Windows Client

Windows Defender Advanced Threat Protection WDATP Kullanımı – Microsoft Defender Advanced Threat Protection – MDATP – Microsoft Defender ATP

Bundan önceki makalemde genel olarak WDATP özelliklerinden ve agent yükleme işlemlerinden bahsetmiştim. Bu makalemde ise agent dağıtımı sonrasında artık W10 makinelerinizi WDATP konsolu üzerinden nasıl takip edebilirsiniz konusunda bilgi vereceğim.

Öncelikle aşağıdaki link üzerinden hesabınıza erişebilirsiniz

https://securitycenter.windows.com/

Kullanıcı kimlik bilgilerini girdikten sonra aşağıdaki gibi bir konsol sizi karşıyalacaktır

clip_image002

Aslında daha geniş bir ekran göreceksiniz ancak ben her bölümü parça parça anlatacağım için ATP alerts bölümünü aldım ilk olarak.

Konsole giriş yaptığınız zaman sol tarafta 5 ana link yer almaktadır.

Dashboard hepimizin bildiği gibi ana rapor ekranımız.

Aler Queue bölümünde ise günce ve geçmiş uyarıları takip edebiliyoruz.

clip_image004

Machines Viewe bölümünde ise ATP ye bilgi gönderen yani izlediğimiz makinelerin durumunu görebililiyoruz

clip_image005

Preferences Setup bölümünde ise hesabımız ile ilgili temel ayarları gerçekleştirebiliyoruz

clip_image007

Öncelikle verilerin hangi lokasyonda saklanacağına, verilerin saklanma süresine, organizasyonunuzun büyüklüğüne ve hangi sektörde olduğuna dair seçenekleri değiştirebiliriyoruz.

Son olarak Endpoint Management bölümünde ise W10 makineleriniz için ATP alt yapısına bağlanması veya bağlantı halinde olan istemcilerin koparılması için farklı dağıtım paketlerine ulaşabilirsiniz.

clip_image009

Peki tekrar ana ekrana dönelim;

Öncelikle alert kısmı çok önemli, bu bölümden hızlı bir şekilde hangi bilgisayarda ne zaman nasıl bir atak olduğunu rahatlıkla görebiliriz.

clip_image010

Örneğin burada 20 ağustos tarihinde çok ciddi bir atak olmuş ve hemen onun üstüne tıklayabilirsiniz

clip_image012

Atak hakkında detaylı bilgi yer almaktatır. Sağ bölümde ise öneriler yer almaktadır.

Biraz alt bölüme indiğimiz zaman ise hangi dosyanın buna sebep olduğunu görebiliriz

clip_image013

Dahası o anda bu dosya üzerine tıklayıp acaba bu dosya başka hangi bilgisayarlarda benzer bir aktivite yapmış onu görebiliriz

clip_image015

Dosyanın bir nevi geçmişini kontrol ediyoruz. Yani zaman geçmişine bakıp nerelerde aktif olduğunu görebiliriz. Bu dosya sadece demo-abby-lap makinesinde aktifmiş ki bu iyi bir durum.

Peki bu dosya neler yapmış onu kontrol edelim.

Şimdi Machine Viewe bölümünden ilgili makinemizin üzerine tıklayalım

clip_image017

Bu makine için tüm hareketlilikleri kontrol edebiliriz. Yine alt bölüme bakıyoruz

clip_image019

Yukarıdaki ekranda da gördüğümüz gibi her şey kullanıcının bu keygen i çalıştırması ile başlamış. Sonrasında ise bir dizi işlemler, dosya oluşturmalar, gizlemeler, kayıt defteri değişiklikleri hepsini detaylı bir şekilde görebiliyorsunuz.

Bu bölümü sadece sorunlu PC’ ler için değil örneğin benim sağlıklı çalışan yani kötü içerikli kod içermeyen makinem içinde kontrol edebiliriz;

clip_image021

Yukarıda gördüğünüz gibi hangi exe nin nereye bağlandığını kontrol etme şansına sahipsiniz.

Herhangi bir IP nin üzerine tıklayarak o ip hakkında bilgi de alabilirsiniz

clip_image022

Konsolumuzdaki diğer ekranları da hızlı bir şekilde özetlemek isterim;

clip_image023

Alert ekranın sağ tarafından yer alan Machines at risk bölümü temel olarak izlenmekte olan makinelerden sorunlu olanları gösterir.

Hemen alt bölümdeki Status ekranı ise servisin durumu ve toplam kaç makineden rapor aldığıınızı gösterir.

clip_image025

En altta yer alan ekranlarda ise makine rapor günlüğü ve aktif bir kötü içerikli kod tehtidi bölümlerini görebilirsiniz.

Böyle bir üründe tabiki raporlama çok önemlidir, ancak daha önemlisi uyarılar.

clip_image026

Uyarılar otomatik olarak oluşmakta olup büyük bir ortam için bazen bunların yönetimi zor olabilir. Yani bir uyarı geldiğinde o anda eğer ilgili makinede bir pentest yapılıyor ise veya başka harici durumlar söz konusu ise bazı aksiyonlar almanız gerekebilir.

Bir uyarı için sağ bölümde bulunan 3 noktaya tıkladığınız zaman aşağıdaki gibi bir menü açılır;

clip_image027

Bu uyarı üzerinde çalışılan bir konumda ise ona almanız gerekli ki sizden başka güvenlik uzmanı var ise bunu ayrıca rapor etmesin. Veya sorun çözüldü ise bir altındaki Resolved seçeneğini seçmeniz gerekli

clip_image028

Bu durumda 3 seçeneğiniz oluyor, evet bu gerçekten bir tehtiddi, bu bir tehtid ama şirket iç güvenlik politikasına uygun yada bu doğru bir tespit değil şeklinde seçeneklerimiz bulunmaktadır.

Bunlara ek olarak iki tane Suppress seçeneğimiz yer almaktadır.

Suppress alert on this machine

Eğer bu makinede birileri pentest yapıyor, yada geliştirme işlemleri için bir takım denemeler yapılıyor ya da benzeri bir harici tutma ihtiyacı var ise gelen alert üzerinde bu seçenek seçilir ise artık aktif olarak alert kuyruğunda görünmez. Ancak bu durumda sadece ilgili makine için geçerli olup örneğin bu uyarı yani saldırı başka bir makinede görünür ise bu durumda aktif alert olarak sisteme düşecektir.

Suppress alert in my organization

Yukarıdakine benzer bir durum eğer makine bazında değilde organizasyon bazında olacak ise, yani bildiğiniz bir komut seti dağıtımı, uygulama vb var ve bu alert üretiyor ise bunu organizasyon bazında bastırabilirsiniz.

Not: daha sonra bu tanımladığınız kuralları görmek veya silmek için üst menüden yer alan ayarlardan “Suppression rules” kısmına tıklayarak bu kuralları görebilirsiniz.

clip_image029

Ek olarak uzun süreli bir sorun ile karşı karşıya kalmanız durumunda bu uyarılar için yorumlar ekleyebilir ve bunu daha sonra siz yada bir başkası kontrol edebilir

clip_image030

clip_image031

Peki bir atak tespit edildiği zaman sistem nasıl tepki veriyor. Hızlı bir şekilde W10 makinelerimden biri üzerinde mimkatz ile yerel bir atak yaptım;

clip_image032

ATP konsolunda ise anında bunun uyarısını görebildim

clip_image033

Detayları ise aşağıdaki gibidir;

clip_image035

clip_image036

clip_image038

clip_image040

Gördüğünüz gibi atağın tüm detaylarını rahatlıkla inceleyebiliyorum.

Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu