Aracılığıyla paylaş


Sistemik kimlik güvenliğinin aşılmasından kurtarma

Bu makalede, kuruluşunuza karşı bir fidye yazılımı saldırısı sırasında gerçekleşebilecek sistemik kimlik güvenliğini aşma saldırısından kurtulmaya yönelik Microsoft kaynakları ve önerileri açıklanmaktadır.

Bu makaledeki içerik, risklere yanıt vermek ve müşterilerin siber dayanıklı olmasına yardımcı olmak için çalışan Microsoft Olay Yanıtı ekibi (eski adıyla DART/CRSP) tarafından sağlanan rehberliğe dayanır. Microsoft Olay Yanıtı ekibinin daha fazla kılavuzu için microsoft güvenlik blog serisine bakın.

Birçok kuruluş, kimlik ve erişim yönetimi konusunda daha güçlü güvenlik sağlamak için bulut tabanlı bir yaklaşıma geçiş yaptı. Ancak, kuruluşunuzun şirket içi sistemleri de olabilir ve farklı karma mimari yöntemleri kullanabilir. Bu makalede, sistemik kimlik saldırılarının bulut, şirket içi ve hibrit sistemleri etkilediği kabul edilir ve bu ortamların tümü için öneriler ve başvurular sağlanır.

Önemli

Bu bilgiler olduğu gibi sağlanır ve genelleştirilmiş rehberlik oluşturur; bu kılavuzu BT ortamınıza ve kiracılarınıza nasıl uygulayacağınız konusunda nihai kararlılık, her Müşterinin belirlemek için en iyi konumda olduğu benzersiz ortamınızı ve ihtiyaçlarınızı dikkate almalıdır.

Sistemik kimlik güvenliğinin aşılmasına ilişkin

Bir saldırgan, bir kuruluşun kimlik altyapısının yönetimine başarıyla ayak bastığında, bir kuruluşa sistemik kimlik güvenliğini tehlikeye atabilir.

Bu durum kuruluşunuza olduysa, daha fazla zarar vermeden önce ortamınızın güvenliğini sağlamak için saldırgana karşı bir yarış içindesinizdir.

  • Bir ortamın kimlik altyapısının yönetim denetimine sahip saldırganlar, bu denetimi kullanarak bu ortamda kimlik ve kimlik izinleri oluşturabilir, değiştirebilir veya silebilir.

    Şirket içi bir risk altında, güvenilen SAML belirteç imzalama sertifikaları bir HSM'de depolanmıyorsa, saldırı bu güvenilen SAML belirteç imzalama sertifikasına erişimi içerir.

  • Saldırganlar daha sonra, hesap kimlik bilgilerine erişim gerektirmeden ve hiçbir iz bırakmadan kuruluşun mevcut kullanıcı ve hesaplarının kimliğine bürünmek üzere SAML belirteçlerini taklit etmek için sertifikayı kullanabilir.

  • Yüksek ayrıcalıklı hesap erişimi , mevcut uygulamalara saldırgan denetimindeki kimlik bilgileri eklemek için de kullanılabilir ve saldırganların bu izinleri kullanarak API'leri çağırmak gibi algılanmamış şekilde sisteminize erişmesini sağlar.

Saldırıya yanıt verme

Sistemik kimlik risklerine yanıt vermek için aşağıdaki görüntüde ve tabloda gösterilen adımların yer alması gerekir:

Kimlik güvenliğinin aşılmasından kurtarma adımları.

Adımlar Açıklama
Güvenli iletişim kurma Sistemsel kimlik güvenliğinin aşılmasına neden olan bir kuruluş, tüm iletişimin etkilendiğini varsaymalıdır. Herhangi bir kurtarma eylemi gerçekleştirmeden önce, araştırma ve yanıt çalışmanızda önemli olan ekibinizin üyelerinin güvenli bir şekilde iletişim kuradığından emin olmanız gerekir.

