• Palcon_Admin
  • 6 Kasım 2024
  • Yorum yapılmamış

MANAGEENGINE – ADAUDIT PLUS İLE SİBER GÜVENLİK – 2. Bölüm

ACTİVE DİRECTORY GÜVENLİĞİ VE İZLEME

Hazırlayan: Mehmet Yüksel

Danışman: ozkan kazakli

İçindekiler

4. Tasarım

4.1. Süreç Yapısı Tasarımı Ve Mimari Yapı

4.2. Veri Yapısı Tasarımı

4.2.1. Veri İhtiyaç Analizi

5. Uygulama

5.1. Önerilen Sistemin Yapısı

6. En İyi Yetenekler

6.1. Saldırı Yüzey Analizörü

6.2. Kullanıcı Oturum Açma Ve Oturum Kapatma Raporları

6.3. AD Değişiklik Raporu

6.4. Hesap Kilitlenme Analizi Raporu

6.5. Dosya Ve Erişim Raporları

6.6. Uyumluluk Raporları

6.7. Gurup Üyelik Değişiklik Raporu

6.8. Kullanıcı Davranış Analitiği

6.9. Olay Anında Bildirim

6.10. Kitlesel Değişim Olayları

6.11. İçerden Gelen Tehditler

6.12. Yazıcı Denetimi

6.13. Çıkarılabilir Dosya Denetimi

6.14. Disk Analizi

7. Uygulama Çıktıları

8. Sonuçlar

9. Kaynaklar

4. Tasarım

4.1. Süreç Yapısı Tasarımı ve Mimari Yapı

4.2. Veri Yapısı Tasarımı

4.2.1. Veri İhtiyaç Analizi

Active Directory (AD) gibi büyük ve karmaşık sistemlerde veri yapısı ve tasarımı, sistemin performansı, güvenliği ve yönetilebilirliği açısından kritik bir öneme sahiptir. ManageEngine ADAudit, Active Directory’de yapılan tüm değişikliklerin ve olayların izlenmesi, kaydedilmesi ve raporlanması için veri yapıları ve tasarım prensiplerinden faydalanır. İyi bir veri yapısı, sistemin yalnızca hızını artırmakla kalmaz, aynı zamanda veri bütünlüğünü sağlar ve sistem yönetimini kolaylaştırır.

Veri Yapısı Nedir?

Veri yapısı, verilerin belirli bir düzene göre saklandığı ve işleme tabi tutulduğu mantıksal bir modeldir. ADAudit gibi izleme ve denetim araçlarında, veriler genellikle zaman damgaları, kullanıcı hesap bilgileri, grup üyelikleri, erişim izinleri gibi çok çeşitli ve karmaşık bilgiler içerir. Bu verilerin etkin bir şekilde saklanması, erişilmesi ve işlenmesi için uygun veri yapılarının kullanılması gerekir.

Veri Yapısının Önemi

ADAudit’in veri yapısı, özellikle şu alanlarda önem arz eder.

1.Veri Saklama ve Performans: Büyük ölçekli AD ortamlarında milyonlarca olay kaydı ve değişiklik sürekli olarak işlenir. Bu verilerin verimli bir şekilde saklanması, sistemin performansını doğrudan etkiler. ADAudit, bu verileri optimize edilmiş veri yapılarıyla depolayarak, sistemin performansını ve hızını artırır.

2.Veri Bütünlüğü: ADdeki kritik değişikliklerin güvenilir ve eksiksiz bir şekilde izlenmesi hayati öneme sahiptir. Veri bütünlüğü sağlanmazsa, sistemde yapılan değişiklikler veya olaylar doğru bir şekilde kaydedilmez, bu da güvenlik risklerini artırır. ADAudit, güçlü bir veri yapısı kullanarak her olayın eksiksiz kaydedilmesini ve doğru bir şekilde raporlanmasını sağlar.

3.Hızlı Arama ve Erişim: Yöneticilerin geçmiş olayları analiz etmesi ve belirli bir değişiklik ya da aktiviteyi hızlıca bulması gerekir. Bu durumda veri yapısının tasarımı, sorguların hızlı bir şekilde gerçekleştirilmesini sağlar. ADAudit, verileri indeksleyerek ve optimize edilmiş sorgu yapıları kullanarak, büyük veri kümeleri arasında hızlı arama ve filtreleme yapmayı mümkün kılar.

4.Uyumluluk Raporlaması: ADAudit, uyumluluk raporlarının oluşturulmasında veri yapısının gücünden faydalanır. Kullanıcı aktiviteleri, yetki değişiklikleri ve güvenlik olayları gibi verilerin düzenli ve anlamlı bir şekilde sunulması için yapılandırılmış bir veri modeline ihtiyaç vardır. ADAudit, bu verileri düzenleyici gereksinimlere uygun raporlar oluşturmak için kullanır.

Veri Tasarımı

Veri tasarımı, veri yapılarının belirli amaçlar doğrultusunda nasıl yapılandırılacağını ve nasıl kullanılacağını tanımlayan bir süreçtir. ADAudit’in veri tasarımı, veri yönetiminin verimli olmasını, büyük veri kümelerinin işlenmesini ve güvenliğini sağlar. Veri tasarımının başlıca bileşenleri şunlardır.

1.Veri Normalizasyonu: Veri tasarımında, veri tekrarını en aza indirgemek için normalizasyon uygulanır. Bu, gereksiz veri tekrarlarının önüne geçer ve veri yönetimini daha verimli hale getirir. ADAudit, normalizasyon sayesinde AD’deki olayları tutarlı ve optimize bir şekilde saklar.

2.İlişkisel Veri Tabanları: ADAudit, ilişkisel veri tabanı yapısını kullanarak farklı veri kümeleri arasında anlamlı bağlantılar kurar. Örneğin, bir kullanıcı hesabının değişiklikleri, oturum açma geçmişi ve grup üyelikleri gibi veriler birbirleriyle ilişkili olarak saklanır. Bu sayede, yöneticiler herhangi bir kullanıcı hakkında kapsamlı bilgiye hızlıca ulaşabilir.

3.Zaman Serisi Verisi: ADAudit, AD üzerindeki olayları zaman damgalarıyla kaydeder. Bu, olayların kronolojik olarak sıralanmasını ve herhangi bir zamanda yapılan aktivitelerin geriye dönük izlenmesini sağlar. Zaman serisi veri yapısı, olayların zaman içindeki değişimini analiz etmek ve potansiyel güvenlik tehditlerini tespit etmek için kritik öneme sahiptir.

4.Hiyerarşik Veri Yapısı: AD, doğası gereği hiyerarşik bir yapıya sahiptir. Kullanıcılar, gruplar, politikalar ve diğer bileşenler hiyerarşik olarak organize edilir. ADAudit, bu hiyerarşiyi yansıtan bir veri yapısı kullanarak, her bileşenin ilişkili olduğu diğer bileşenlerle bağlantısını net bir şekilde görmeyi mümkün kılar. Bu, kullanıcıların ve grupların izinlerinin daha kolay izlenmesini sağlar.

5.Uygulama

5.1. Önerilen Sistemin Yapısı

ManageEngine ADAudit’in etkin ve sorunsuz çalışması için uygun bir sistem altyapısına ihtiyaç duyulmaktadır. Bu sistem, donanım ve yazılım bileşenlerinin yanı sıra, ağ yapılandırmaları ve veri depolama çözümlerini de kapsar. ADAudit’in performansından en iyi şekilde faydalanabilmek için, sistemin mimarisi ve gereksinimleri dikkatlice planlanmalıdır. Önerilen sistem yapısı, aşağıdaki temel bileşenler ve yapılandırmaları içermektedir.

1. Sunucu Mimarisi

ADAudit’in merkezi bileşeni olan uygulama sunucusu, tüm Active Directory (AD) olaylarını izleyen, kaydeden ve raporlayan ana modüldür. Bu sunucu, yüksek performanslı bir donanım altyapısına sahip olmalıdır. Sunucunun gereksinimleri genellikle kuruluşun büyüklüğüne ve izlenmesi gereken AD olaylarının sayısına göre değişiklik gösterir.

  • İşlemci: Intel Xeon veya eşdeğer bir işlemci, çok çekirdekli yapısı ile yüksek performans sağlar.
  • Bellek: Orta büyüklükteki bir kurulum için en az 16 GB RAM önerilir. Büyük kurumsal yapılar için bu bellek miktarı 32 GB veya daha fazla olabilir.
  • Depolama: Uygulamanın olay kayıtlarını ve log dosyalarını saklayabilmesi için yeterli disk kapasitesi gereklidir. Disk alanı gereksinimi, izlenen olayların sayısına bağlı olarak değişse de, başlangıç için SSD tabanlı depolama tercih edilmelidir.
  • İşletim Sistemi: Windows Server 2016 ve üzeri sürümler, ManageEngine ADAudit ile uyumludur.

2. Veri Tabanı Yapısı

ADAudit, AD ortamındaki olayları ve değişiklikleri kaydederken ilişkisel bir veri tabanı kullanır. Veri tabanı, uygulama sunucusu ile etkileşimde bulunarak olay kayıtlarını toplar ve depolar. ADAudit, MS SQL Server ile entegre çalışabilmektedir ve büyük veri setlerinin işlenmesini optimize etmek için bu veri tabanının güçlü özelliklerinden faydalanır.

  • Veri Tabanı Sunucusu: Yüksek erişilebilirlik ve performans için SQL Server 2016 ve üzeri sürümler önerilmektedir.
  • Veri Depolama Kapasitesi: İlgili veri depolama kapasitesi, izlenen AD olaylarının sıklığına ve süresine bağlı olarak artırılabilir. Yüksek hacimli olaylar için, verilerin sıkıştırılması ve arşivlenmesi gereken bir yapı planlanmalıdır.

3. Ağ Yapısı

ManageEngine ADAudit, AD sunucularına erişim sağlayarak olay verilerini toplar. Bu nedenle, ağ altyapısının güvenilir ve kesintisiz olması gerekmektedir. ADAudit’in veri toplama işlevini optimize etmek için yüksek bant genişliği ve düşük gecikme sürelerine sahip bir ağ yapısı önerilir.

  • Ağ Hızı: Gigabit Ethernet veya daha hızlı bir ağ bağlantısı önerilir. Bu, büyük hacimli veri toplama işlemleri sırasında verilerin hızlı ve sorunsuz aktarılmasını sağlar.
  • Güvenlik: İzlenen olaylar kritik ve hassas bilgiler içerebileceği için, güvenli bir ağ yapısı sağlanmalıdır. Verilerin güvenli bir şekilde aktarılması için şifreleme protokollerinin (SSL/TLS) kullanılması tavsiye edilir.

4. İzlenen Sistemler ve Bileşenler

ADAudit, Active Directory, dosya sunucuları, üyelikler, grup politikaları ve diğer AD bileşenleri üzerinde kapsamlı bir izleme gerçekleştirir. İzlenen bileşenler, sistemin tam olarak hangi olayları ve verileri izleyeceğini belirler.

  • Active Directory Sunucuları: ADAudit, AD sunucularındaki oturum açma, hesap değişiklikleri, yetki değişiklikleri gibi aktiviteleri izler. Bu nedenle, AD sunucularının yapılandırması ve ADAudit ile entegrasyonu sorunsuz olmalıdır.
  • Dosya Sunucuları ve Paylaşımları: ADAudit, dosya sunucularındaki tüm erişim ve değişiklik işlemlerini izleyerek, verilerin güvende kalmasını sağlar. İzlenen sunucuların yapılandırmaları ve ADAudit ile olan bağlantıları kesintisiz olmalıdır.

5. Yedekleme ve Kurtarma Planları

Verilerin güvenli bir şekilde saklanması ve olası veri kayıplarına karşı korunması için yedekleme planları kritik öneme sahiptir. ADAudit’in topladığı veri ve raporların periyodik olarak yedeklenmesi gereklidir.

  • Yedekleme Çözümü: ADAuditin SQL veri tabanı ve log dosyaları için düzenli yedekleme çözümleri uygulanmalıdır. Yedekleme işlemleri, hem yerel hem de uzak sunucular üzerinde yapılabilir.
  • Felaket Kurtarma Planı: Sistem arızası veya veri kaybı durumunda, ADAudit’in veri tabanı ve yapılandırma ayarlarının geri yüklenmesi için felaket kurtarma planları oluşturulmalıdır.

6. Güvenlik ve Erişim Denetimi

ManageEngine ADAudit, güvenlik açısından kritik verileri yönettiği için, sistemde kimlerin erişim sağlayacağı ve hangi yetkilere sahip olacağı iyi bir şekilde yönetilmelidir.

  • Erişim Kontrolü: ADAudit’e erişimi olan kullanıcılar, sistem yöneticileri, güvenlik uzmanları veya denetçiler gibi belirli rollerle sınırlandırılmalıdır.
  • İki Aşamalı Doğrulama (2FA): Yüksek güvenlikli ortamlar için, ADAudit sunucusuna erişim sağlanırken iki aşamalı kimlik doğrulama kullanılmalıdır.

6. En İyi Yetenekler

6.1 Saldırı Yüzey Analizörü

Günümüzde bilgi teknolojisi altyapılarının güvenliği, sadece dış tehditlere karşı değil, aynı zamanda içeriden gelebilecek tehlikelere karşı da korunmayı gerektirir. Active Directory (AD) gibi kritik sistemlerde, güvenlik risklerinin büyük bir kısmı geniş ve karmaşık bir saldırı yüzeyinden kaynaklanmaktadır. Bu bağlamda, Saldırı Yüzey Analizörü (Attack Surface Analyzer), bu geniş yüzeyi anlamak, değerlendirmek ve minimize etmek için kullanılan kritik bir araçtır.

Saldırı Yüzeyi Nedir?

Saldırı yüzeyi, bir sistemin ya da ağın potansiyel tehditlere ve saldırılara açık olan tüm alanlarını ifade eder. Bu yüzey ne kadar genişse, sistemin saldırılara karşı savunmasız noktaları o kadar fazla olur. AD gibi kompleks yapılar, çok sayıda kullanıcı, grup, izin ve politikayla çalıştığından, saldırı yüzeyi oldukça geniştir. Sistem yöneticilerinin, hangi bileşenlerin potansiyel güvenlik açıklarına sahip olduğunu belirleyebilmesi için kapsamlı bir analiz yapmaları şarttır.

Saldırı Yüzey Analizörünün İşlevi

ManageEngine ADAudit gibi araçlar içerisinde yer alan Saldırı Yüzey Analizörü, Active Directory’nin güvenlik açıklarını tespit etmek ve bu riskleri azaltmak için kullanılan etkili bir güvenlik çözümüdür. Bu analizör, AD ortamındaki kritik yapılandırmaları, izinleri ve kullanıcı etkinliklerini inceleyerek saldırıya açık noktaları ortaya çıkarır. İşlevleri şu şekilde özetlenebilir.

1.Kritik Güvenlik Açıklarının Tespiti: Analizör, AD ortamındaki zayıf noktaları belirler. Bu zayıf noktalar, yanlış yapılandırılmış kullanıcı izinleri, yetkisiz erişim hakları veya gereksiz yere genişletilmiş yönetici hakları gibi faktörleri içerebilir.

2.Yapılandırma ve İzinlerin İncelenmesi: Saldırı yüzeyi analizörü, kullanıcıların hangi kaynaklara erişebildiğini, kimlerin yönetici yetkilerine sahip olduğunu ve sistem politikalarının ne kadar güvenli olduğunu analiz eder. Bu sayede, gereksiz yetkilendirmeler ortadan kaldırılarak saldırı yüzeyi daraltılır.

3.Risk Değerlendirmesi: Analiz edilen bileşenler sonucunda, potansiyel saldırı noktaları derecelendirilir ve önceliklendirilir. Yüksek risk taşıyan yapılandırmaların öncelikli olarak düzeltilmesi, sistem güvenliğini artırır.

4.Gerçek Zamanlı İzleme: Yalnızca statik bir analiz yapmak yerine, saldırı yüzeyinin zaman içindeki değişimini izlemek de önemlidir. Sistem üzerindeki kritik değişiklikler, örneğin yeni kullanıcı hesapları, yetki değişiklikleri veya politikaların güncellenmesi gibi hareketler analiz edilerek olası güvenlik tehditleri önceden fark edilir.

Saldırı Yüzeyini Daraltma Stratejileri

Saldırı yüzeyi analizörünün yaptığı tespitler sonucunda, AD ortamındaki güvenlik risklerini minimize etmek için çeşitli adımlar atılabilir.

1.İzinlerin Sıkılaştırılması: Gereksiz yönetici yetkilerine sahip kullanıcılar veya yanlış yapılandırılmış grup izinleri, saldırı yüzeyini genişletir. Bu izinler gözden geçirilerek, yalnızca gerekli kullanıcıların kritik sistemlere erişimine izin verilmelidir.

2.Kullanıcı Hesaplarının İzlenmesi: Kullanıcı hesaplarının anormal aktiviteleri (örneğin, bir kullanıcının alışılmadık saatlerde veya farklı cihazlardan giriş yapması) tespit edilerek olası saldırılara karşı önlem alınabilir.

3.Gereksiz Bileşenlerin Kaldırılması: Kullanılmayan kullanıcı hesapları, gruplar veya politikalar saldırı yüzeyini gereksiz yere genişletebilir. Bu tür unsurlar kaldırılarak yüzey daraltılabilir.

6.2 Kullanıcı Oturum Açma Ve Oturum Kapatma Raporları

Açıklama: Bu rapor, AD ortamındaki kullanıcıların ne zaman oturum açtıklarını ve oturum kapattıklarını detaylandırır. Sistem yöneticileri için bu raporlar, kullanıcıların çalışma saatlerini izlemek, şüpheli oturum açma denemelerini tespit etmek ve olağandışı aktiviteleri incelemek için oldukça faydalıdır.

Öne Çıkan Özellikler:

  • Kullanıcı adı, oturum açma zamanı, oturum kapatma zamanı ve oturum açılan cihaz bilgileri raporda yer alır.
  • Başarısız oturum açma denemeleri de raporlanır, bu da yetkisiz erişim girişimlerini tespit etmek açısından önemlidir.
  • Çıkış tarihi ve saati ile birlikte, kullanıcıların sisteme ne kadar süreyle erişim sağladıkları gözlemlenebilir.

