Microsoft 365'te Kötü Niyetli AI ajanları ve Kimlik Tehditlerine Karşı Güvenlik Sağlama

Kötü niyetli AI ajanları, geleneksel güvenlik perimetrelerini aşarak meşru kullanıcı kimliklerini taklit edebilir. Bu makalede, Microsoft 365 ortamınızı korumak için gerekli adımlar ve en iyi uygulamalar detaylandırılmaktadır.

4
4sysops
1 görüntülenme
Microsoft 365'te Kötü Niyetli AI ajanları ve Kimlik Tehditlerine Karşı Güvenlik Sağlama

Giriş

Günümüzde kuruluşlar, Microsoft 365 ortamlarında giderek artan bir tehditle karşı karşıyadır: kötü niyetli AI ajanları. Bu ajanlar, geleneksel güvenlik kontrollerini atlatmak için meşru kullanıcı kimliklerini taklit ederek sürekli arka plan erişimi elde edebilirler. Bu tehditler, özellikle kimlik tabanlı saldırılar ve yetkisiz uygulama erişimleri yoluyla gerçekleşmektedir. Bu makalede, Microsoft 365'teki bu tehditleri tanımlamak, tespit etmek ve önlemek için gerekli adımlar detaylandırılacaktır.

Tehdidin Tanımı ve Etkileri

Kötü Niyetli AI Ajanları Nedir?

Kötü niyetli AI ajanları, genellikle otomatikleştirilmiş sistemler veya makine öğrenimi tabanlı araçlar olarak tanımlanır. Bu ajanlar, aşağıdaki yöntemlerle Microsoft 365 ortamına sızabilirler:

  • Yönetilmemiş kullanıcı onayı (unmanaged user consent): Kullanıcıların onay vermeden uygulamalara erişim sağlaması.
  • Eski kimlik doğrulama akışlarının istismarı: Cihaz kodu (device-code) ve Kaynak Sahibi Parola Kimlik Bilgileri (Resource Owner Password Credentials - ROPC) gibi akışların kötüye kullanılması.
  • Birinci taraf uygulama kimliklerinin çalınması: Meşru uygulamaların kimlik bilgilerinin ele geçirilmesi ve kötü niyetli ajanlar tarafından kullanılması.

Tehdidin Belirtileri

Bu ajanlar, aşağıdaki özellikleri nedeniyle tespit edilmesi zor tehditlerdir:

  • Microsoft Entra'da iz bırakmama: Kötü niyetli ajanlar, birinci taraf uygulama kimliklerini kullanarak hizmet sorumlusu (service principal) olarak görünürler ve standart kullanıcı aktivitesinden ayırt edilemezler.
  • Sürekli arka plan erişimi: Bu ajanlar, sistemde sürekli olarak çalışabilir ve normal kullanıcı aktivitesine benzer şekilde hareket edebilirler.
  • Gizli veri sızdırma: Kuruluşun verilerini, kimlik bilgilerini veya diğer hassas bilgileri dışarıya sızdırabilirler.

Tehdit Tespiti ve İzleme

Microsoft 365'te Tehdit Tespiti

Microsoft 365, çeşitli araçlar ve özellikler sunarak bu tehditlerin tespit edilmesine yardımcı olur. Aşağıdaki adımlar, tehditlerin erken tespiti için kullanılabilir:

  1. Microsoft Defender for Office 365: Bu hizmet, şüpheli e-posta ve dosya aktivitelerini izleyerek kötü niyetli ajanların tespit edilmesine yardımcı olur.
    # Microsoft 365 Defender portalında tehdit arama
    1. [https://security.microsoft.com](https://security.microsoft.com) adresine gidin.
    2. "Threat management" (Tehdit yönetimi) bölümüne tıklayın.
    3. "Explorer" (Keşif) sekmesine geçin ve şüpheli aktiviteleri filtreleyin.
    
  2. Microsoft Entra ID Koruma: Bu özellik, anormal kimlik doğrulama aktivitelerini tespit eder ve uyarılar gönderir.
    # Microsoft Entra ID Koruma raporlarını görüntüleme
    1. [https://entra.microsoft.com](https://entra.microsoft.com) adresine gidin.
    2. "Protection" (Koruma) bölümüne tıklayın.
    3. "Identity Protection" (Kimlik Koruma) sekmesine geçin ve raporları inceleyin.
    
