Microsoft Azure

Azure Active Directory Identity Protection – Bölüm 2 Kullanım

Makalemin ilk bölümüne sizlere Microsoft Azure AD Identity Protection servisinin genel tanımını ve nasıl çalıştığını anlattım. Makalemin bu bölümünde ise sahip olduğunuz Microsoft Azure hesabı için bu servisi nasıl kullanacağınızı göstereceğim.

Makalemin ilk bölümü için aşağıdaki linki kullanabilirsiniz

Azure Active Directory Identity Protection – Bölüm1 Tanım ve Çalışma Şekli – ÇözümPark (cozumpark.com)

Ürünü kullanmak için öncelikle portal’ a erişelim sağlamamız gerekmektedir.

https://portal.azure.com/

Daha sonra sol üst köşedeki artı tuşuna basarak arama menüsüne “Azure AD Identity” yazalım

Not: Eğer sizin de benim gibi birden çok hesabınız ve directory tanımınız var ise hangi domain hesabınız için bu özelliği kullanacağınızı hesap seçimi yaparak gerçekleştirmeniz gereklidir

Bu seçimi yaptıktan sonra aşağıdaki gibi adımları yerine getiriyoruz

clip_image003

Aure AD Identity Protection ürününe tıkladığımız zaman sağ tarafta aşağıdaki gibi bir pencere açılır ve buradan “Create” diyerek bu ürünü kullanmak için ilk adımı gerçekleştirmiş oluyoruz.

clip_image004

clip_image005

Varsayılan Directory için ( bunu hesap seçiminden gerçekleştirmiştim) oluşturma işlemini tamamlıyorum

Bunun sonucunda aşağıdaki gibi bir ekran karşımıza çıkacaktır

clip_image006

Eğer Azure AD Premium hesabınız yok ise bu domain için üst bölümde bir uyarı alabilirsiniz, unutmayın ki Azure Identityprotection bir Azure Active Directory Premium servisinin bileşenidir. Ben şimdi Premium servisinin olduğu bir hesabım ile devam ediyorum

clip_image007

İlk kurulum sonrasında yukarıdaki gibi bir ekran sizi karşılayacaktır ( burada 41 kullanıcı tespit edilmiş durumda, yani benim sistemimde bu kadar aktif kullanıcı yer almaktadır, ama sizin mevcut bulut kullanıcılarınızı hemen tespit edemeyebilir, biraz beklemeniz gerekebilir). Gelin şimdi bu ekranı sizler ile beraber inceleyelim.

Temel olarak aslında 3 bölümden oluşur, Users flagged for risk, Risk events ve Vulnerabilities. Bu ana ekranın hemen sağ tarafında ise Settings yani ayarlar bölümünde Security Policies, Notifications ve multi-factor authentication registration seçenekleri yer almaktadır.

clip_image009

İlk olarak kullanıcı risk seviyesi nedir onu inceleyebiliriz. Tabi ki ortamınızda aktif bir risk olmadığı için benim demo ortamımdaki uyarıları referans alabilirsiniz.

clip_image011

Burada tek bir uyarı var, bende basit bir atak olan anonim ip bloğundan sisteme girdim ve ortalama 5dk sonra bu bilgi ana ekrana yansıdı. Peki kullanıcı risk bölümünde neler olabilir, bunun için bende kaynağımdan aldığım ekran görüntüsünü paylaşacağım, malum o kadar atak yapmak için biraz vakit harcamak gerekli, aşağıdaki ekran görüntüsünde ise yapılmışı var.

clip_image013

Gördüğünüz gibi kullanıcıların karşısında “Risk Level” isminde bir sütun bulunmaktadır. Bu risk seviyesini göstermektedir, hemen sağ tarafında ise risk olayı açıklanmaktadır. Örneğin ilk Medium olarak tanımlanan olay hala Aktif (Status bölümünden görebiliyoruz) ve açıklaması – Sign-ins from anonymous IP addresses. Bunu makalemin ilk sersinde anlatmıştım, tekrar hatırlatmak için tanımı bir kez daha yeniliyorum.