Saldırganın bilgisi olmadan devam edebilmeniz için iletişimlerin güvenliğini sağlamak ilk adımınız olmalıdır.
Ortamınızı araştırma Temel araştırma ekibinizde iletişimin güvenliğini sağladıktan sonra ilk erişim noktalarını ve kalıcılık tekniklerini aramaya başlayabilirsiniz. Tehlikeye ilişkin göstergelerinizi belirleyin ve ardından ilk erişim noktalarını ve kalıcılığı arayın. Aynı zamanda, kurtarma çalışmalarınız sırasında sürekli izleme işlemleri oluşturmaya başlayın.
Güvenlik duruşunu geliştirme İleriye doğru geliştirilmiş sistem güvenliğine yönelik en iyi yöntem önerilerini izleyerek güvenlik özelliklerini ve özelliklerini etkinleştirin.

Zaman geçtikçe ve güvenlik ortamı değiştikçe sürekli izleme çalışmalarınıza devam edin.
Denetimi yeniden kazanma / koruma Ortamınızın yönetim denetimini saldırgandan yeniden elde etmeniz gerekir. Denetimi yeniden yaptıktan ve sisteminizin güvenlik duruşu yenilendikten sonra, tüm olası kalıcılık tekniklerini ve yeni ilk erişim açıklarını düzeltdiğinizden veya engellediğinizden emin olun.

Güvenli iletişim kurma

Yanıt vermeye başlamadan önce, saldırgan gizlice dinlemeden güvenli bir şekilde iletişim kurabildiğinize emin olmalısınız. Saldırganın araştırmanıza aktarılmaması ve yanıt eylemlerinize şaşırarak müdahale edilmemesi için olayla ilgili tüm iletişimleri yalıttığınızdan emin olun.

Örneğin:

  1. İlk bire bir ve grup iletişimleri için PSTN çağrılarını, kurumsal altyapıya bağlı olmayan konferans köprülerini ve uçtan uca şifrelenmiş mesajlaşma çözümlerini kullanmak isteyebilirsiniz.

    Bu çerçeveler dışındaki iletişimler, güvenli bir kanal aracılığıyla doğrulanmadığı sürece güvenliği aşılmış ve güvenilmeyen olarak ele alınmalıdır.

  2. Bu ilk konuşmalardan sonra, kuruluşun üretim kiracısından yalıtılmış tamamen yeni bir Microsoft 365 kiracısı oluşturmak isteyebilirsiniz. Yalnızca yanıtın parçası olması gereken önemli personel için hesaplar oluşturun.

Yeni bir Microsoft 365 kiracısı oluşturursanız, kiracı için ve özellikle yönetim hesapları ve hakları için en iyi yöntemlerin tümünü izlediğinizden emin olun. Dış uygulamalar veya satıcılar için güven olmadan yönetim haklarını sınırlayın.

Önemli

Mevcut ve güvenliği tehlikeye girmiş olabilecek e-posta hesaplarınızda yeni kiracınız hakkında iletişim kurmadığınızdan emin olun.

Daha fazla bilgi için bkz . Microsoft 365'i güvenli bir şekilde kullanmaya yönelik en iyi yöntemler.

Güvenliğin aşılmasına dair göstergeler belirleme

Müşterilerin hem Microsoft hem de iş ortakları dahil olmak üzere sistem sağlayıcılarından gelen güncelleştirmeleri takip etmelerini ve sağlanan yeni algılamaları ve korumaları uygulamalarını ve yayımlanan risk olaylarını (ICS) belirlemelerini öneririz.

Aşağıdaki Microsoft güvenlik ürünlerinde güncelleştirmeleri denetleyin ve önerilen değişiklikleri uygulayın:

Yeni güncelleştirmelerin uygulanması, önceki kampanyaları belirlemenize ve sisteminize karşı gelecek kampanyaları önlemeye yardımcı olur. GÇ listelerinin kapsamlı olmayabileceğini ve araştırma devam ettikçe genişletilebileceğini unutmayın.

Bu nedenle aşağıdaki eylemleri gerçekleştirmenizi öneririz:

Daha fazla bilgi için Microsoft'un güvenlik belgelerine bakın:

Ortamınızı araştırma

Olay yanıtlayıcılarınız ve önemli personeliniz işbirliği için güvenli bir yere sahip olduktan sonra, güvenliği aşılmış ortamı araştırmaya başlayabilirsiniz.

Saldırgan tarafından gerçekleştirilen diğer etkinlikleri durdurmak için her anormal davranışın en altına inmeyi ve hızlı işlem yapmayı dengelemeniz gerekir. Herhangi bir başarılı düzeltme, saldırganın kullandığı ilk giriş ve kalıcılık yöntemlerinin, mümkün olduğunca eksiksiz bir şekilde anlaşılmasını gerektirir. Araştırma sırasında kaçırılan tüm kalıcılık yöntemleri saldırgan tarafından erişimin devam etmesi ve olası bir yeniden sağlama ile sonuçlanabilir.

Bu noktada, eylemlerinize öncelik vermek için bir risk analizi gerçekleştirmek isteyebilirsiniz. Daha fazla bilgi için bkz.

Microsoft'un güvenlik hizmetleri ayrıntılı araştırmalara yönelik kapsamlı kaynaklar sağlar. Aşağıdaki bölümlerde en çok önerilen eylemler açıklanmaktadır.

Not

Listelenen günlük kaynaklarından birinin veya daha fazlasının şu anda güvenlik programınızın bir parçası olmadığını fark ederseniz, algılamaları ve gelecekteki günlük gözden geçirmelerini etkinleştirmek için bunları en kısa sürede yapılandırmanızı öneririz.

Günlük saklamanızı kuruluşunuzun ileriye dönük araştırma hedeflerini destekleyecek şekilde yapılandırdığından emin olun. Yasal, mevzuat veya sigorta amaçları için gerektiği gibi kanıt tutun.

Bulut ortamı günlüklerini araştırma ve gözden geçirme

Şüpheli eylemler ve saldırganların güvenlik ihlallerine ilişkin göstergeler için bulut ortamı günlüklerini araştırın ve gözden geçirin. Örneğin, aşağıdaki günlükleri denetleyin:

Uç nokta denetim günlüklerini gözden geçirme

Aşağıdaki eylem türleri gibi şirket içi değişiklikler için uç nokta denetim günlüklerinizi gözden geçirin:

  • Grup üyeliği değişiklikleri
  • Yeni kullanıcı hesabı oluşturma
  • Active Directory'de temsilci seçmeler

Özellikle diğer tipik risk veya etkinlik belirtileriyle birlikte gerçekleşen bu değişikliklerden herhangi birini göz önünde bulundurun.

Ortamlarınızdaki yönetim haklarını gözden geçirme

Hem bulut hem de şirket içi ortamlarınızda yönetim haklarını gözden geçirin. Örneğin:

Environment Veri Akışı Açıklaması
Tüm bulut ortamları - Buluttaki tüm ayrıcalıklı erişim haklarını gözden geçirin ve gereksiz izinleri kaldırın
- Privileged Identity Management (PIM) Uygulama
- Sağlamlaştırma sırasında yönetim erişimini sınırlamak için Koşullu Erişim ilkeleri ayarlama
Tüm şirket içi ortamlar - Şirket içi ayrıcalıklı erişimi gözden geçirin ve gereksiz izinleri kaldırın
- Yerleşik grupların üyeliğini azaltma
- Active Directory temsilcilerini doğrulama
- Katman 0 ortamınızı sağlamlaştırma ve Katman 0 varlıklarına erişimi olan kişileri sınırlama
Tüm Kurumsal uygulamalar Aşağıdaki eylemlerden herhangi birine izin veren temsilci izinleri ve onay izinleri için gözden geçirin:

- Ayrıcalıklı kullanıcıları ve rolleri değiştirme
- Tüm posta kutularını okuma veya bunlara erişme
- Diğer kullanıcılar adına e-posta gönderme veya iletme
- Tüm OneDrive veya SharePoint site içeriğine erişme
- Dizine okuyabilen/yazabilen hizmet sorumluları ekleme
Microsoft 365 ortamları Aşağıdakiler dahil olmak üzere Microsoft 365 ortamınıza yönelik erişim ve yapılandırma ayarlarını gözden geçirin:
- SharePoint Online Paylaşımı
- Microsoft Teams
- Power Apps
- Microsoft OneDrive İş
Ortamlarınızdaki kullanıcı hesaplarını gözden geçirme - Artık gerekli olmayan konuk kullanıcı hesaplarını gözden geçirin ve kaldırın.
- Temsilciler, posta kutusu klasör izinleri, ActiveSync mobil cihaz kayıtları, Gelen Kutusu kuralları ve Web üzerinde Outlook seçenekleri için e-posta yapılandırmalarını gözden geçirin.
- ApplicationImpersonation haklarını gözden geçirin ve eski kimlik doğrulamasının kullanımını mümkün olduğunca azaltın.
- MFA'nın zorunlu kılındığını ve tüm kullanıcılar için hem MFA hem de self servis parola sıfırlama (SSPR) iletişim bilgilerinin doğru olduğunu doğrulayın.