  3. Microsoft Sentinel: Gelişmiş tehdit tespiti ve yanıt için kullanılan bir SIEM çözümü olan Microsoft Sentinel, kötü niyetli ajanların aktivitelerini izleyebilir.
    # Microsoft Sentinel'de tehdit sorgusu oluşturma
    1. [https://portal.azure.com](https://portal.azure.com) adresine gidin.
    2. "Microsoft Sentinel" hizmetini açın.
    3. "Logs" (Kayıtlar) bölümüne geçin ve aşağıdaki sorguları çalıştırın:
    kql
    SecurityEvent
    | where EventID == 4625 // Başarısız kimlik doğrulama girişimi
    | where TimeGenerated > ago(7d)
    | summarize count() by Account, IPAddress
    
    

Uyarı ve Bildirimlerin Yapılandırılması

Tehditlerin erken tespiti için aşağıdaki uyarı ve bildirimler yapılandırılmalıdır:

⚠️ Önemli: Microsoft Entra ID Koruma ve Microsoft Defender for Office 365 gibi hizmetlerdeki uyarıları düzenli olarak kontrol edin. Anormal aktivitelerde anında müdahale etmek için otomatik bildirimler ayarlayın.

Koruma ve Önleme Stratejileri

Kimlik ve Erişim Yönetimi

Aşağıdaki adımlar, kötü niyetli AI ajanlarının Microsoft 365 ortamına erişimini önlemek için uygulanmalıdır:

  1. Çok Faktörlü Kimlik Doğrulama (MFA) Zorunluluğu: Tüm kullanıcıların Microsoft 365'e erişiminde MFA kullanımını zorunlu hale getirin.
    # MFA zorunluluğunu etkinleştirme
    1. [https://entra.microsoft.com](https://entra.microsoft.com) adresine gidin.
    2. "Protection" (Koruma) bölümüne tıklayın.
    3. "Multi-Factor Authentication" (Çok Faktörlü Kimlik Doğrulama) sekmesine geçin.
    4. "Users" (Kullanıcılar) bölümünde MFA'yı zorunlu hale getirin.
    
  2. Uygulama Onay Politikaları: Kullanıcıların uygulamalara erişimini kontrol etmek için uygulama onay politikaları oluşturun.
    # Uygulama onay politikası oluşturma
    1. [https://entra.microsoft.com](https://entra.microsoft.com) adresine gidin.
    2. "Applications" (Uygulamalar) bölümüne tıklayın.
    3. "Enterprise applications" (Kurumsal uygulamalar) sekmesine geçin.
    4. "Consent and permissions" (Onay ve izinler) bölümünde politikaları yapılandırın.
    
  3. Geleneksel Kimlik Doğrulama Akışlarının Devre Dışı Bırakılması: Cihaz kodu ve ROPC gibi eski kimlik doğrulama akışlarını devre dışı bırakın.
    # Geleneksel kimlik doğrulama akışlarını devre dışı bırakma
    1. [https://entra.microsoft.com](https://entra.microsoft.com) adresine gidin.
    2. "Protection" (Koruma) bölümüne tıklayın.
    3. "Authentication methods" (Kimlik Doğrulama Yöntemleri) sekmesine geçin.
    4. "Policies" (Politikalar) bölümünde geleneksel akışları devre dışı bırakın.
    

Uygulama ve Hizmet Sorumlusu Yönetimi

Kötü niyetli ajanların birinci taraf uygulama kimliklerini kullanmasını önlemek için aşağıdaki adımlar uygulanmalıdır:

  1. Uygulama Kimliklerinin Denetlenmesi: Tüm uygulama kimliklerini düzenli olarak denetleyin ve bilinmeyen kimlikleri kaldırın.
    # Uygulama kimliklerini listeleme
    1. [https://entra.microsoft.com](https://entra.microsoft.com) adresine gidin.
    2. "Applications" (Uygulamalar) bölümüne tıklayın.
    3. "App registrations" (Uygulama kayıtları) sekmesine geçin.
    4. Tüm uygulamaları listeleyin ve bilinmeyenleri kaldırın.
    
  2. Hizmet Sorumlularının İzlenmesi: Microsoft Entra'daki hizmet sorumlularını izleyin ve yetkisiz aktiviteleri tespit edin.
    # Hizmet sorumlularını listeleme
    1. [https://entra.microsoft.com](https://entra.microsoft.com) adresine gidin.
    2. "Enterprise applications" (Kurumsal uygulamalar) bölümüne tıklayın.
    3. Tüm hizmet sorumlularını listeleyin ve yetkisiz olanları kaldırın.
    

Olay Müdahalesi ve Kurtarma

Tehdit Tespiti Sonrası Adımlar

Bir kötü niyetli AI ajanının tespit edilmesi durumunda aşağıdaki adımlar izlenmelidir:

  1. Tehdidin Kapatılması: Kötü niyetli ajanla ilişkili tüm uygulamaları, kimlikleri ve erişimleri derhal kaldırın.
    # Uygulama ve kimlikleri kaldırma
    1. [https://entra.microsoft.com](https://entra.microsoft.com) adresine gidin.
    2. "Applications" (Uygulamalar) bölümüne tıklayın.
    3. Tehditle ilişkili uygulamaları bulun ve kaldırın.
    4. "Users" (Kullanıcılar) bölümünde yetkisiz aktiviteleri gerçekleştiren kullanıcıları devre dışı bırakın.
    
  2. Güvenlik Açığının Kapatılması: Tehdidin nasıl gerçekleştiğini araştırın ve güvenlik açıklarını giderin.
    # Güvenlik açığını araştırma
    1. Microsoft Sentinel veya Defender for Office 365'teki olay kayıtlarını inceleyin.
    2. Kötü niyetli ajanın nasıl erişim sağladığını belirleyin.
    3. Gerekli düzeltmeleri uygulayın (örneğin, MFA zorunluluğunu artırma, uygulama onay politikalarını sıkılaştırma).
    
  3. Kurumsal Farkındalığın Artırılması: Kullanıcıları ve BT ekiplerini bu tür tehditler hakkında bilgilendirin.
    # Kullanıcı eğitimi
    1. Kullanıcılara kimlik avı saldırıları ve kötü niyetli uygulamalar hakkında eğitim verin.
    2. Güvenlik en iyi uygulamalarını paylaşın (örneğin, bilinmeyen uygulamalara izin vermeme).
    

Kurtarma Süreci

Bir saldırı sonrasında sistemin normale döndürülmesi için aşağıdaki adımlar izlenmelidir:

  1. Veri ve Hizmetlerin Geri Yüklenmesi: Saldırı sonrasında verilerin ve hizmetlerin bütünlüğünü doğrulayın ve gerekirse geri yükleyin.
  2. Güvenlik Politikalarının Gözden Geçirilmesi: Mevcut güvenlik politikalarını gözden geçirin ve gerekli iyileştirmeleri yapın.
  3. Sürekli İzleme ve Denetim: Sistemdeki aktiviteleri sürekli olarak izleyin ve denetleyin.

En İyi Uygulamalar ve Öneriler

Genel Güvenlik Önerileri

💡 İpucu: Microsoft 365'teki güvenliği artırmak için aşağıdaki en iyi uygulamaları uygulayın:

  • Tüm kullanıcılar için Çok Faktörlü Kimlik Doğrulama (MFA) kullanımını zorunlu hale getirin.
  • Uygulama onay politikalarını sıkılaştırın ve bilinmeyen uygulamalara izin vermeyin.
  • Geleneksel kimlik doğrulama akışlarını devre dışı bırakın.
  • Microsoft Entra'daki hizmet sorumlularını ve uygulama kimliklerini düzenli olarak denetleyin.
  • Microsoft Defender for Office 365 ve Microsoft Entra ID Koruma gibi hizmetlerdeki uyarıları düzenli olarak kontrol edin.

Otomasyon ve Sürekli İzleme

Güvenlik tehditlerine karşı sürekli bir koruma sağlamak için otomasyon ve sürekli izleme önemlidir. Aşağıdaki araçlar ve yöntemler kullanılabilir:

  • Microsoft Sentinel: Gelişmiş tehdit tespiti ve yanıt için kullanılan bir SIEM çözümü.
  • Microsoft Defender for Cloud Apps: Bulut uygulamalarındaki tehditleri tespit eder ve yanıt verir.
  • Otomatik Uyarı ve Bildirimler: Güvenlik olaylarına otomatik olarak yanıt vermek için uyarı ve bildirimler yapılandırın.

Sonuç

Kötü niyetli AI ajanları ve kimlik tehditleri, Microsoft 365 ortamlarında ciddi bir risk oluşturmaktadır. Bu tehditlere karşı etkili bir koruma sağlamak için kimlik ve erişim yönetimi, uygulama ve hizmet sorumlusu yönetimi, sürekli izleme ve olay müdahalesi gibi adımlar atılmalıdır. Bu makalede sunulan yöntemler ve en iyi uygulamalar, Microsoft 365 ortamınızı bu tehditlere karşı daha güvenli hale getirecektir. Unutmayın ki güvenlik, sürekli bir süreçtir ve tehditler gelişmeye devam ettikçe, koruma stratejilerinizi de güncellemelisiniz.

Kaynaklar

Kaynak

4sysops