6.3 AD Değişiklik Raporu

Açıklama: AD üzerinde yapılan tüm kritik değişiklikleri izleyen bu rapor, kullanıcı hesapları, grup üyelikleri ve politikaların değiştirilmesi gibi olayları detaylandırır. Bu rapor, güvenlik risklerini azaltmak ve yanlış yapılandırmaları hızlıca tespit etmek için önemlidir.

Öne Çıkan Özellikler:

  • Kullanıcı hesap değişiklikleri (oluşturma, silme, değiştirme).
  • Grup üyelik değişiklikleri, özellikle yönetici gruplarındaki değişiklikler.
  • GPO (Grup Politikası Nesnesi) değişiklikleri ile ilgili detaylar.
  • Hangi yöneticinin veya kullanıcının bu değişiklikleri yaptığı ve değişikliğin zamanı.

6.4 Hesap Kilitlenme Analizi Raporu

Bu rapor, sistem yöneticilerine hesap kilitlenme sorunlarının kaynağını hızlıca tespit etme ve gerekli aksiyonları alma imkanı sağlar. Ayrıca, kullanıcı hesaplarının tekrar güvenli bir şekilde erişime açılması ve kilitlenme nedenlerinin sistematik olarak çözülmesine yardımcı olur.

Öne Çıkan Özellikler:

  • Kullanıcı hesap değişiklikleri (oluşturma, silme, değiştirme).
  • Kilitlenen Kullanıcılar: Rapor, kilitlenen kullanıcıların tam listesini içerir. Kullanıcı adları, bu kilitlenmenin kimleri etkilediğini ve hangi hesapların erişime kapandığını detaylı bir şekilde gösterir.
  • Kilitlenme Zamanı: Her kilitlenme olayının gerçekleştiği tarih ve saat raporda belirtilir. Bu bilgi, olayların ne zaman ve ne sıklıkta yaşandığını belirlemek açısından önemlidir.
  • Kilitlenmenin Kaynağı (IP Adresi ve Cihaz): Kullanıcı hesaplarının hangi bilgisayar veya cihaz üzerinden kilitlendiğini gösterir. Aynı zamanda, kilitlenmenin hangi IP adresinden yapıldığına dair bilgi sağlar. Bu veri, potansiyel kötü niyetli aktivitelerin kaynağını tespit etmek için kritik bir öneme sahiptir.
  • Kilitlenme Nedeni: Hesap kilitlenmelerinin nedenleri ayrıntılı olarak listelenir. Başarısız oturum açma denemeleri, yanlış şifre denemeleri veya güvenlik politikalarına uyulmaması gibi nedenler raporlanır. Bu sayede, sorunun kaynağı anlaşılabilir ve tekrar eden kilitlenme sorunlarının önüne geçilebilir.
  • Kilitlenme Politikasına Uyumsuzluk: Hesap kilitlenmeleri, AD şifre politikalarına uyumsuzluk nedeniyle de gerçekleşebilir. Rapor, mevcut şifre politikalarına uygun olup olmadığını değerlendirir ve uyumsuzlukları belirler.
  • Kilitlenme Sıklığı: Aynı kullanıcının belirli bir zaman dilimi içerisinde kaç kez hesap kilitlenmesi yaşadığını gösterir. Bu, aynı kullanıcının sık sık kilitlenme sorunları yaşayıp yaşamadığını tespit etmek için kullanılır.
  • Hesap Geri Yükleme İşlemleri: Kilitlenen hesapların nasıl geri yüklendiği ve ne zaman yeniden erişime açıldığı rapor içerisinde belirtilir. Böylece, hesapların tekrar güvenli şekilde açılması ve kullanıcılara gerekli erişimin verilmesi süreci detaylandırılır.

6.5 Dosya Ve Klasör Erişim Raporları

Açıklama: Bu rapor, AD’ye bağlı dosya sunucularında yapılan tüm dosya ve klasör erişimlerini izler. Kimin hangi dosyaya erişim sağladığı, hangi dosyaların değiştirildiği ve silindiği gibi bilgiler sunulur.

Öne Çıkan Özellikler:

  • Dosya veya klasörün adı, erişim sağlayan kullanıcı ve yapılan işlem (okuma, yazma, silme).
  • Dosyaların ne zaman erişildiği ve hangi cihaz üzerinden erişildiği.
  • Yetkisiz dosya erişim girişimlerinin izlenmesi.

6.6 Uyumluluk (SOX, HIPAA, GDPR) Raporları

Açıklama: ADAudit, düzenleyici uyumluluğun sağlanması için özel raporlar sunar. Özellikle SOX, HIPAA ve GDPR gibi yasalarla uyumlu olmak zorunda olan kurumlar için bu raporlar büyük önem taşır. Bu raporlar, düzenleyici otoriteler tarafından talep edilen güvenlik ve denetim kriterlerini karşılamaya yönelik bilgileri içerir.

Öne Çıkan Özellikler:

  • SOX (Sarbanes-Oxley Act): Finansal denetim kayıtları ve güvenlik raporları.
  • HIPAA (Health Insurance Portability and Accountability Act): Sağlık bilgilerine erişim ve güvenliğin izlenmesi.
  • GDPR (General Data Protection Regulation): Avrupa Birliği veri koruma yasalarıyla ilgili uyumluluk raporları.

6.7 Gurup Üyelik Değişiklik Raporu

Açıklama: Bu rapor, AD’deki grupların üyeliklerinde yapılan tüm değişiklikleri izler. Özellikle yönetici gruplarındaki değişiklikler, güvenlik açısından kritik öneme sahiptir ve detaylı bir şekilde raporlanır.

Öne Çıkan Özellikler:

  • Gruplara eklenen veya çıkarılan kullanıcılar.
  • Değişikliğin kim tarafından yapıldığı ve ne zaman gerçekleştiği.
  • Özellikle yönetici gruplarındaki değişiklikler için uyarılar.

6.8 Kullanıcı Davranış Analitiği

  • Kullanıcı davranış analitiği ile kötü niyetli kişilerin varlığını ortaya çıkarmak için makine öğrenimini (ML) kullanarak: oluşturma, silme ve değiştirme dahil olmak üzere kullanıcı yönetimi eylemlerindeki ani anormal artışları tespit edebiliriz. Burada kullanıcının davranışlarını analiz ediyor, örneğin olağan dışı şekilde silme işlemleri gerçekleştiriliyor diyelim bunu tespit ederek ve bir uyarı şiddeti belirleyerek anında sms yada e mail bilgisi verilebiliyor.

6.9 Olay Anında Bildirim

  • Olay anında bildirim alabiliriz. Kritik AD hesapları mesai saatleri dışında bile kilitlendiğinde sistem yöneticisini veya etkilenen kullanıcıyı bilgilendirmek için anında e-posta veya SMS uyarıları ayarlayabiliriz. Yanıtlarınızı önceden yapılandırın. Kuruluşunuzun ihtiyaçlarına göre uyarlanmış komut dosyalarını yürütmek için otomatik yanıtları kullanın; örneğin, kullanıcı hesaplarının kilidini açın, kullanıcıların ağ bağlantısını kesin ve daha fazlasını yapın.

6.10 Kitlesel Değişim Olaylar

  • Kitlesel değişim olaylarını tespit etmek için eşikleri tanımlayabiliriz. Örneğin 5 dakika içinde 10 kere şu olay olursa diye kural belirleriz. Eşikler aşıldığında e-posta ve SMS yoluyla bildirim alabiliriz. Yine Yanıtları otomatikleştirmek için komut dosyaları oluşturabiliriz.

6.11 İçerden Gelen Tehditler

Kötü niyetli içeridekiler

Senaryo : Kötü niyetli yönetici, kritik bir kullanıcının parolasını sıfırlar ve bu kimlik bilgilerini gizli verilere erişmek ve bu verileri dışarı çıkarmak için işlemler yaptı. Ertesi gün, kritik kullanıcı artık güncel olmayan kimlik bilgileri nedeniyle kilitlenir ve yöneticiden yeni bir şifre ister.

ADAudit Plus ile,  hileli yönetici tarafından yapılan parola sıfırlamaları, kritik kullanıcının hesabındaki olağandışı uzak masaüstü etkinliği, hesap kilitleme olaylarının ayrıntıları ve daha fazlası gibi kritik olayları araştırarak içeriden gelen saldırının kaynağını takip edin.

Dikkatsiz içeridekiler

Senaryo : Bir yönetici, bir çalışana yanlışlıkla aşırı ayrıcalıklar verir. Bu durum Hassas verileri sızdırılmasına sebeb olabilir.

ADAudit Plus ile,  ayrıcalık yükseltmeleri, ayrıcalıklı bir işlemi ilk kez gerçekleştiren kullanıcılar ve USB cihazlarına dosya kopyalama işlemleriyle ilgili raporları ilişkilendirerek hatayı hızlı bir şekilde tanımlayıp bildirimde bulunabilir.

Kasıtsız içeriden tehdit

Senaryo : Bir kullanıcı yanlışlıkla ağda kötü amaçlı bir yürütülebilir dosya (fidye yazılımı gibi) yükleyen ve çalıştıran şüpheli bir web sitesine girer.

ADAudit Plus ile  bu alışılmadık süreç bir ana bilgisayarda çalıştırıldığında uyarıları tetikler. Yürütülebilir dosya bir fidye yazılımı saldırısı başlatırsa, ADAudit Plus bunu anında algılayabilir ve daha fazla yayılmasını önlemek için virüslü makineleri kapatabilir. Tabi burda yönetim kısmını script ile yapabiliriz.

6.12 Yazıcı Denetimi

  • Yazıcı denetimi ile Dosya adı, yazıcı adı, belge boyutu, sayfa ve kopya sayısı ve daha fazlası gibi ayrıntıları ayrıntılı olarak inceleyebilirizç. Kolay erişim için kontrol paneline sabitlenebilecek sezgisel grafikler ve çizelgeler içeren raporlar alın.

6.13 Çıkarılabilir Dosya Denetimi

  • ADAudit Plus, Windows Server ekosisteminiz genelinde çıkarılabilir depolama cihazı etkinliğini izlemenizi sağlar. Her aktivitenin arkasında kim, ne, ne zaman ve nerede sorularının cevabı olduğunu bilin. Uyumluluk denetimlerini kolaylıkla geçmek için raporların oluşturulmasını ve teslimini otomatikleştirebiliriz. Mesai saatleri dışında bir dosyanın kritik bir sunucudan USB sürücüsüne kopyalanması gibi kritik etkinlikler hakkında uyarılar alabiliriz. Email ve SMS ile anında haberdar olun.

6.14 Disk Analizi

  • Disk analizi alanı ile ürünümüzün diskte ne kadar yer kapladığını ve performansını izleye bilirsiniz. Disk doluluk oranını takip ederek önlemler alabilirsiniz. Büyüme eğilimlerini ve dosya klasör dağılımını kontrol ederek büyük ve gereksiz dosyaları tespit edebilirsiniz.

7. Uygulama Çıktıları

ManageEngine ADAudit gibi kapsamlı bir denetim aracının temel amaçlarından biri, AD (Active Directory) ortamında gerçekleştirilen tüm aktivitelerin detaylı ve anlamlı bir şekilde raporlanmasını sağlamaktır. Bu raporlar, kullanıcıların ve yöneticilerin sistemde neler olup bittiğini görmelerine olanak tanır, olası güvenlik tehditlerini tespit eder ve düzenleyici uyumluluğun sağlanmasına yardımcı olur. Uygulama çıktıları, bu süreçte elde edilen analizlerin ve raporlamaların nihai ürünüdür. ADAudit’in uygulama çıktıları, kuruluşların operasyonel süreçlerini optimize etmek ve bilgi güvenliğini artırmak için kullanılan değerli bilgilerdir.

1. Raporlama ve Analizler

ManageEngine ADAudit, AD ortamında gerçekleştirilen tüm olayları ve aktiviteleri izleyerek kapsamlı raporlar sunar. Bu raporlar, sistemde kimlerin ne tür değişiklikler yaptığı, hangi kaynaklara erişim sağlandığı ve olası güvenlik tehditlerinin nerede oluştuğu gibi bilgileri içerir. Raporlar, günlük, haftalık veya aylık periyotlarda hazırlanarak yöneticilere sunulur. Temel rapor çıktıları şunlardır:

  • Kullanıcı Aktivite Raporları: Kimlerin, hangi tarihlerde ve ne zaman sisteme giriş yaptığı, hangi dosyalara veya kaynaklara eriştiği gibi detayları içerir.
  • Güvenlik Olayı Raporları: Hatalı oturum açma denemeleri, yetkisiz erişim girişimleri veya şüpheli etkinlikler gibi güvenlikle ilgili kritik olayları raporlar.
  • Değişiklik Yönetimi Raporları: AD üzerindeki kullanıcı ve grup izinleri, politika değişiklikleri, hesap yetkilendirmeleri gibi değişikliklerin detaylarını sağlar.
  • Uyumluluk Raporları: SOX, HIPAA, GDPR gibi düzenleyici gereksinimlere uyumluluğun sağlanması için gerekli raporları üretir.

2. Gerçek Zamanlı Uyarılar

ADAudit, AD ortamında meydana gelen olayları gerçek zamanlı olarak izleyerek kritik olaylar için uyarılar oluşturur. Bu uyarılar, kullanıcılar arasında yetkisiz erişim, şüpheli oturum açma girişimleri veya sistem yapılandırmalarındaki ani değişiklikler gibi güvenlik açıklarına dair anlık bilgilendirme sağlar. Uyarılar, e-posta, SMS veya diğer bildirim kanalları aracılığıyla sistem yöneticilerine iletilir. Bu sayede, anında müdahale edilmesi gereken durumlar hakkında bilgilendirme sağlanır.

