Sistemik kimlik güvenliğinin aşılmasından kurtarma
Bu makalede, kuruluşunuza yönelik sistemsel kimlik güvenliğini aşma saldırısından kurtulmaya yönelik Microsoft kaynakları ve önerileri açıklanmaktadır.
Bu makaledeki içerik, risklere yanıt vermek ve müşterilerin siber dayanıklı olmasına yardımcı olmak için çalışan Microsoft Algılama ve Yanıt Ekibi (DART) tarafından sağlanan rehberliğe dayanır. DART ekibinin daha fazla kılavuzu için microsoft güvenlik blogu serisine bakın.
Birçok kuruluş, kimlik ve erişim yönetimi konusunda daha güçlü güvenlik sağlamak için bulut tabanlı bir yaklaşıma geçiş yaptı. Ancak, kuruluşunuzun şirket içi sistemleri de olabilir ve farklı karma mimari yöntemleri kullanabilir. Bu makalede, sistemik kimlik saldırılarının bulut, şirket içi ve hibrit sistemleri etkilediği kabul edilir ve bu ortamların tümü için öneriler ve başvurular sağlanır.
Önemli
Bu bilgiler olduğu gibi sağlanır ve genelleştirilmiş rehberlik oluşturur; bu kılavuzu BT ortamınıza ve kiracılarınıza nasıl uygulayacağınız konusunda nihai kararlılık, her Müşterinin belirlemek için en iyi konumda olduğu benzersiz ortamınızı ve ihtiyaçlarınızı dikkate almalıdır.
Sistemik kimlik güvenliğinin aşılmasına ilişkin
Bir saldırgan, bir kuruluşun kimlik altyapısının yönetimine başarıyla ayak bastığında, bir kuruluşa sistemik kimlik güvenliğini tehlikeye atabilir.
Bu durum kuruluşunuza olduysa, daha fazla zarar vermeden önce ortamınızın güvenliğini sağlamak için saldırgana karşı bir yarış içindesinizdir.
Bir ortamın kimlik altyapısının yönetim denetimine sahip saldırganlar, bu denetimi kullanarak bu ortamda kimlik ve kimlik izinleri oluşturabilir, değiştirebilir veya silebilir.
Şirket içi bir risk altında, güvenilen SAML belirteç imzalama sertifikaları bir HSM'de depolanmıyorsa, saldırı bu güvenilen SAML belirteç imzalama sertifikasına erişimi içerir.
Saldırganlar daha sonra, hesap kimlik bilgilerine erişim gerektirmeden ve hiçbir iz bırakmadan kuruluşun mevcut kullanıcı ve hesaplarının kimliğine bürünmek üzere SAML belirteçlerini taklit etmek için sertifikayı kullanabilir.
Yüksek ayrıcalıklı hesap erişimi , mevcut uygulamalara saldırgan denetimindeki kimlik bilgileri eklemek için de kullanılabilir ve saldırganların bu izinleri kullanarak API'leri çağırmak gibi algılanmamış şekilde sisteminize erişmesini sağlar.
Saldırıya yanıt verme
Sistemik kimlik risklerine yanıt vermek için aşağıdaki görüntüde ve tabloda gösterilen adımların yer alması gerekir:
| Adımlar | Açıklama |
|---|---|
| Güvenli iletişim kurma | Sistemsel kimlik güvenliğinin aşılmasına neden olan bir kuruluş, tüm iletişimin etkilendiğini varsaymalıdır. Herhangi bir kurtarma eylemi gerçekleştirmeden önce, araştırma ve yanıt çalışmanızda önemli olan ekibinizin üyelerinin güvenli bir şekilde iletişim kuradığından emin olmanız gerekir. Saldırganın bilgisi olmadan devam edebilmeniz için iletişimlerin güvenliğini sağlamak ilk adımınız olmalıdır. |
| Ortamınızı araştırma | Temel araştırma ekibinizde iletişimin güvenliğini sağladıktan sonra ilk erişim noktalarını ve kalıcılık tekniklerini aramaya başlayabilirsiniz. Tehlikeye ilişkin göstergelerinizi belirleyin ve ardından ilk erişim noktalarını ve kalıcılığı arayın. Aynı zamanda, kurtarma çalışmalarınız sırasında sürekli izleme işlemleri oluşturmaya başlayın. |
| Güvenlik duruşunu geliştirme | İleriye doğru geliştirilmiş sistem güvenliğine yönelik en iyi yöntem önerilerini izleyerek güvenlik özelliklerini ve özelliklerini etkinleştirin. Zaman geçtikçe ve güvenlik ortamı değiştikçe sürekli izleme çalışmalarınıza devam edin. |
| Denetimi yeniden kazanma / koruma | Ortamınızın yönetim denetimini saldırgandan yeniden elde etmeniz gerekir. Denetimi yeniden yaptıktan ve sisteminizin güvenlik duruşu yenilendikten sonra, tüm olası kalıcılık tekniklerini ve yeni ilk erişim açıklarını düzeltdiğinizden veya engellediğinizden emin olun. |
Güvenli iletişim kurma
Yanıt vermeye başlamadan önce, saldırgan gizlice dinlemeden güvenli bir şekilde iletişim kurabildiğinize emin olmalısınız. Saldırganın araştırmanıza aktarılmaması ve yanıt eylemlerinize şaşırarak müdahale edilmemesi için olayla ilgili tüm iletişimleri yalıttığınızdan emin olun.
