Blog
Azure Gelişmiş Tehdit Koruması (Azure ATP)
- 28 Mart 2022
- Yayınlayan: svahabi
- Kategori: Blog Yazıları
Azure ATP, ağlardaki güvenlik olaylarının tespit edilmesine ve araştırılmasına yardımcı olan, bulut tabanlı güvenlik çözüm merkezidir. Bununla birlikte siber saldırı olaylarına ve içeriden dışarıya doğru bilgi sızma gibi tehditler durumunda yardımcı olan en iyi güvenlik çözümlerinden biridir. Azure gelişmiş tehdit koruması ayrıca yetkilendirme, kimlik doğrulama ve bilgi toplamak için de çeşitli birçok protokolün ağ trafiğini aktif olarak izler. Bu protokoller ise DNS, NTLM, Kerberos gibi daha birçok protokoldür. Servis ve kullanıcıların davranışlarının da öğrenilip bu davranışlar üzerinde profil oluşturulması da yine güvenlik tespitinde bulunmaktadır. Tespitlerin netleştirilmesinden sonra aykırı bir süreç fark edildiği zaman Azure ATP portalı üzerinde süreçler görüntülenebilir.
Azure ATP’nin Koruma Sağladığı Tehditler
Azure ATP birçok farklı tehdite karşı koruma güvenliğini sağlayan bir alt yapıya sahiptir. Bu tehditler ise şunlardan oluşmaktadır:
- Şüpheli kullanıcı analizi
- Şüpheli cihaz etkinliği öğrenme üzerinde analiz etme
- Active Directory üzerinde depolanmakta olan kullanıcılara ait kimlik bilgilerinin korunması ve analiz edilmesi
- Windows Defender Advanced Threat Protection ile birlikte entegrasyon sağlanarak analiz ve araştırma seviyelerinin artırılması
Azure ATP’nin Kullandığı Servisler
Azure ATP’nin de bağlı olduğu ve kullandığı servisler mevcuttur. O servisler genel olarak şunlardır:
- Windows Etkinlik İletme (WEF)
- SIEM Entegrasyonu
- VPN’lerden RADIUS Muhasebesi
- Windows Windows Olay Toplayıcılığı (işlemci için)
Azure ATP Çalışma Mantığı
Azure ATP, On-Prem yapısında yer alan Active Directory’den gelen sinyalleri analiz etmektedir. Cihaz ve kullanıcılardan gelebilecek her türlü tehdittin de algılanarak kullanıcıların bilgilendirilmesi gerçekleştirilir. Bu sistem bulut tabanlı bir güvenlik çözümü olup Active Directory’e sahip olan kullanıcı ve cihazların detaylı olarak analiz edilmesi de mümkündür. Kullanıcılar ya da cihazlar normal seyirde gitmeyen bir hareket sırasında Azure ATP sistemi gelen tehlikeye göre uyarı verir.
Azure ATP, genel olarak belirtilen verilerin toplanarak anlamlı hale getirilmesinde önemli rol oynar. İzleme, raporlama ve yönetim gibi amaçlar üzerinde hizmet sunan veritabanlarında yapılandırılan sunucular üzerinden bilgilerin toplanıp depolanmasını sağlamaktadır. Bu gibi kaynaklardan toplanılan bilgiler ise genel olarak etki alanı denetleyicileri bilgileri, güvenlik günlükleri, Active Directory bilgileri ve varlık bilgileridir.
Azure ATP genel olarak Sensorler Domain Cotroller üzerinden gelen tüm verileri servislere gönderir. Bu sayede kullanıcı ya da cihazlar üzerinden gelen veriler doğrultusunda Azure ATP bu verilerin yorumlanmasını sağlar. Verilerden gelebilecek tehditleri de analiz eder.
Azure ATP, sanılanın aksine gelen tehditlerine karşı sadece bir uyarı mekanizması görevi görmektedir. Azure Advanced Threat Protection multi-forest desteği de sunmakta olan Azure ATP, bu sayede birçok forst yapısının tek bir merkezden kontrol edilmesinde de önemli görev üstlenir. Bulut sistemi üzerinde sürekli çalışmakta olan bir uygulama olduğu için de sürekli olarak güncellenen Azure ATP, kullanıcılar tarafından takip edilmesi gereken bir teknolojidir. Güncel eğitim takvimimiz için tıklayınız…