Sürekli izleme oluşturma

Saldırgan davranışını algılamak çeşitli yöntemler içerir ve kuruluşunuzun saldırıyı yanıtlamak için kullanabileceği güvenlik araçlarına bağlıdır.

Örneğin, Microsoft güvenlik hizmetleri, aşağıdaki bölümlerde açıklandığı gibi saldırıyla ilgili belirli kaynaklara ve yönergelere sahip olabilir.

Önemli

Araştırmanız, kuruluşunuzun genel yönetici hesabına ve/veya güvenilen SAML belirteç imzalama sertifikasına erişim sağlayan sisteminizdeki riskten elde edilen yönetim izinlerinin kanıtını bulursa, yönetim denetimini düzeltmek ve korumak için eylem gerçekleştirmenizi öneririz.

Microsoft Sentinel ile izleme

Microsoft Sentinel'in araştırmanıza yardımcı olacak birçok yerleşik kaynağı vardır. Örneğin, ortamınızın ilgili alanlarındaki saldırıları algılamaya yardımcı olabilecek avcılık çalışma kitapları ve analiz kuralları.

Ortamınızdaki diğer hizmetlerden içerik akışı sağlayan genişletilmiş güvenlik çözümleri ve veri bağlayıcıları yüklemek için Microsoft Sentinel'in içerik hub'ını kullanın. Daha fazla bilgi için bkz.

IoT için Microsoft Defender ile izleme

Ortamınızda operasyonel teknoloji (OT) kaynakları da varsa, özel protokoller kullanan ve güvenlik üzerindeki operasyonel zorlukların önceliğini belirten cihazlarınız olabilir.

Özellikle geleneksel güvenlik izleme sistemleri tarafından korunmayan cihazları izlemek ve bunların güvenliğini sağlamak için IoT için Microsoft Defender'ı dağıtın. Aracısız izleme ve dinamik tehdit bilgileri kullanarak devam eden ağ etkinliğindeki tehditleri algılamak için ortamınızda belirli ilgi çekici noktalara IoT için Defender ağ algılayıcılarını yükleyin.

Daha fazla bilgi için bkz . OT ağ güvenliği izlemeyi kullanmaya başlama.

Microsoft Defender XDR ile izleme

Saldırınızla ilgili belirli yönergeler için Uç Nokta ve Microsoft Defender Virüsten Koruma için Microsoft Defender XDR'yi denetlemenizi öneririz.

Microsoft Güvenlik Merkezi'nde Microsoft Defender XDR, Kimlik için Microsoft Defender XDR ve Bulut için Microsoft Defender Uygulamaları gibi diğer algılama, tehdit avcılığı sorguları ve tehdit analizi raporları örneklerini denetleyin. Kapsamı sağlamak için, tüm etki alanı denetleyicilerine ek olarak ADFS sunucularına Kimlik için Microsoft Defender aracısını yüklediğinizden emin olun.

Daha fazla bilgi için bkz.

Microsoft Entra Id ile izleme

Microsoft Entra oturum açma günlükleri, çok faktörlü kimlik doğrulamasının doğru kullanılıp kullanılmadığını gösterebilir. Oturum açma günlüklerine doğrudan Azure portalındaki Microsoft Entra alanından erişin , Get-MgBetaAuditLogSignIn cmdlet'ini kullanın veya bunları Microsoft Sentinel'in Günlükler alanında görüntüleyin.

Örneğin, MFA sonuçları alanında belirteçteki talep tarafından karşılanan bir MFA gereksinimi değeri olduğunda sonuçları arayın veya filtreleyin. Kuruluşunuz ADFS kullanıyorsa ve günlüğe kaydedilen talepler ADFS yapılandırmasına dahil değilse, bu talepler saldırgan etkinliğini gösterebilir.

Fazladan gürültüyü dışlamak için sonuçlarınızı daha fazla arayın veya filtreleyin. Örneğin, sonuçları yalnızca federasyon etki alanlarından eklemek isteyebilirsiniz. Şüpheli oturum açma işlemleri bulursanız IP adreslerine, kullanıcı hesaplarına vb. göre daha da detaya gidin.

Aşağıdaki tabloda araştırmanızda Microsoft Entra günlüklerini kullanmaya yönelik diğer yöntemler açıklanmaktadır:

Metot Açıklama
Riskli oturum açma olaylarını analiz etme Microsoft Entra Id ve Kimlik Koruması platformu, saldırgan tarafından oluşturulan SAML belirteçlerinin kullanımıyla ilişkili risk olayları oluşturabilir.

Bu olaylar, tanıdık olmayan özellikler, anonim IP adresi, imkansız seyahat vb. olarak etiketlenebilir.

Otomatik olarak kapatılmış veya düzeltilmiş olabilecekler de dahil olmak üzere, yönetici ayrıcalıklarına sahip hesaplarla ilişkili tüm risk olaylarını yakından analiz etmenizi öneririz. Örneğin, kullanıcı MFA'yı geçtiği için bir risk olayı veya anonim IP adresi otomatik olarak düzeltilebilir.

Tüm kimlik doğrulama olaylarının Microsoft Entra ID'de görünür olması için ADFS Connect Health kullandığınızdan emin olun.
Etki alanı kimlik doğrulama özelliklerini algılama Saldırganın etki alanı kimlik doğrulama ilkelerini işleme girişimi Microsoft Entra denetim günlüklerine kaydedilir ve Birleşik Denetim günlüğüne yansıtılır.

Örneğin, Listelenen tüm etkinliklerin beklendiğini ve planlandığını doğrulamak için Birleşik Denetim Günlüğü, Microsoft Entra denetim günlükleri ve / veya SIEM ortamınızda Etki alanı kimlik doğrulamasını ayarla ile ilişkili tüm olayları gözden geçirin.
OAuth uygulamaları için kimlik bilgilerini algılama Ayrıcalıklı bir hesabın denetimini ele geçiren saldırganlar, kuruluştaki herhangi bir kullanıcının e-postasına erişebilen bir uygulamayı arayabilir ve ardından bu uygulamaya saldırgan tarafından denetlenen kimlik bilgileri ekleyebilir.

Örneğin, saldırgan davranışıyla tutarlı olacak şekilde aşağıdaki etkinliklerden herhangi birini aramak isteyebilirsiniz:
- Hizmet sorumlusu kimlik bilgilerini ekleme veya güncelleştirme
- Uygulama sertifikalarını ve gizli dizilerini güncelleştirme
- Kullanıcıya uygulama rolü atama izni ekleme
- Oauth2PermissionGrant ekleme
Uygulamalara göre e-posta erişimini algılama Ortamınızdaki uygulamalara göre e-posta erişimi arayın. Örneğin, güvenliği aşılmış hesapları araştırmak için Microsoft Purview Denetim (Premium) özelliklerini kullanın.
Hizmet sorumlularında etkileşimli olmayan oturum açmaları algılama Microsoft Entra oturum açma raporları, hizmet sorumlusu kimlik bilgilerini kullanan etkileşimli olmayan oturum açma işlemleriyle ilgili ayrıntılar sağlar. Örneğin, e-posta uygulamalarına erişmek için saldırgan tarafından kullanılan bir IP adresi gibi araştırmanız için değerli verileri bulmak için oturum açma raporlarını kullanabilirsiniz.

Güvenlik duruşunu geliştirme

Sistemlerinizde bir güvenlik olayı oluştuysa, geçerli güvenlik stratejinizi ve önceliklerinizi yansıtmanızı öneririz.

Yeni tehditlerle karşı karşıya kaldığına göre Olay Yanıtlayıcılarından genellikle kuruluşun hangi yatırımlara öncelik vermesi gerektiği konusunda öneriler sağlaması istenir.

Bu makalede belgelenen önerilere ek olarak, bu saldırgan tarafından kullanılan kötüye kullanım sonrası tekniklere yanıt veren odak alanlarına ve bunları etkinleştiren ortak güvenlik duruş boşluklarına öncelik vermenizi öneririz.