Sign-ins from anonymous IP addresses

Eğer kullanıcı sisteme giriş yapmak için kullandığı ip adresi tor ve benzeri Proxy networklerine ait ise yani anonim bir network ten geliyor ise bu durumda bu olay Medium olarak işaretlenir

İkinci Event yine Medium olarak işaretli ve yine aktif durumdadır, onun açıklaması ise;

Impossible travel to atypical locations

Adından da anlaşılacağı gibi pek mümkün olmayan çoğrafi erişimlerden gerçekleşen erişimlerdir. Yani siz Türkiye den sisteme giriş yapıyor iken bir saat sonra Almanyadan giriş yaparsanız bu normal bir hareket olmaz. Tabiki burada VPN gibi sistemler makine öğrenme teknolojisini yanıltabilir, ancak makine öğrenme teknolojisinin işi de bu aslında, ortalama 2 veya 3 hafta gibi bir sürede kullanıcılarınızın VPN alışkanlıklarını da öğreniyor olması. Bu Medium seviye olarak tanımlanır.

Harry Slate kullanıcısı için aşağıdaki risk olayı da gerçekleşmiş görünüyor,

Sign-ins from infected devices

Malware Protection Center tarafından bot sunucularına bağlanan network ip adresleri sürekli olarak güncellenmektedir, eğer sizin cihazınızda böyle bir network ip adresinden bağlantı gerçekleştiriyor ise bu risk olayı için geçerli bir durumdur. Ancak bu ip bazlı bir doğrulama olduğu için o ip arkasında pek çok temiz cihazda olabilir, bu nedenle bu Low olarak sınıflandırılır.

Risk olaylarını gördük peki bunlara ne yapabiliriz?

clip_image015

Risk olayının en sağ bölümündeki 3 noktaya tıklayınca karşımıza yukarıdaki gibi bir menü çıkmaktadır. ( yada olayın üzerine sağ tıkladığınız da da bu menü çıkacaktır)

Resolve:  Sorun çözülmesi durumunda seçebiliriz.

Mark as false positive: Yanlış bir uyarı olarak işaretlemek için.

Ignore: görmezden gelmek için, bunu seçip bir seferlik görmezden gelebilir bir daha olması durumunda konuya eğilmek isteyebilirsiniz.

Reactivate: Eğer yukarıdaki 3 seçenekten birini seçerek elle risk durumuna müdahale edilir ise bunu tekrar değiştirmek için bu seçeneği kullanabilirisiniz.

Örneğin aşağıdaki gibi durumu ignore ederek kapatmışım

clip_image017

Tekrar Reactive direrek case’ i aktif hale getirebilirim.

clip_image019

Tekrar aktif duruma geçti

Peki kullanıcı risk durumlarında neler yapabiliriz?

1 – Kullanıcı şifresini resetleyebiliriz

2 – User risk security policy yardımı ile güvenli bağlantıya veya bağlantı yasaklamayı zorlayabiliriz

3 – Sorunlu bilgisayarın yeniden kurulması ( infected device)

Kullanıcı şifre resetleme nasıl yapılır?

Kullanıcı üzerine tıkladığımız zaman sağ tarafta açılan yeni pencerenin üst bölümünde şifre resetleme kısa yolunu göreceksiniz

clip_image021

Buna tıkladığınız zaman ise iki seçenek çıkacaktır

clip_image023

Eğer kullanıcının bir sonraki logon işleminde şifresini kendisinin resetlemesini istiyorsanız bunun için MFA kullanıyor olması gereklidir. Eğer bu kutucuğu işaretlerseniz kullanıcı MFA yardımı ile yeni şifresini alabilir.

Eğer kullanıcı MFA kullanmıyor ise bir alt seçenek olan “Generate a temporary password” seçlerek bu şifrenin kullanıcıya ulaştırılması gereklidir.

clip_image025

Bu durumda kullanıcı bu şifre ile kendisine yeni bir şifre atayabilir

clip_image027

 

 

Bundan sonra yapacağımız ilk iş policy set etmek.

User risk security policy

Bir kullanıcı riski güvenlik politikası belirli bir kullanıcı risk düzeyini değerlendirir ve önceden tanımlanmış koşullar ve kurallara dayalı iyileştirme veya hafifletme ( riski şiddetini) eylemleri uygulayan koşullu erişim politikasıdır.

Bunun için öncelikle üst bölümde bulunan “Security Policies” başlığındaki “User risk” durumu varsayılan olarak “Not enabled” durumundadır. Bunun üzerine tıklayarak ayarlara geçiş yapabiliriz.

clip_image028

Tıkladıktan sonra sağ bölümde aşağıdaki gibi bir menü açılacaktır

clip_image029

Burada öncelikle Set scope bölümü altında bu policy’ den etkilenecek kullanıcıları seçmeniz gerekli, bunun için ilgili bölüme tıkladığınız da sağ tarafta yeni bir ekran açılacaktır.

clip_image031

clip_image032

 

Burada istersek turuncu kutucuk içerisindeki gibi tüm kullanıcılar için bu ilkenin geçerli olmasını seçebilirsiniz veya üst bölümdeki artı tuşuna basarak tek tek kullanıcıları seçebilirsiniz.

Ben herkesi etkilemesi için All users – on seçerek devam ediyorum.

Bu ayarı yaptıktan sonra kullanıcılar ile ilgili bölüm aşağıdaki gibi olacaktır

clip_image034

Yine aynı ekranda tüm kullanıcıları veya grupları seçmeniz halinde bu kuralın dışında bırakma istediğiniz kullanıcıları seçeceğiniz bir menü yer alıyor. Bu menü de bir üst menüde olduğu gibi aynı mantık ile kullanıcı veya grup ekleyebiliyorsunuz.

Bunları seçtikten sonra gelelim bu kullanıcılar için atayacağımız policy ayarlarına.

clip_image035

Policy bölümündeki ilk ayar

Set risk level for password change

Eğer kullanıcı güvenlik profili orta seviye ve üstü ise mutlaka şifre değiştirmek zorunda kalacaktır.

Set risk level for blocking sign-in

Eğer kullanıcı güvenlik profili seviyesi yüksek ise bu durumda sisteme giriş yapamayacaktır.

Hemen bir alt bölümde bu policy’ nin aktif olup olmadığını görüyoruz. En alt bölümde ise sizin yapacağınız bu ayarların sonuncunda sahip olduğunuz kullanıcıların bu policy den nasıl etkilendiğini görebiliyoruz.

Sign-in risk security policy

Bir oturum açma riski politikası belirli bir oturum açma riskini değerlendirir ve önceden tanımlanmış koşullar ve kurallara dayalı azaltıcı etkenleri uygulayan koşullu erişim politikasıdır.

clip_image037

Buradaki ayarlar da bir önceki policy de olduğu gibi benzer şekilde yapılandırılmaktadır.

Set risk level for multi-factor authantication

Belirleyeceğiniz seviye ve üstünde bir riske sahip oturum açma olayı tespit edilir ise bu oturum açma işleminin MFA ile yapılmasına zorlar.

Set risk level for blocking sign-in

Belirleyeceğiniz veya üstündeki bir riske sahip oturum açma olayları tespit edilir ise bu oturum açma işlemi engellenecektir.

Enable policy

Yaptığınız bu ilkenin aktif olup olmadığının belirlendiği ayardır.

Review impact

Yaptığınız bu değişiklikler sonucunda mevcut kullanıcılarınızın nasıl etkileneceğinin raporudur.

Evet bu iki temel policy sonrasında artık son bir ayarımız kaldı. MFA. Evet tanımladığımız policy’ lerde MFA şartı koştuk peki bunu gerçekleştirmeden önce kullanıcılarımızı hali hazırda MFA kullandırıyor olsak nasıl olur?

Bunun için MFA ayarlarını tanımlayabilirsiniz

clip_image039

Örneğin bende şu anda bu policy açık değil, 6 tane kullanıcım var bunlardan bir tanesi zaten kayıtlıymış. Benim amacım geriye kalan tüm kullanıcıların da sisteme girerken MFA kullanmalarını istemek olacaktır. Bunun için öncelikle kullanıcıları seçiyorum ve daha sonra bu ilkeyi aktif ediyorum, hemen üstündeki “Number of allowed skip days” değerini ise 30 yapıyorum. Yani MFA olmadan 30 gün boyunca kullanıcılar sisteme girebilecek, 30 gün bunu görmeden gelebilecek ama 30 günün sonunda mutlaka MFA kaydını yapmak zorunda. Bu gün ayarı sizin şirket ihtiyaçlarınıza göre değişmek ile birlikte en fazla 30 gün seçilebilmektedir.

clip_image041

Peki, bu ayarı yaptıktan sonra kullanıcı tarafında ne oluyor? Kullanıcı logon olurken aşağıdaki gibi bir ekran karşılıyor kendisini

clip_image043

İsterse “Skip” diyerek logon işlemine 30 gün boyunca devam edebilir, yada “Set it up now” diyerek aşağıdaki adımları gerçekleştirir.

clip_image045

Yani isterse kendisinin aranmasını, isterse sms atılmasını isterse soft token dediğimiz bir yöntemi seçebilir.

Evet, makalemin bu bölümünün sonuna geldim. Bir sonraki bölümde temel bilgilendirme ve örnek risk olaylarının örneklerini paylaşacağım.

Kaynak

https://azure.microsoft.com/en-us/documentation/articles/active-directory-identityprotection/#sign-in-risk-mitigation-flows

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu