keşif, gelişmiş saldırı sonlandırma zinciri içindeki önemli bir aşamadır. Etki Alanı Denetleyicileri (DC’ler) Server Message Block (SMB) protokolünü kullanarak Grup İlke Nesnesi dağıtımı amacıyla dosya sunucuları görevi görür. Saldırganlar keşif aşamasının bir parçası olarak, etki alanı denetleyicisinde sunucudaki tüm etkin SMB oturumlarını sorgulayabilir ve bu da onlara bu SMB oturumlarıyla ilişkili tüm kullanıcılara ve IP adreslerine erişme olanağı sağlar. SMB oturumu numaralandırması saldırganlar tarafından hassas hesapları hedeflemek için kullanılabilir ve bu da saldırganların ağda yanal olarak hareket etmelerine yardımcı olur. Kötü amaçlı çoğaltma istekleri Active Directory ortamlarında, Etki Alanı Denetleyicileri arasında düzenli olarak çoğaltma yapılır. Bir saldırgan (bazen bir Etki Alanı Denetleyicisinin kimliğe bürünerek), Active Directory çoğaltma isteğini taklit edebilir ve bu da saldırganın Birim Gölge Kopyası gibi daha kullanışsız tekniklerden yararlanmadan, parola karmaları dahil olmak üzere Active Directory’de depolanan verileri almasına izin verir. MS11-013 açığının algılanması Bir Kerberos hizmet biletinin belirli yönlerden sahtesini üretmeye olanak sağlayan Kerberos’taki ayrıcalık güvenlik açığından yararlanma söz konusudur. Bu güvenlik açığından yararlanmayı başaran kötü amaçlı bir kullanıcı veya saldırgan Etki Alanı Denetleyicisinde yükseltilmiş ayrıcalıklarla bir belirteç elde edebilir. Olağan dışı protokol uygulanması Kimlik doğrulama istekleri (Kerberos veya NTLM) genellikle standart bir dizi yöntem ve protokoller kullanılarak gerçekleştirilir. Ancak başarıyla kimlik doğrulamak için, isteğin yalnızca belirli gereksinimleri karşılaması gerekir. Saldırganlar bu protokolleri, ortamda standart uygulamadan küçük sapmalarla uygulayabilir. Bu sapmalar Karma Değer Geçişi, Deneme Yanılma vb.
ATA 1.5’ten güncelleştirirken geçiş hatasıATA 1.5’ten güncelleştirirken geçiş hatası System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation. ---> MongoDB.Driver.MongoWriteException: A write operation resulted in an error. E11000 duplicate key error index: ATA.UniqueEntityProfile.$id dup key: { : "
Şu hatayı da görebilirsiniz: System.ArgumentNullException: Değer null olamaz. Bu hatalardan herhangi biriyle karşılaşırsanız, aşağıdaki geçici çözümü çalıştırın. Geçici çözüm :
24.3.2017 • 3 min to read • Edit Online
NOTNOT NOTNOT ATA 1.6 güncelleştirmesi aşağıdaki alanlarda geliştirmeler sağlar: Yeni algılamalar Var olan algılamalarda geliştirmeler ATA Lightweight Gateway Otomatik güncelleştirmeler Geliştirilmiş ATA Center performansı Daha az depolama alanı gereksinimleri IBM QRadar desteği ATA ortamınızda yüklü değilse, ATA’nın sürüm 1.6’yı da içeren tam sürümünü indirin ve ATA’yı Yükleme başlığı altında açıklanan standart yükleme yordamını izleyin. ATA sürüm 1.5’i önceden dağıttıysanız, bu yordam dağıtımınızı güncelleştirmek için gereken adımlarda size yol gösterir. ATA sürüm 1.6’yı doğrudan ATA sürüm 1.4’ün üzerine yükleyemezsiniz. Önce ATA sürüm 1.5’i yüklemeniz gerekir. Yanlışlıkla ATA 1.5 yüklemeden ATA 1.6 yüklemeye çalışırsanız, Makinenizde zaten daha yeni bir sürüm yüklü şeklinde bir hata iletisiyle karşılaşırsınız. ATA 1.5 sürümünü yüklemeden önce, yükleme başarısız olsa bile bilgisayarınızda kalacak olan ATA 1. sürümünden kalanları kaldırmanız gerekir. ATA sürüm 1.6’ya güncelleştirmek için bu adımları izleyin:
1. Adım: ATA Center’ı güncelleştirme1. Adım: ATA Center’ı güncelleştirme ÖNEMLIÖNEMLI ATA’nın düzgün çalıştığından emin olmak için tüm ATA Gateway bileşenlerini güncelleştirin.