3. Denetim ve Uyumluluk

ADAudit, düzenleyici uyumluluğu sağlamaya yardımcı olacak raporlar sunar. Bu çıktılar, özellikle finans, sağlık ve kamu sektörlerinde faaliyet gösteren kuruluşlar için kritik öneme sahiptir. Düzenleyici kurumların talep ettiği güvenlik ve denetim raporlarını sunarak, kurumsal sistemlerin güvenli ve uyumlu olduğunu kanıtlar. Örnek uyumluluk raporları şunları içerir:

  • SOX (Sarbanes-Oxley Act) Raporları: Finansal kayıtların korunması ve iç kontrol sistemlerinin denetimi için gerekli bilgileri sağlar.
  • HIPAA (Health Insurance Portability and Accountability Act) Raporları: Sağlık sektöründe veri gizliliği ve güvenliğine uyum için zorunlu raporları içerir.
  • GDPR (General Data Protection Regulation) Raporları: Avrupa Birliği veri koruma yasalarına uyum için gereken raporlar sunar.

4. Gelişmiş Görselleştirme ve Dashboardlar

Uygulama çıktılarının bir diğer önemli yönü, sistem yöneticilerine sunulan görsel raporlardır. ADAudit, karmaşık verilerin daha anlaşılır ve hızlı bir şekilde yorumlanması için gelişmiş görselleştirme ve grafik tabanlı dashboardlar sağlar. Bu grafikler ve görselleştirmeler, sistemdeki güvenlik durumunu ve aktiviteleri anlık olarak takip etme olanağı sunar. Yöneticiler, raporları grafikler aracılığıyla gözden geçirerek hangi alanlarda risklerin yüksek olduğunu ve nerelerde iyileştirme yapılması gerektiğini hızlıca tespit edebilir.

5. Sorgulanabilir Loglar ve Olay Kayıtları

ADAudit, tüm aktivitelerin log kayıtlarını tutar ve bu kayıtlar, gerektiğinde geçmişe dönük sorgulamalarla analiz edilebilir. Olay kaydı çıktıları, sistemde meydana gelen her türlü olayın detaylı bir dökümünü sağlar. Bu loglar, güvenlik olayları, sistem hataları veya kullanıcı aktiviteleri gibi çeşitli alanlarda bilgi sunar. Ayrıca, gerektiğinde adli analizler veya iç denetimler için kullanılabilecek kanıt niteliğinde bilgiler sağlar.

6. Performans İyileştirme ve Operasyonel Optimizasyon

ADAudit’in uygulama çıktıları, sadece güvenlik yönetimi için değil, aynı zamanda operasyonel süreçlerin iyileştirilmesi ve sistem performansının artırılması için de kullanılır. Raporlar, sistemdeki zayıf noktaların veya verimsiz yapılandırmaların tespit edilmesine olanak tanır. Bu çıktılar, yöneticilerin sistemde gereksiz erişim izinlerini kaldırmasını, kullanıcı yetkilendirmelerini optimize etmesini ve AD ortamını daha güvenli ve verimli hale getirmesini sağlar.

8. Sonuçlar

ManageEngine ADAudit, Active Directory ortamında güvenliği sağlamak, düzenleyici uyumluluğu desteklemek ve operasyonel verimliliği artırmak için kapsamlı bir denetim çözümü sunar. Bu yazılım, AD üzerinde gerçekleşen tüm kullanıcı etkinliklerini ve sistem değişikliklerini izleyerek, güvenlik açıklarının tespit edilmesine ve olası tehditlerin zamanında engellenmesine olanak tanır. ADAudit’in sunduğu raporlar, olay izleme, gerçek zamanlı uyarılar ve uyumluluk çıktıları, sistem yöneticilerinin AD üzerindeki denetimi güçlendirmesine yardımcı olur.

Saldırı yüzey analizörü, veri yapısı ve tasarımı gibi özellikleriyle ADAudit, yalnızca güvenlik odaklı değil, aynı zamanda sistem performansını artırmaya yönelik bir çözüm sunar. Kritik olayların anında tespiti, kullanıcı yetkilendirme hatalarının giderilmesi ve düzenli uyumluluk raporlamaları, kurumsal BT altyapısının güvenli ve sürdürülebilir bir şekilde yönetilmesini sağlar.

Sonuç olarak, ManageEngine ADAudit, kuruluşların hem güvenlik tehditlerini yönetmesine hem de operasyonel süreçlerini optimize etmesine yardımcı olan güçlü ve esnek bir araçtır. AD ortamlarının karmaşıklığı göz önünde bulundurulduğunda, bu tür bir denetim çözümü, modern işletmelerin güvenlik ve uyumluluk hedeflerine ulaşmalarında vazgeçilmez bir rol oynamaktadır.

9. Kaynaklar

Leave A Comment

wpChatIcon
wpChatIcon