Örneğin:
İlk bire bir ve grup iletişimleri için PSTN çağrılarını, kurumsal altyapıya bağlı olmayan konferans köprülerini ve uçtan uca şifrelenmiş mesajlaşma çözümlerini kullanmak isteyebilirsiniz.
Bu çerçeveler dışındaki iletişimler, güvenli bir kanal aracılığıyla doğrulanmadığı sürece güvenliği aşılmış ve güvenilmeyen olarak ele alınmalıdır.
Bu ilk konuşmalardan sonra, kuruluşun üretim kiracısından yalıtılmış tamamen yeni bir Microsoft 365 kiracısı oluşturmak isteyebilirsiniz. Yalnızca yanıtın parçası olması gereken önemli personel için hesaplar oluşturun.
Yeni bir Microsoft 365 kiracısı oluşturursanız, kiracı için ve özellikle yönetim hesapları ve hakları için en iyi yöntemlerin tümünü izlediğinizden emin olun. Dış uygulamalar veya satıcılar için güven olmadan yönetim haklarını sınırlayın.
Önemli
Mevcut ve güvenliği tehlikeye girmiş olabilecek e-posta hesaplarınızda yeni kiracınız hakkında iletişim kurmadığınızdan emin olun.
Daha fazla bilgi için bkz . Microsoft 365'i güvenli bir şekilde kullanmaya yönelik en iyi yöntemler.
Güvenliğin aşılmasına dair göstergeler belirleme
Müşterilerin hem Microsoft hem de iş ortakları dahil olmak üzere sistem sağlayıcılarından gelen güncelleştirmeleri takip etmelerini ve sağlanan yeni algılamaları ve korumaları uygulamalarını ve yayımlanan risk olaylarını (ICS) belirlemelerini öneririz.
Aşağıdaki Microsoft güvenlik ürünlerinde güncelleştirmeleri denetleyin ve önerilen değişiklikleri uygulayın:
- Microsoft Sentinel
- Microsoft 365 güvenlik çözümleri ve hizmetleri
- Windows 10 Enterprise Security
- Bulut için Microsoft Defender Uygulamaları
- IoT için Microsoft Defender
Yeni güncelleştirmelerin uygulanması, önceki kampanyaları belirlemenize ve sisteminize karşı gelecek kampanyaları önlemeye yardımcı olur. GÇ listelerinin kapsamlı olmayabileceğini ve araştırma devam ettikçe genişletilebileceğini unutmayın.
Bu nedenle aşağıdaki eylemleri gerçekleştirmenizi öneririz:
Microsoft bulut güvenliği karşılaştırmasını uyguladığınıza ve uyumluluğu Bulut için Microsoft Defender aracılığıyla izlediğinize emin olun.
Microsoft Sentinel'de Microsoft Purview Data Bağlan or'larını yapılandırma gibi tehdit bilgileri akışlarını SIEM'inize dahil edin.
IoT için Microsoft Defender gibi tüm genişletilmiş algılama ve yanıt araçlarının en son tehdit bilgileri verilerini kullandığından emin olun.
Daha fazla bilgi için Microsoft'un güvenlik belgelerine bakın:
Ortamınızı araştırma
Olay yanıtlayıcılarınız ve önemli personeliniz işbirliği için güvenli bir yere sahip olduktan sonra, güvenliği aşılmış ortamı araştırmaya başlayabilirsiniz.
Saldırgan tarafından gerçekleştirilen diğer etkinlikleri durdurmak için her anormal davranışın en altına inmeyi ve hızlı işlem yapmayı dengelemeniz gerekir. Herhangi bir başarılı düzeltme, saldırganın kullandığı ilk giriş ve kalıcılık yöntemlerinin, mümkün olduğunca eksiksiz bir şekilde anlaşılmasını gerektirir. Araştırma sırasında kaçırılan tüm kalıcılık yöntemleri saldırgan tarafından erişimin devam etmesi ve olası bir yeniden sağlama ile sonuçlanabilir.
Bu noktada, eylemlerinize öncelik vermek için bir risk analizi gerçekleştirmek isteyebilirsiniz. Daha fazla bilgi için bkz.
- Veri merkezi tehdidi, güvenlik açığı ve risk değerlendirmesi
- Tehdit analizi ile yeni ortaya çıkan tehditleri izleme ve yanıtlama
- Tehdit ve güvenlik açığı yönetimi
Microsoft'un güvenlik hizmetleri ayrıntılı araştırmalara yönelik kapsamlı kaynaklar sağlar. Aşağıdaki bölümlerde en çok önerilen eylemler açıklanmaktadır.
Not
Listelenen günlük kaynaklarından birinin veya daha fazlasının şu anda güvenlik programınızın bir parçası olmadığını fark ederseniz, algılamaları ve gelecekteki günlük gözden geçirmelerini etkinleştirmek için bunları en kısa sürede yapılandırmanızı öneririz.
Günlük saklamanızı kuruluşunuzun ileriye dönük araştırma hedeflerini destekleyecek şekilde yapılandırdığından emin olun. Yasal, mevzuat veya sigorta amaçları için gerektiği gibi kanıt tutun.
Bulut ortamı günlüklerini araştırma ve gözden geçirme
Şüpheli eylemler ve saldırganların güvenlik ihlallerine ilişkin göstergeler için bulut ortamı günlüklerini araştırın ve gözden geçirin. Örneğin, aşağıdaki günlükleri denetleyin:
- Birleşik Denetim Günlükleri (UAL)
- Microsoft Entra günlükleri
- Microsoft Exchange şirket içi günlükleri
- VPN ağ geçidi gibi VPN günlükleri
- Mühendislik sistemi günlükleri
- Virüsten koruma ve uç nokta algılama günlükleri
Uç nokta denetim günlüklerini gözden geçirme
Aşağıdaki eylem türleri gibi şirket içi değişiklikler için uç nokta denetim günlüklerinizi gözden geçirin:
- Grup üyeliği değişiklikleri
- Yeni kullanıcı hesabı oluşturma
- Active Directory'de temsilci seçmeler
Özellikle diğer tipik risk veya etkinlik belirtileriyle birlikte gerçekleşen bu değişikliklerden herhangi birini göz önünde bulundurun.
Ortamlarınızdaki yönetim haklarını gözden geçirme
Hem bulut hem de şirket içi ortamlarınızda yönetim haklarını gözden geçirin. Örneğin:
| Environment | Veri Akışı Açıklaması |
|---|---|
| Tüm bulut ortamları | - Buluttaki tüm ayrıcalıklı erişim haklarını gözden geçirin ve gereksiz izinleri kaldırın - Privileged Identity Management (PIM) Uygulama - Sağlamlaştırma sırasında yönetim erişimini sınırlamak için Koşullu Erişim ilkeleri ayarlama |
| Tüm şirket içi ortamlar | - Şirket içi ayrıcalıklı erişimi gözden geçirin ve gereksiz izinleri kaldırın - Yerleşik grupların üyeliğini azaltma - Active Directory temsilcilerini doğrulama - Katman 0 ortamınızı sağlamlaştırma ve Katman 0 varlıklarına erişimi olan kişileri sınırlama |
| Tüm Kurumsal uygulamalar | Aşağıdaki eylemlerden herhangi birine izin veren temsilci izinleri ve onay izinleri için gözden geçirin: - Ayrıcalıklı kullanıcıları ve rolleri değiştirme - Tüm posta kutularını okuma veya bunlara erişme - Diğer kullanıcılar adına e-posta gönderme veya iletme - Tüm OneDrive veya SharePoint site içeriğine erişme - Dizine okuyabilen/yazabilen hizmet sorumluları ekleme |
| Microsoft 365 ortamları | Aşağıdakiler dahil olmak üzere Microsoft 365 ortamınıza yönelik erişim ve yapılandırma ayarlarını gözden geçirin: - SharePoint Online Paylaşımı - Microsoft Teams - Power Apps - Microsoft OneDrive İş |
| Ortamlarınızdaki kullanıcı hesaplarını gözden geçirme | - Artık gerekli olmayan konuk kullanıcı hesaplarını gözden geçirin ve kaldırın. - Temsilciler, posta kutusu klasör izinleri, ActiveSync mobil cihaz kayıtları, Gelen Kutusu kuralları ve Web üzerinde Outlook seçenekleri için e-posta yapılandırmalarını gözden geçirin. - ApplicationImpersonation haklarını gözden geçirin ve eski kimlik doğrulamasının kullanımını mümkün olduğunca azaltın. - MFA'nın zorunlu kılındığını ve tüm kullanıcılar için hem MFA hem de self servis parola sıfırlama (SSPR) iletişim bilgilerinin doğru olduğunu doğrulayın. |
Sürekli izleme oluşturma
Saldırgan davranışını algılamak çeşitli yöntemler içerir ve kuruluşunuzun saldırıyı yanıtlamak için kullanabileceği güvenlik araçlarına bağlıdır.