Aşağıdaki bölümlerde hem genel hem de kimlik güvenliği duruşunu geliştirmeye yönelik öneriler listelenmektedir.

Genel güvenlik duruşunu geliştirme

Genel güvenlik duruşunuzu güvence altına almak için aşağıdaki eylemleri öneririz:

Kimlik güvenliği duruşunu geliştirme

Kimlikle ilgili güvenlik duruşunu sağlamak için aşağıdaki eylemleri öneririz:

  • Kimlik altyapınızın güvenliğini sağlamak için Microsoft'un Beş adımını gözden geçirin ve kimlik mimarinize uygun adımların önceliklerini belirleyin.

  • Kimlik doğrulama ilkeniz için Microsoft Entra Security Defaults'a geçiş yapmayı göz önünde bulundurun.

  • Sistemler veya uygulamalar hala gerekliyse kuruluşunuzun eski kimlik doğrulamasını kullanmasını ortadan kaldırın. Daha fazla bilgi için bkz . Koşullu Erişim ile Microsoft Entra Id'de eski kimlik doğrulamasını engelleme.

  • ADFS altyapınızı ve AD Connect altyapınızı Katman 0 varlığı olarak değerlendirin.

  • ADFS hizmetini çalıştırmak için kullanılan hesap da dahil olmak üzere sisteme yerel yönetim erişimini kısıtlayın.

    ADFS çalıştıran hesap için gereken en düşük ayrıcalık, Hizmet Olarak Oturum Açma Kullanıcı Hakkı Ataması'dır.

  • Uzak Masaüstü için Windows Güvenlik Duvarı ilkelerini kullanarak yönetim erişimini sınırlı kullanıcılarla ve sınırlı IP adresi aralıklarından kısıtlayın.

    Katman 0 atlama kutusu veya eşdeğer bir sistem ayarlamanızı öneririz.

  • Ortamdaki her yerden sistemlere gelen tüm SMB erişimini engelleyin. Daha fazla bilgi için bkz . Edge Ötesi: Windows'ta SMB Trafiğinin Güvenliğini Sağlama. Ayrıca geçmiş ve proaktif izleme için Windows Güvenlik Duvarı günlüklerini bir SIEM'e akışla aktarmanızı öneririz.

  • Hizmet Hesabı kullanıyorsanız ve bunu Çevre desteği, Hizmet Hesabından grup Tarafından Yönetilen Hizmet Hesabına (gMSA) geçin. gMSA'ya geçemiyorsanız, Hizmet Hesabı'nda parolayı karmaşık bir parolaya döndürün.

  • ADFS sistemlerinizde Ayrıntılı günlük kaydının etkinleştirildiğinden emin olun.

Yönetim denetimini düzeltme ve koruma

Araştırmanız, saldırganın kuruluşun bulutunda veya şirket içi ortamında yönetim denetimine sahip olduğunu belirlediyse, saldırganın kalıcı olmadığından emin olacak şekilde denetimi yeniden kazanmanız gerekir.

Bu bölümde, yönetim denetimi kurtarma planınızı oluştururken göz önünde bulundurmanız gereken olası yöntemler ve adımlar sağlanır.

Önemli

Kuruluşunuzda tam olarak gereken adımlar, araştırmanızda hangi kalıcılığı keşfettiğiniz ve araştırmanızın tamamlandığından ve tüm olası giriş ve kalıcılık yöntemlerini keşfettiğinizden ne kadar emin olduğunuza bağlıdır.

Gerçekleştirilen tüm eylemlerin temiz bir kaynaktan oluşturulmuş güvenilir bir cihazdan gerçekleştirildiğinden emin olun. Örneğin, yeni, ayrıcalıklı bir erişim iş istasyonu kullanın.

Aşağıdaki bölümler, yönetim denetimini düzeltmeye ve korumaya yönelik aşağıdaki öneri türlerini içerir:

  • Geçerli sunucularınızdaki güveni kaldırma
  • SAML belirteç imzalama sertifikanızı döndürme veya gerekirse ADFS sunucularınızı değiştirme
  • Bulut veya şirket içi ortamlar için belirli düzeltme etkinlikleri

Geçerli sunucularınızdaki güveni kaldırma

Kuruluşunuz belirteç imzalama sertifikalarının veya federasyon güveninin denetimini kaybettiyse, en güvenli yaklaşım güveni kaldırmak ve şirket içi ortamda düzeltme yaparken bulut tabanlı kimliğe geçmektir.

