Cihazlar için Microsoft Entra güvenlik işlemleri
Cihazlar genellikle kimlik tabanlı saldırılarda hedeflenmez, ancak güvenlik denetimlerini karşılamak ve kandırmak ya da kullanıcıların kimliğine bürünmek için kullanılabilir. Cihazlar Microsoft Entra Id ile dört ilişkiden birine sahip olabilir:
Kayıtsız
Kayıtlı ve katılmış cihazlara birincil kimlik doğrulama yapıtı olarak ve bazı durumlarda çok faktörlü kimlik doğrulama yapıtı olarak kullanılabilen bir Birincil Yenileme Belirteci (PRT) verilir. Saldırganlar kendi cihazlarını kaydetmeye, iş verilerine erişmek için yasal cihazlarda PRT'leri kullanmaya, yasal kullanıcı cihazlarından PRT tabanlı belirteçleri çalmaya veya Microsoft Entra ID'deki cihaz tabanlı denetimlerde yanlış yapılandırmalar bulmaya çalışabilir. Microsoft Entra karma katılmış cihazlarla, birleştirme işlemi yöneticiler tarafından başlatılır ve denetlenerek kullanılabilir saldırı yöntemleri azaltılır.
Cihaz tümleştirme yöntemleri hakkında daha fazla bilgi için Microsoft Entra cihaz dağıtımınızı planlama makalesindeki Tümleştirme yöntemlerinizi seçme bölümüne bakın.
Kötü aktörlerin cihazlar aracılığıyla altyapınıza saldırma riskini azaltmak için
Cihaz kaydı ve Microsoft Entra join
Uygulamalara erişen uyumlu olmayan cihazlar
BitLocker anahtarı alma
Cihaz yöneticisi rolleri
Sanal makinelerde oturum açma işlemleri
Nereye bakılır?
Araştırma ve izleme için kullandığınız günlük dosyaları şunlardır:
Azure portalından Microsoft Entra denetim günlüklerini görüntüleyebilir ve virgülle ayrılmış değer (CSV) veya JavaScript Nesne Gösterimi (JSON) dosyaları olarak indirebilirsiniz. Azure portalında, microsoft Entra günlüklerini izleme ve uyarı otomasyonuna olanak sağlayan diğer araçlarla tümleştirmenin çeşitli yolları vardır:
Microsoft Sentinel – Güvenlik bilgileri ve olay yönetimi (SIEM) özellikleri sağlayarak kurumsal düzeyde akıllı güvenlik analizi sağlar.
Sigma kuralları - Sigma, otomatik yönetim araçlarının günlük dosyalarını ayrıştırmak için kullanabileceği kurallar ve şablonlar yazmak için gelişen bir açık standarttır. Önerilen arama ölçütlerimiz için Sigma şablonlarının bulunduğu yerde, Sigma deposuna bir bağlantı ekledik. Sigma şablonları Microsoft tarafından yazılmıyor, test edilmedi ve yönetilmiyor. Bunun yerine, depo ve şablonlar dünya çapında BT güvenlik topluluğu tarafından oluşturulur ve toplanır.
Azure İzleyici – çeşitli koşulların otomatik olarak izlenmesini ve uyarılmasını sağlar. Farklı kaynaklardan verileri birleştirmek için çalışma kitapları oluşturabilir veya kullanabilir.
SIEM- ile tümleştirilmiş Azure Event Hubs Microsoft Entra günlükleri, Azure Event Hubs tümleştirmesi aracılığıyla Splunk, ArcSight, QRadar ve Sumo Logic gibi diğer SIEM'lerle tümleştirilebilir.
Bulut için Microsoft Defender Uygulamaları – uygulamaları keşfetmenize ve yönetmenize, uygulamalar ve kaynaklar arasında idare sağlamanıza ve bulut uygulamalarınızın uyumluluğunu denetlemenize olanak tanır.
Kimlik Koruması Önizlemesi ile iş yükü kimliklerinin güvenliğini sağlama - Oturum açma davranışı ve çevrimdışı risk göstergeleri arasında iş yükü kimlikleri üzerindeki riski algılamak için kullanılır.
İzlediğiniz ve uyarıda bulunanların çoğu Koşullu Erişim ilkelerinizin etkileridir. Koşullu Erişim içgörüleri ve raporlama çalışma kitabını kullanarak bir veya daha fazla Koşullu Erişim ilkelerinin oturum açma işlemlerinizdeki etkilerini ve cihaz durumu da dahil olmak üzere ilkelerin sonuçlarını inceleyebilirsiniz. Bu çalışma kitabı, bir özeti görüntülemenize ve belirli bir zaman aralığındaki etkileri belirlemenize olanak tanır. Çalışma kitabını belirli bir kullanıcının oturum açma bilgilerini araştırmak için de kullanabilirsiniz.
Bu makalenin geri kalanında izlemenizi ve uyarı yapmanızı önerdiğimiz konu açıklanmaktadır ve tehdit türüne göre düzenlenmiştir. Önceden oluşturulmuş belirli çözümlerin bulunduğu yerlerde bunlara bağlanır veya tabloyu izleyen örnekler sağlarız. Aksi takdirde, önceki araçları kullanarak uyarılar oluşturabilirsiniz.
İlke dışındaki cihaz kayıtları ve birleştirmeleri
Microsoft Entra kayıtlı ve Microsoft Entra'ya katılmış cihazlar, tek bir kimlik doğrulama faktörünün eşdeğeri olan birincil yenileme belirteçlerine (PRT) sahiptir. Bu cihazlar bazen güçlü kimlik doğrulama talepleri içerebilir. PRT'ler güçlü kimlik doğrulama talepleri içerdiğinde daha fazla bilgi için bkz. PRT ne zaman MFA talebi alır? Kötü aktörlerin cihazları kaydetmesini veya cihazlara katılmasını korumak için, cihazları kaydetmek veya cihazlara katılmak için çok faktörlü kimlik doğrulaması (MFA) gerekir. Ardından MFA olmadan kayıtlı veya katılmış tüm cihazları izleyin. Ayrıca MFA ayarlarında ve ilkelerde ve cihaz uyumluluk ilkelerde yapılan değişiklikleri izlemeniz gerekir.
İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
---|---|---|---|---|
MFA olmadan cihaz kaydı veya katılımı tamamlandı | Orta | Oturum açma günlükleri | Etkinlik: Cihaz Kayıt Hizmeti'nde başarılı kimlik doğrulaması. And MFA gerekmez |
Uyarı: MFA olmadan kaydedilmiş veya katılmış tüm cihazlar Microsoft Sentinel şablonu Sigma kuralları |
Microsoft Entra Id'de Cihaz Kaydı MFA iki durumlu düğmesinde yapılan değişiklikler | Yüksek | Denetim günlüğü | Etkinlik: Cihaz kayıt ilkelerini ayarlama | Arama: İki durumlu düğme kapalı olarak ayarlanıyor. Denetim günlüğü girişi yok. Düzenli denetimler zamanlayın. Sigma kuralları |
Etki alanına katılmış veya uyumlu cihaz gerektiren Koşullu Erişim ilkelerindeki değişiklikler. | Yüksek | Denetim günlüğü | Koşullu Erişim ilkelerindeki değişiklikler |
Uyarı: Etki alanına katılmış veya uyumlu olmasını gerektiren herhangi bir ilkeye, güvenilen konumlarda yapılan değişikliklere veya MFA ilkesi özel durumlarına eklenen hesaplara veya cihazlara geçin. |
Microsoft Sentinel'i kullanarak bir cihaz MFA olmadan kaydedildiğinde veya katıldığında uygun yöneticilere bildiren bir uyarı oluşturabilirsiniz.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
Cihaz uyumluluk ilkelerini ayarlamak ve izlemek için Microsoft Intune'u da kullanabilirsiniz.
Uyumlu olmayan cihaz oturum açma
Uyumlu cihazlar gerektiren Koşullu Erişim ilkeleriyle tüm bulut ve hizmet olarak yazılım uygulamalarına erişimi engellemek mümkün olmayabilir.
Mobil cihaz yönetimi (MDM), Windows 10 cihazlarını uyumlu tutmanıza yardımcı olur. Windows sürüm 1809 ile ilkelerin güvenlik temelini yayımladık. Microsoft Entra ID , şirket ilkeleriyle cihaz uyumluluğunu zorlamak için MDM ile tümleştirilebilir ve bir cihazın uyumluluk durumunu bildirebilir.
İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
---|---|---|---|---|
Uyumlu olmayan cihazlar tarafından oturum açma işlemleri | Yüksek | Oturum açma günlükleri | DeviceDetail.isCompliant == false | Uyumlu cihazlardan oturum açma gerekiyorsa, şu durumlarda uyarı verin: uyumlu olmayan cihazlar tarafından yapılan herhangi bir oturum açma veya MFA'sız ya da güvenilir bir konum olmadan erişim. Cihaz gerektirmek için çalışıyorsanız şüpheli oturum açma işlemleri için izleyin. |
Bilinmeyen cihazlar tarafından oturum açma işlemleri | Düşük | Oturum açma günlükleri | DeviceDetail boş, tek faktörlü kimlik doğrulaması veya güvenilir olmayan bir konumdan | Arama: Uyumsuz cihazlardan erişim, MFA veya güvenilir konum olmadan erişim Microsoft Sentinel şablonu Sigma kuralları |
Sorgulamak için LogAnalytics kullanma
Uyumlu olmayan cihazlar tarafından oturum açma işlemleri
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
Bilinmeyen cihazlar tarafından oturum açma işlemleri
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
Eski cihazlar
Eski cihazlar, belirli bir süre boyunca oturum açmamış cihazları içerir. Bir kullanıcı yeni bir cihaz aldığında veya bir cihazı kaybettiğinde ya da Microsoft Entra'ya katılmış bir cihaz silindiğinde veya yeniden sağlandığında cihazlar eskiebilir. Kullanıcı artık kiracıyla ilişkilendirilmemişse cihazlar da kayıtlı veya katılmış olarak kalabilir. Birincil yenileme belirteçlerinin (PRT) kullanılamaması için eski cihazlar kaldırılmalıdır.
İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
---|---|---|---|---|
Son oturum açma tarihi | Düşük | Graph API | approximateLastSignInDateTime | Eski cihazları tanımlamak ve kaldırmak için Graph API'sini veya PowerShell'i kullanın. |
BitLocker anahtarı alma
Kullanıcının cihazının güvenliğini tehlikeye atan saldırganlar, BitLocker anahtarlarını Microsoft Entra Id'de alabilir. Kullanıcıların anahtarları alması sık karşılaşılan bir durum değildir ve izlenmesi ve araştırılması gerekir.
İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
---|---|---|---|---|
Anahtar alma | Orta | Denetim günlükleri | OperationName == "BitLocker anahtarını okuma" | Anahtar alma, anahtarları alan kullanıcıların diğer anormal davranışlarına bakın. Microsoft Sentinel şablonu Sigma kuralları |
LogAnalytics'te gibi bir sorgu oluşturun
AuditLogs
| where OperationName == "Read BitLocker key"
Cihaz yöneticisi rolleri
Microsoft Entra'ya Katılmış Cihaz Yerel Yönetici istrator ve Genel Yönetici istrator rolleri, Microsoft Entra'ya katılmış tüm cihazlarda otomatik olarak yerel yönetici hakları alır. Ortamınızı güvende tutmak için bu haklara sahip olan kişileri izlemek önemlidir.
İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
---|---|---|---|---|
Genel veya cihaz yöneticisi rollerine eklenen kullanıcılar | Yüksek | Denetim günlükleri | Etkinlik türü = Role üye ekleyin. | Arama: Bu Microsoft Entra rollerine eklenen yeni kullanıcılar, makineler veya kullanıcılar tarafından yapılan anormal davranışlar. Microsoft Sentinel şablonu Sigma kuralları |
Sanal makinelerde Azure AD dışı oturum açma işlemleri
Windows veya LINUX sanal makinelerinde (VM) oturum açma işlemleri, Microsoft Entra hesapları dışındaki hesaplar tarafından oturum açma işlemleri için izlenmelidir.
LINUX için Microsoft Entra oturum açma
LINUX için Microsoft Entra oturum açma, kuruluşların güvenli kabuk protokolü (SSH) üzerinden Microsoft Entra hesaplarını kullanarak Azure LINUX VM'lerinde oturum açmasına olanak tanır.
Ubuntu örneği:
9 Mayıs 23:49:39 ubuntu1804 aad_certhandler[3915]: Sürüm: 1.0.015570001; kullanıcı: localusertest01
9 Mayıs 23:49:39 ubuntu1804 aad_certhandler[3915]: 'localusertest01' kullanıcısı bir Microsoft Entra kullanıcısı değil; boş sonuç döndüren.
9 Mayıs 23:49:43 ubuntu1804 aad_certhandler[3916]: Sürüm: 1.0.015570001; kullanıcı: localusertest01
9 Mayıs 23:49:43 ubuntu1804 aad_certhandler[3916]: 'localusertest01' kullanıcısı bir Microsoft Entra kullanıcısı değil; boş sonuç döndüren.
9 Mayıs 23:49:43 ubuntu1804 sshd[3909]: 192.168.0.1 sürümünden localusertest01 için genel olarak kabul edildi5 bağlantı noktası 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
9 Mayıs 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): session opened for user localusertest01 by (uid=0).
LINUX VM oturum açma işlemleri için ilke ayarlayabilir ve onaylanmamış yerel hesapların eklendiği Linux VM'lerini algılayabilir ve bayrak ekleyebilirsiniz. Daha fazla bilgi edinmek için bkz. standartları sağlamak ve uyumluluğu değerlendirmek için Azure İlkesi kullanma.
Windows Server için Microsoft Entra oturum açma işlemleri
Windows için Microsoft Entra oturum açma, kuruluşunuzun uzak masaüstü protokolü (RDP) üzerinden Microsoft Entra hesaplarını kullanarak Azure Windows 2019+ VM'lerinizde oturum açmasına olanak tanır.
İzlenecekler | Risk Düzeyi | Konumu | Filtre/alt filtre | Notlar |
---|---|---|---|---|
Özellikle RDP üzerinden Azure AD hesabı olmayan oturum açma | Yüksek | Windows Server olay günlükleri | Windows VM'de Etkileşimli Oturum Açma | Olay 528, oturum açma türü 10 (RemoteInteractive). Kullanıcının Terminal Hizmetleri veya Uzak Masaüstü üzerinden oturum açtığını gösterir. |
Sonraki adımlar
Microsoft Entra güvenlik işlemlerine genel bakış
Kullanıcı hesapları için güvenlik işlemleri
Tüketici hesapları için güvenlik işlemleri
Ayrıcalıklı hesaplar için güvenlik işlemleri
Privileged Identity Management için güvenlik işlemleri