Örneğin, Microsoft güvenlik hizmetleri, aşağıdaki bölümlerde açıklandığı gibi saldırıyla ilgili belirli kaynaklara ve yönergelere sahip olabilir.
Önemli
Araştırmanız, kuruluşunuzun genel yönetici hesabına ve/veya güvenilen SAML belirteç imzalama sertifikasına erişim sağlayan sisteminizdeki riskten elde edilen yönetim izinlerinin kanıtını bulursa, yönetim denetimini düzeltmek ve korumak için eylem gerçekleştirmenizi öneririz.
Microsoft Sentinel ile izleme
Microsoft Sentinel'in araştırmanıza yardımcı olacak birçok yerleşik kaynağı vardır. Örneğin, ortamınızın ilgili alanlarındaki saldırıları algılamaya yardımcı olabilecek avcılık çalışma kitapları ve analiz kuralları.
Ortamınızdaki diğer hizmetlerden içerik akışı sağlayan genişletilmiş güvenlik çözümleri ve veri bağlayıcıları yüklemek için Microsoft Sentinel'in içerik hub'ını kullanın. Daha fazla bilgi için bkz.
- Ortamınızı görselleştirme ve analiz etme
- Kullanıma açık tehditleri algılama
- Kullanıma yönelik çözümleri bulma ve dağıtma
IoT için Microsoft Defender ile izleme
Ortamınızda operasyonel teknoloji (OT) kaynakları da varsa, özel protokoller kullanan ve güvenlik üzerindeki operasyonel zorlukların önceliğini belirten cihazlarınız olabilir.
Özellikle geleneksel güvenlik izleme sistemleri tarafından korunmayan cihazları izlemek ve bunların güvenliğini sağlamak için IoT için Microsoft Defender'ı dağıtın. Aracısız izleme ve dinamik tehdit bilgileri kullanarak devam eden ağ etkinliğindeki tehditleri algılamak için ortamınızda belirli ilgi çekici noktalara IoT için Defender ağ algılayıcılarını yükleyin.
Daha fazla bilgi için bkz . OT ağ güvenliği izlemeyi kullanmaya başlama.
Microsoft Defender XDR ile izleme
Saldırınızla ilgili belirli yönergeler için Uç Nokta ve Microsoft Defender Virüsten Koruma için Microsoft Defender XDR'yi denetlemenizi öneririz.
Microsoft Güvenlik Merkezi'nde Microsoft Defender XDR, Kimlik için Microsoft Defender XDR ve Bulut için Microsoft Defender Uygulamaları gibi diğer algılama, tehdit avcılığı sorguları ve tehdit analizi raporları örneklerini denetleyin. Kapsamı sağlamak için, tüm etki alanı denetleyicilerine ek olarak ADFS sunucularına Kimlik için Microsoft Defender aracısını yüklediğinizden emin olun.
Daha fazla bilgi için bkz.
- Tehdit analizi ile yeni ortaya çıkan tehditleri izleme ve yanıtlama
- Tehdit analizinde analist raporunu anlama
Microsoft Entra Id ile izleme
Microsoft Entra oturum açma günlükleri, çok faktörlü kimlik doğrulamasının doğru kullanılıp kullanılmadığını gösterebilir. Oturum açma günlüklerine doğrudan Azure portalındaki Microsoft Entra alanından erişin , Get-MgBetaAuditLogSignIn cmdlet'ini kullanın veya bunları Microsoft Sentinel'in Günlükler alanında görüntüleyin.
