Microsoft Ata siber saldırı ve tehditler için bir geliştirilen bir yazılımdır. ATA domain içerisinde bütün bilgisayarlar ve kullanıcılar üzerinden bilgi toplar ve bu bilgileri yapay zeka kullanarak işleme yapar. Domain üzerinde olabilecek bir çok şüpheli etkinliği tespitini yapar ve bizlere raporlar.
Ata üzerinden yapılabilecekler çok fazladır . Bir kaç örnek verecek olursak, Kullanıcıların yaptıkları anormal hareketler buna örnek olabilir. Kullanıcı her gün A bilgisayarında oturum açmaktadır. 15 gün sonra B bilgisayarından 10 tane kaynağa erişim sağlarsa ata bunu bir anormal hareket olarak nitelendirir. Domain üzerindeki anormal hareketler ise çok fazla örnek sunmaktadır. Kerberos Ticket Stolen dan tutun Pass the ticket gibi bir çok güvenlik meselesine bizlere haber vermektedir.
Ayrıca Ata kullanıcıların risk haritalarını bizlere çıkarmaktadır. Bu risk haritalarına göre hangi vektörlerden attack alabileceğinizi sizlere detaylı olarak sunmaktadır. Domain seviyesinde kritik hesapları izleyebileceğiniz , sensitive hesapların activitiyleri , honeytoken kullanabileceğiniz bir yazılımdır.
Öncellikle sizlerle kurulumunu ve daha sonra içeriğini inceleyeceğiz.
Kurulum
Ata kurulum iso dosyasını çalıştırıyoruz.
Hangi path’e kurulacak seçimi yapıyoruz.
İLK AYARLAR
Masaüstü simgesi olarak sizlere bir ATA Console atar. Buna tıklayınız. Zaten Ata sizleri yönlendirecektir. Öncellikle sizden active directory’e bağlanmak için bir tane user ister. Bu user için herhangi bir yetkiye ihtiyaç yoktur Domain user olması yeterlidir.
kullanıcıyı girip test yapıyoruz.
Gateway setup butonuna tıklayarak Domain Controller makinelere kuracağımız dosyamızı indiriyoruz.
Domain Controller’a kurulum yaptıktan sonra service status running olarak görmemiz gerekmektedir.
Burası en kritik ayarlarından biridir. Honey token kötü niyetli kişilerin bu hesapları kullanıp kullanmadıklarını görmek için ayrıca honey token hesabının her türlü etkinliği için bizleri uyarır.
Honey tokena sizin için en kritik hesapları ekleyebilirsiniz. Sensitive hesaplar ve gruplar içine ekleyeceğiniz kişiler ve gruplarda sizler için önemli ve hareketlerini takip etmek istediğiniz hesaplar olacaktır.
Mail server ve syslog özelliğide vardır. Ayrıca exclusion özelliğini kullanarak bazı bildiğiniz kullanıcılara ait hataları exclusion edebilirsiniz.
ATA kurulumunu yaptıktan sonra Active directory’un büyüklüğüne göre 10 ile 15 gün atanın öğrenmesini beklemeniz gerekmektedir. 15 gün sonunda daha iyi sonuçlar abilirsiniz.
Daha sonra Microsoft ATA üzerinden Reports kısmından çok güzel raporlar görebilirsiniz. Sensitive gruplarda olan değişikler , Cleartext passwordlar , Lateral Movements gibi raporları görebilmekteyiz. Ayrıca kullanıcıların Lateral Movements kısmını attack vektörlerini görebilmekteyiz. Ata ile ilgili atak şekillerini öğrenmek için tıklayınız.
Active Directory ile ilgili güvenlik yazılarımıza aşağıdaki kategorilerden ulaşabilirsiniz.