Güveni kaldırmak ve bulut tabanlı kimliğe geçmek için dikkatli bir planlama ve kimlik yalıtma işleminin iş operasyon etkilerinin ayrıntılı bir şekilde anlaşılması gerekir. Daha fazla bilgi için bkz . Microsoft 365'i şirket içi saldırılara karşı koruma.

SAML belirteç imzalama sertifikanızı döndürme

Kuruluşunuz şirket içi yönetim denetimini kurtarırken güveni kaldırmamaya karar verirse, şirket içi yönetim denetimini yeniden aldıktan ve saldırganların imzalama sertifikasına yeniden erişmesini engelledikten sonra SAML belirteç imzalama sertifikanızı döndürmeniz gerekir.

Belirteç imzalama sertifikasını tek bir kez döndürmek, önceki belirteç imzalama sertifikasının çalışmasına izin verir. Önceki sertifikaların çalışmasına izin vermek, kuruluşların sertifika süresi dolmadan önce bağlı olan taraf güvenlerini güncelleştirmesine izin veren normal sertifika döndürmeleri için yerleşik bir işlevdir.

Bir saldırı olursa, saldırganın erişimi hiç korumasını istemezsiniz. Saldırganın etki alanınız için belirteç oluşturma özelliğini korumadığından emin olun.

Daha fazla bilgi için bkz.

ADFS sunucularınızı değiştirme

SAML belirteç imzalama sertifikanızı döndürmek yerine ADFS sunucularını temiz sistemlerle değiştirmeyi seçerseniz, mevcut ADFS'yi ortamınızdan kaldırmanız ve ardından yeni bir tane oluşturmanız gerekir.

Daha fazla bilgi için bkz . Yapılandırmayı kaldırma.

Bulut düzeltme etkinlikleri

Bu makalenin önceki bölümlerinde listelenen önerilere ek olarak, bulut ortamlarınız için aşağıdaki etkinlikleri de öneririz:

Aktivite Açıklama
Parolaları sıfırlama Tüm break-glass hesaplarında parolaları sıfırlayın ve kıran hesapların sayısını gereken mutlak minimuma düşürün.
Ayrıcalıklı erişim hesaplarını kısıtlama Ayrıcalıklı erişime sahip hizmet ve kullanıcı hesaplarının yalnızca bulut hesapları olduğundan ve Microsoft Entra Id ile eşitlenen veya birleştirilmiş şirket içi hesapları kullanmadığından emin olun.
MFA'yı zorunlu kılma Kiracıdaki tüm yükseltilmiş kullanıcılarda Multi-Factor Authentication'ı (MFA) zorunlu kılma. Kiracıdaki tüm kullanıcılarda MFA'nın zorunlu tutmasını öneririz.
Yönetim erişimini sınırlama Yönetici erişimini sınırlamak için Privileged Identity Management (PIM) ve koşullu erişim uygulayın.

Microsoft 365 kullanıcıları için, eBulma, Genel Yönetici, Hesap Yönetimi ve daha fazlası gibi hassas yeteneklere erişimi sınırlamak için Privileged Access Management (PAM) uygulayın.
Temsilci izinleri ve onay vermelerini gözden geçirme/azaltma Aşağıdaki işlevlerden herhangi birine izin veren tüm Kurumsal Uygulamalara temsilci izinlerini veya onay vermelerini gözden geçirin ve azaltın:

- Ayrıcalıklı kullanıcıların ve rollerin değiştirilmesi
- Okuma, e-posta gönderme veya tüm posta kutularına erişme
- OneDrive, Teams veya SharePoint içeriğine erişme
- Dizine okuyabilen/yazabilen Hizmet Sorumluları ekleme
- Uygulama İzinleri ile TemsilciLi Erişim Karşılaştırması

Şirket içi düzeltme etkinlikleri

Bu makalenin önceki bölümlerinde listelenen önerilere ek olarak, şirket içi ortamlarınız için aşağıdaki etkinlikleri de öneririz:

Aktivite Açıklama
Etkilenen sistemleri yeniden oluşturma Araştırmanız sırasında saldırgan tarafından ele geçirildiği belirlenen sistemleri yeniden derleyin.
Gereksiz yönetici kullanıcılarını kaldırma Domain Admins, Backup Operators ve Enterprise Admin gruplarından gereksiz üyeleri kaldırın. Daha fazla bilgi için bkz. Ayrıcalıklı Erişimin Güvenliğini Sağlama.
Parolaları ayrıcalıklı hesaplara sıfırlama Ortamdaki tüm ayrıcalıklı hesapların parolalarını sıfırlayın.

Not: Ayrıcalıklı hesaplar yerleşik gruplarla sınırlı değildir, aynı zamanda sunucu yönetimine, iş istasyonu yönetimine veya ortamınızın diğer alanlarına temsilci erişimi olan gruplar da olabilir.
krbtgt hesabını sıfırlama New-KrbtgtKeys betiğini kullanarak krbtgt hesabını iki kez sıfırlayın.

Not: Salt Okunur Etki Alanı Denetleyicileri kullanıyorsanız, betiği Salt Okunur Etki Alanı Denetleyicileri ve Salt Okunur Etki Alanı Denetleyicileri için ayrı olarak çalıştırmanız gerekir.
Sistemin yeniden başlatılmasını zamanlama Saldırgan tarafından oluşturulan hiçbir kalıcılık mekanizmasının mevcut olmadığını veya sisteminizde kaldığını doğruladıktan sonra, bellekte yerleşik kötü amaçlı yazılımların kaldırılmasına yardımcı olmak için bir sistem yeniden başlatma zamanlayın.
DSRM parolasını sıfırlama Her etki alanı denetleyicisinin DSRM (Dizin Hizmetleri Geri Yükleme Modu) parolasını benzersiz ve karmaşık bir değere sıfırlayın.

Araştırma sırasında bulunan kalıcılığı düzeltme veya engelleme

Araştırma yinelemeli bir süreçtir ve anomalileri tanımladıkça ve düzeltmenin saldırganı algılamanız konusunda uyarıp tepki vermesi için zaman tanıyacak şekilde kurumsal düzeltme isteğini dengelemeniz gerekir.

Örneğin, algılamayı fark eden bir saldırgan teknikleri değiştirebilir veya daha fazla kalıcılık oluşturabilir.

Araştırmanın önceki aşamalarında tanımladığınız kalıcılık tekniklerini düzeltdiğinizden emin olun.

Kullanıcı ve hizmet hesabı erişimini düzeltme

Yukarıda listelenen önerilen eylemlere ek olarak, kullanıcı hesaplarını düzeltmek ve geri yüklemek için aşağıdaki adımları göz önünde bulundurmanızı öneririz:

  • Güvenilen cihazlara göre koşullu erişimi zorunlu kılma. Mümkünse, kuruluş gereksinimlerinize uyacak şekilde konum tabanlı koşullu erişimi zorunlu kılmanızı öneririz.

  • Gizliliği ihlal edilmiş olabilecek tüm kullanıcı hesapları için çıkarmadan sonra parolaları sıfırlayın. Ayrıca dizininizdeki tüm hesapların kimlik bilgilerini sıfırlamak için bir orta vadeli plan uyguladığınızdan emin olun.

  • Kimlik bilgilerinizi döndürdikten hemen sonra yenileme belirteçlerini iptal edin.

    Daha fazla bilgi için bkz.

Sonraki adımlar

  • Üst gezinti çubuğundaki Yardım (?) düğmesini seçerek Microsoft Defender Portalı, Microsoft Purview uyumluluk portalı ve Office 365 Güvenlik ve Uyumluluk Merkezi gibi Microsoft ürünlerinin içinden yardım alın.

  • Dağıtım yardımı için FastTrack adresinden bizimle iletişime geçin

  • Ürün desteğiyle ilgili gereksinimleriniz varsa bir Microsoft destek olayı oluşturun.

    Önemli

    Gizliliğinizi ihlal ettiğinizi düşünüyorsanız ve bir olay yanıtı aracılığıyla yardım gerekiyorsa, Bir Sev A Microsoft destek olayı açın.