Örneğin, MFA sonuçları alanında belirteçteki talep tarafından karşılanan bir MFA gereksinimi değeri olduğunda sonuçları arayın veya filtreleyin. Kuruluşunuz ADFS kullanıyorsa ve günlüğe kaydedilen talepler ADFS yapılandırmasına dahil değilse, bu talepler saldırgan etkinliğini gösterebilir.
Fazladan gürültüyü dışlamak için sonuçlarınızı daha fazla arayın veya filtreleyin. Örneğin, sonuçları yalnızca federasyon etki alanlarından eklemek isteyebilirsiniz. Şüpheli oturum açma işlemleri bulursanız IP adreslerine, kullanıcı hesaplarına vb. göre daha da detaya gidin.
Aşağıdaki tabloda araştırmanızda Microsoft Entra günlüklerini kullanmaya yönelik diğer yöntemler açıklanmaktadır:
| Metot | Açıklama |
|---|---|
| Riskli oturum açma olaylarını analiz etme | Microsoft Entra Id ve Kimlik Koruması platformu, saldırgan tarafından oluşturulan SAML belirteçlerinin kullanımıyla ilişkili risk olayları oluşturabilir. Bu olaylar, tanıdık olmayan özellikler, anonim IP adresi, imkansız seyahat vb. olarak etiketlenebilir. Otomatik olarak kapatılmış veya düzeltilmiş olabilecekler de dahil olmak üzere, yönetici ayrıcalıklarına sahip hesaplarla ilişkili tüm risk olaylarını yakından analiz etmenizi öneririz. Örneğin, kullanıcı MFA'yı geçtiği için bir risk olayı veya anonim IP adresi otomatik olarak düzeltilebilir. Tüm kimlik doğrulama olaylarının Microsoft Entra Id'de görünür olması için ADFS Bağlan Health kullandığınızdan emin olun. |
| Etki alanı kimlik doğrulama özelliklerini algılama | Saldırganın etki alanı kimlik doğrulama ilkelerini işleme girişimi Microsoft Entra denetim günlüklerine kaydedilir ve Birleşik Denetim günlüğüne yansıtılır. Örneğin, Listelenen tüm etkinliklerin beklendiğini ve planlandığını doğrulamak için Birleşik Denetim Günlüğü, Microsoft Entra denetim günlükleri ve / veya SIEM ortamınızda Etki alanı kimlik doğrulamasını ayarla ile ilişkili tüm olayları gözden geçirin. |
| OAuth uygulamaları için kimlik bilgilerini algılama | Ayrıcalıklı bir hesabın denetimini ele geçiren saldırganlar, kuruluştaki herhangi bir kullanıcının e-postasına erişebilen bir uygulamayı arayabilir ve ardından bu uygulamaya saldırgan tarafından denetlenen kimlik bilgileri ekleyebilir. Örneğin, saldırgan davranışıyla tutarlı olacak şekilde aşağıdaki etkinliklerden herhangi birini aramak isteyebilirsiniz: - Hizmet sorumlusu kimlik bilgilerini ekleme veya güncelleştirme - Uygulama sertifikalarını ve gizli dizilerini güncelleştirme - Kullanıcıya uygulama rolü atama izni ekleme - Oauth2PermissionGrant ekleme |
| Uygulamalara göre e-posta erişimini algılama | Ortamınızdaki uygulamalara göre e-posta erişimi arayın. Örneğin, güvenliği aşılmış hesapları araştırmak için Microsoft Purview Denetim (Premium) özelliklerini kullanın. |
| Hizmet sorumlularında etkileşimli olmayan oturum açmaları algılama | Microsoft Entra oturum açma raporları, hizmet sorumlusu kimlik bilgilerini kullanan etkileşimli olmayan oturum açma işlemleriyle ilgili ayrıntılar sağlar. Örneğin, e-posta uygulamalarına erişmek için saldırgan tarafından kullanılan bir IP adresi gibi araştırmanız için değerli verileri bulmak için oturum açma raporlarını kullanabilirsiniz. |
Güvenlik duruşunu geliştirme
Sistemlerinizde bir güvenlik olayı oluştuysa, geçerli güvenlik stratejinizi ve önceliklerinizi yansıtmanızı öneririz.
Yeni tehditlerle karşı karşıya kaldığına göre Olay Yanıtlayıcılarından genellikle kuruluşun hangi yatırımlara öncelik vermesi gerektiği konusunda öneriler sağlaması istenir.
Bu makalede belgelenen önerilere ek olarak, bu saldırgan tarafından kullanılan kötüye kullanım sonrası tekniklere yanıt veren odak alanlarına ve bunları etkinleştiren ortak güvenlik duruş boşluklarına öncelik vermenizi öneririz.
Aşağıdaki bölümlerde hem genel hem de kimlik güvenliği duruşunu geliştirmeye yönelik öneriler listelenmektedir.
Genel güvenlik duruşunu geliştirme
Genel güvenlik duruşunuzu güvence altına almak için aşağıdaki eylemleri öneririz:
Kullandığınız Microsoft ürünleri ve hizmetleri için özelleştirilmiş güvenlik temelleri önerileri için Microsoft Güvenli Puanı'nı gözden geçirin.
Kuruluşunuzun, Uç Nokta için Microsoft Defender XDR, Microsoft Sentinel ve IoT için Microsoft Defender gibi genişletilmiş algılama ve yanıt (XDR) ve güvenlik bilgileri ile olay yönetimi (SIEM) çözümlerine sahip olduğundan emin olun.
Kimlik güvenliği duruşunu geliştirme
Kimlikle ilgili güvenlik duruşunu sağlamak için aşağıdaki eylemleri öneririz:
Kimlik altyapınızın güvenliğini sağlamak için Microsoft'un Beş adımını gözden geçirin ve kimlik mimarinize uygun adımların önceliklerini belirleyin.
Kimlik doğrulama ilkeniz için Microsoft Entra Security Defaults'a geçiş yapmayı göz önünde bulundurun.
Sistemler veya uygulamalar hala gerekliyse kuruluşunuzun eski kimlik doğrulamasını kullanmasını ortadan kaldırın. Daha fazla bilgi için bkz . Koşullu Erişim ile Microsoft Entra Id'de eski kimlik doğrulamasını engelleme.
ADFS altyapınızı ve AD Bağlan altyapınızı Katman 0 varlığı olarak değerlendirin.
ADFS hizmetini çalıştırmak için kullanılan hesap da dahil olmak üzere sisteme yerel yönetim erişimini kısıtlayın.
ADFS çalıştıran hesap için gereken en düşük ayrıcalık, Hizmet Olarak Oturum Açma Kullanıcı Hakkı Ataması'dır.
Uzak Masaüstü için Windows Güvenlik Duvarı ilkelerini kullanarak yönetim erişimini sınırlı kullanıcılarla ve sınırlı IP adresi aralıklarından kısıtlayın.
Katman 0 atlama kutusu veya eşdeğer bir sistem ayarlamanızı öneririz.
Ortamdaki her yerden sistemlere gelen tüm SMB erişimini engelleyin. Daha fazla bilgi için bkz . Edge Ötesi: Windows'ta SMB Trafiğinin Güvenliğini Sağlama. Ayrıca geçmiş ve proaktif izleme için Windows Güvenlik Duvarı günlüklerini bir SIEM'e akışla aktarmanızı öneririz.
Hizmet Hesabı kullanıyorsanız ve bunu Çevre desteği, Hizmet Hesabından grup Tarafından Yönetilen Hizmet Hesabına (gMSA) geçin. gMSA'ya geçemiyorsanız, Hizmet Hesabı'nda parolayı karmaşık bir parolaya döndürün.
ADFS sistemlerinizde Ayrıntılı günlük kaydının etkinleştirildiğinden emin olun.
Yönetim denetimini düzeltme ve koruma
Araştırmanız, saldırganın kuruluşun bulutunda veya şirket içi ortamında yönetim denetimine sahip olduğunu belirlediyse, saldırganın kalıcı olmadığından emin olacak şekilde denetimi yeniden kazanmanız gerekir.
Bu bölümde, yönetim denetimi kurtarma planınızı oluştururken göz önünde bulundurmanız gereken olası yöntemler ve adımlar sağlanır.
Önemli
Kuruluşunuzda tam olarak gereken adımlar, araştırmanızda hangi kalıcılığı keşfettiğiniz ve araştırmanızın tamamlandığından ve tüm olası giriş ve kalıcılık yöntemlerini keşfettiğinizden ne kadar emin olduğunuza bağlıdır.
Gerçekleştirilen tüm eylemlerin temiz bir kaynaktan oluşturulmuş güvenilir bir cihazdan gerçekleştirildiğinden emin olun. Örneğin, yeni, ayrıcalıklı bir erişim iş istasyonu kullanın.
Aşağıdaki bölümler, yönetim denetimini düzeltmeye ve korumaya yönelik aşağıdaki öneri türlerini içerir:
- Geçerli sunucularınızdaki güveni kaldırma
- SAML belirteç imzalama sertifikanızı döndürme veya gerekirse ADFS sunucularınızı değiştirme
- Bulut veya şirket içi ortamlar için belirli düzeltme etkinlikleri
Geçerli sunucularınızdaki güveni kaldırma
Kuruluşunuz belirteç imzalama sertifikalarının veya federasyon güveninin denetimini kaybettiyse, en güvenli yaklaşım güveni kaldırmak ve şirket içi ortamda düzeltme yaparken bulut tabanlı kimliğe geçmektir.
Güveni kaldırmak ve bulut tabanlı kimliğe geçmek için dikkatli bir planlama ve kimlik yalıtma işleminin iş operasyon etkilerinin ayrıntılı bir şekilde anlaşılması gerekir. Daha fazla bilgi için bkz . Microsoft 365'i şirket içi saldırılara karşı koruma.
SAML belirteç imzalama sertifikanızı döndürme
Kuruluşunuz şirket içi yönetim denetimini kurtarırken güveni kaldırmamayakarar verirse, şirket içi yönetim denetimini yeniden aldıktan ve saldırganların imzalama sertifikasına yeniden erişmesini engelledikten sonra SAML belirteç imzalama sertifikanızı döndürmeniz gerekir.
Belirteç imzalama sertifikasını tek bir kez döndürmek, önceki belirteç imzalama sertifikasının çalışmasına izin verir. Önceki sertifikaların çalışmasına izin vermek, kuruluşların sertifika süresi dolmadan önce bağlı olan taraf güvenlerini güncelleştirmesine izin veren normal sertifika döndürmeleri için yerleşik bir işlevdir.
Bir saldırı olursa, saldırganın erişimi hiç korumasını istemezsiniz. Saldırganın etki alanınız için belirteç oluşturma özelliğini korumadığından emin olun.
Daha fazla bilgi için bkz.
ADFS sunucularınızı değiştirme
SAML belirteç imzalama sertifikanızı döndürmek yerine ADFS sunucularını temiz sistemlerle değiştirmeyi seçerseniz, mevcut ADFS'yi ortamınızdan kaldırmanız ve ardından yeni bir tane oluşturmanız gerekir.
Daha fazla bilgi için bkz . Yapılandırmayı kaldırma.
Bulut düzeltme etkinlikleri
Bu makalenin önceki bölümlerinde listelenen önerilere ek olarak, bulut ortamlarınız için aşağıdaki etkinlikleri de öneririz:
| Aktivite | Açıklama |
|---|---|
| Parolaları sıfırlama | Tüm break-glass hesaplarında parolaları sıfırlayın ve kıran hesapların sayısını gereken mutlak minimuma düşürün. |
| Ayrıcalıklı erişim hesaplarını kısıtlama | Ayrıcalıklı erişime sahip hizmet ve kullanıcı hesaplarının yalnızca bulut hesapları olduğundan ve Microsoft Entra Id ile eşitlenen veya birleştirilmiş şirket içi hesapları kullanmadığından emin olun. |
| MFA'yı zorunlu kılma | Kiracıdaki tüm yükseltilmiş kullanıcılarda Multi-Factor Authentication'ı (MFA) zorunlu kılma. Kiracıdaki tüm kullanıcılarda MFA'nın zorunlu tutmasını öneririz. |
| Yönetim erişimini sınırlama | Yönetici erişimini sınırlamak için Privileged Identity Management (PIM) ve koşullu erişim uygulayın. Microsoft 365 kullanıcıları için, eBulma, Genel Yönetici, Hesap Yönetici istrasyon ve daha fazlası gibi hassas yeteneklere erişimi sınırlamak için Privileged Access Management (PAM) uygulayın. |
| Temsilci izinleri ve onay vermelerini gözden geçirme/azaltma | Aşağıdaki işlevlerden herhangi birine izin veren tüm Kurumsal Uygulamalara temsilci izinlerini veya onay vermelerini gözden geçirin ve azaltın: - Ayrıcalıklı kullanıcıların ve rollerin değiştirilmesi - Okuma, e-posta gönderme veya tüm posta kutularına erişme - OneDrive, Teams veya SharePoint içeriğine erişme - Dizine okuyabilen/yazabilen Hizmet Sorumluları ekleme - Uygulama İzinleri ile TemsilciLi Erişim Karşılaştırması |
Şirket içi düzeltme etkinlikleri
Bu makalenin önceki bölümlerinde listelenen önerilere ek olarak, şirket içi ortamlarınız için aşağıdaki etkinlikleri de öneririz:
| Aktivite | Açıklama |
|---|---|
| Etkilenen sistemleri yeniden oluşturma | Araştırmanız sırasında saldırgan tarafından ele geçirildiği belirlenen sistemleri yeniden derleyin. |
| Gereksiz yönetici kullanıcılarını kaldırma | Etki Alanı Yönetici, Yedekleme İşleçleri ve Kurumsal Yönetici gruplarından gereksiz üyeleri kaldırın. Daha fazla bilgi için bkz. Ayrıcalıklı Erişimin Güvenliğini Sağlama. |
| Parolaları ayrıcalıklı hesaplara sıfırlama | Ortamdaki tüm ayrıcalıklı hesapların parolalarını sıfırlayın. Not: Ayrıcalıklı hesaplar yerleşik gruplarla sınırlı değildir, aynı zamanda sunucu yönetimine, iş istasyonu yönetimine veya ortamınızın diğer alanlarına temsilci erişimi olan gruplar da olabilir. |
| krbtgt hesabını sıfırlama | New-KrbtgtKeys betiğini kullanarak krbtgt hesabını iki kez sıfırlayın. Not: Salt Okunur Etki Alanı Denetleyicileri kullanıyorsanız, betiği Salt Okunur Etki Alanı Denetleyicileri ve Salt Okunur Etki Alanı Denetleyicileri için ayrı olarak çalıştırmanız gerekir. |
| Sistemin yeniden başlatılmasını zamanlama | Saldırgan tarafından oluşturulan hiçbir kalıcılık mekanizmasının mevcut olmadığını veya sisteminizde kaldığını doğruladıktan sonra, bellekte yerleşik kötü amaçlı yazılımların kaldırılmasına yardımcı olmak için bir sistem yeniden başlatma zamanlayın. |
| DSRM parolasını sıfırlama | Her etki alanı denetleyicisinin DSRM (Dizin Hizmetleri Geri Yükleme Modu) parolasını benzersiz ve karmaşık bir değere sıfırlayın. |
Araştırma sırasında bulunan kalıcılığı düzeltme veya engelleme
Araştırma yinelemeli bir süreçtir ve anomalileri tanımladıkça ve düzeltmenin saldırganı algılamanız konusunda uyarıp tepki vermesi için zaman tanıyacak şekilde kurumsal düzeltme isteğini dengelemeniz gerekir.
Örneğin, algılamayı fark eden bir saldırgan teknikleri değiştirebilir veya daha fazla kalıcılık oluşturabilir.
Araştırmanın önceki aşamalarında tanımladığınız kalıcılık tekniklerini düzeltdiğinizden emin olun.
Kullanıcı ve hizmet hesabı erişimini düzeltme
Yukarıda listelenen önerilen eylemlere ek olarak, kullanıcı hesaplarını düzeltmek ve geri yüklemek için aşağıdaki adımları göz önünde bulundurmanızı öneririz:
Güvenilen cihazlara göre koşullu erişimi zorunlu kılma. Mümkünse, kuruluş gereksinimlerinize uyacak şekilde konum tabanlı koşullu erişimi zorunlu kılmanızı öneririz.
Gizliliği ihlal edilmiş olabilecek tüm kullanıcı hesapları için çıkarmadan sonra parolaları sıfırlayın. Ayrıca dizininizdeki tüm hesapların kimlik bilgilerini sıfırlamak için bir orta vadeli plan uyguladığınızdan emin olun.
Kimlik bilgilerinizi döndürdikten hemen sonra yenileme belirteçlerini iptal edin.
Daha fazla bilgi için bkz.
Sonraki adımlar
Üst gezinti çubuğundaki Yardım (?) düğmesini seçerek Microsoft Defender Portalı, Microsoft Purview uyumluluk portalı ve Office 365 Güvenlik ve Uyumluluk Merkezi gibi Microsoft ürünlerinin içinden yardım alın.
Dağıtım yardımı için FastTrack adresinden bizimle iletişime geçin
Ürün desteğiyle ilgili gereksinimleriniz varsa bir Microsoft destek olayı oluşturun.
Önemli
Gizliliğinizi ihlal ettiğinizi düşünüyorsanız ve bir olay yanıtı aracılığıyla yardım gerekiyorsa, Bir Sev A Microsoft destek olayı açın.