Azure Advanced Threat Protection (ATP), ağlarınızdaki güvenlik olaylarını tespit etmenize ve araştırmanıza yardımcı olan, bulut tabanlı bir güvenlik çözümüdür. Aynı zamanda siber saldırılarına ve içeriden dışarıya bilgi sızdırma gibi tehditlere karşı korumanıza yardımcı olan bir güvenlik çözümüdür.
Bununla birlikte Azure ATP, kimlik doğrulama, yetkilendirme ve bilgi toplamak için birden fazla protokolün (Kerberos, DNS, RPC, NTLM ve diğerleri gibi) ağ trafiğini izlemektedir. Ayrıca kurumdaki kullanıcı ve servislerin davranışlarını öğrenip ve bu davranışlara ilişkin bir davranış profili oluşturarak, güvenlik tespitinde bulunur. Yapılan tespitler sonucunda ortama ayrıkı bir süreç fark edildiğinde Azure ATP portalında bu süreçler görüntülenir.
Azure ATP hangi tehditlere karşı bir koruma sağlıyor;
- Şüpheli kullanıcı ve cihaz etkinliğini öğrenme akabinde analiz etme
- Bulut ve kurum içi ortamlardaki tehditleri algılama
- Active Directory’de depolanan kullanıcı kimlik bilgilerini koruma ve analiz etme
- Windows Defender Advanced Threat Protection ile entegrasyon sağlayarak araştırma ve analiz seviyesini arttırma
Not: Azure ATP, hem bulut hem de şirket içi verilerinden faydalanıp, hatalı süreçleri azaltarak ve Windows Defender ATP entegrasyonuyla uçtan uca bir araştırma deneyimi sunarak, gelişmiş kötü niyetli saldırıları tespit edebilir.
Azure ATP aşağıdaki servislerle de ilişkilendirilebilinir.
- SIEM Integration
- Windows Event Forwarding (WEF)
- Directly from the Windows Event Collector (for the sensor)
- RADIUS Accounting from VPNs
Azure ATP, üç ana saldırı türlerini kontrol eder, bu saldırı türleri sırasıyla, Kötü amaçlı saldırılar – Anormal davranışlar – Güvenlik sorunları ve Riskler.
Bilinen belirli başlı saldırı türleri aşağıdaki gibidir;
- Pass-the-Ticket (PtT)
- Pass-the-Hash (PtH)
- Overpass-the-Hash
- Forged PAC (MS14-068)
- Golden Ticket
- Malicious replication
- Directory Service Enumeration
- SMB Session Enumeration
- DNS Reconnaissance
- Horizontal Brute Force
- Vertical Brute Force
- Skeleton Key
- Unusual Protocol
- Encryption Downgrade
- Remote execution
- Malicious Service Creation
Bu saldırı türlerine istinaden süpheli bir etkinlik olduğunda, Azure ATP portalında süreci nasıl göreceğimizi aşağıdaki ekran görüntüsünden inceleyebilirsiniz. Örneğin, ortamınızdaki bir kullanıcı ikinci bir kullanıcıya Pass-the-Ticket saldırı girişiminde bulunduğunda Azure ATP portalında bu saldırının nasıl gerçekleştiğini ve nasıl bir atak uygulandığını görebilirsiniz.
*Not: Enterprise Mobility + Security‘nin E5 lisansına sahip kullanıcılar Azure Advanced Threat Protection (Azure ATP) ürünü kullanabilir.