Müşteri Gereksinimi
Kurumsal kaynaklara ve hassas bilgilere erişim sağlamak için saldırganların öncelikli hedefi ayrıcalıklı kullanıcı kimlik bilgilerini ele geçirmektir. Ayrıcalıklı kullanıcı hesapları, yönetici haklarına veya kök ayrıcalıklarına sahip kullanıcılar ve yükseltilmiş ayrıcalıklara sahip hesaplardır. Etkili ayrıcalıklı kullanıcı izleme, kuruluşların kritik varlıkları korumasını sağlamakta önemli bir rol oynar. Ek olarak uyumluluk gereksinimlerinin karşılanmasına ve hem dış tehditleri hem de içeriden gelen tehditlerin azaltılmasına yardımcı olur.
Ayrıcalıklı Kullanıcı Hesaplarını nasıl izleyebilir ve yönetebilirim?
Kimlik sunucularından veya Active Directory (AD) veya LDAP gibi dizin sunucularından gelen verilerin yapılandırılması ve öncelikli hedef olarak belirlenmesi gerekmektedir. Kullanıcı kimlik bilgileri ve kullanıcı haklarını günlük olarak hak yükseltme veya yeni kullanıcı oluşturma olaylarının takip edilmesi gerekmektedir. İlgili Kullanıcı hesap adlarının, hesap kategorilerinin, departmanın ve diğer ilişkili bilgilerin bir kimlik verileriyle listesinin oluşturulması gerekmektedir.
Ayrıcalıklı erişim haklarının uygun aralıklarla (ayda en az bir kez) gözden geçirilmesi ve ayrıcalıklı izinler atamasının düzenli olarak gözden geçirilmesi gerekmektedir. Dosyalara ve veri tabanlarına olan (yerel sistem erişimi dahil) tüm ayrıcalıklı kullanıcı erişimlerinin izlenmesi gerekmektedir. Kritik ayrıcalıklı kullanıcı değişikliklerinin alarm mekanizmaları Mail-SMS oluşturularak ilgili BT yöneticileri ile anlık olarak paylaşılması gerekmektedir.
Logsign SIEM’in Ayrıcalıklı Kullanıcı Hesabı İzleme ve Yönetimi İçin Yardımcı Olabileceği 7 Yol;
1- Korelasyon işlemleri ile davranış analizi yapılarak kullanıcı Attacker, Victim, Suspicious olarak etiketlenebilir.
2- Dashboardlar üzerinde zaman içinde ayrıcalık kullanıcı hesaplarında oluşan toplam olay sayısı gösterilir. Bu rapor normal ayrıcalıklı hesap kullanım şeklini belirtir ve olağandışı veya beklenmedik aktiviteleri tanımlar.
3- Dashboard üzerinde belli bir zaman dilimi boyunca kullanılan ayrıcalıklı hesapların oturum açmak için kaç kez kullanıldığını görülür.
4- Dashboard üzerinde kullanıcıların anlık görüntüsü sağlanır. Bu gösterge tablosunda, hesap adları, hesap kategorileri, departman ve diğer ilişkili bilgilerin bir listesini içeren kimlik verileri panelleri bulunur.
5- Ayrıcalıklı kullanıcıların etkinlikleri hakkında daha fazla bilgi edinmek için kritik hareketleri tespit etmek amacıyla korelasyon tanımları oluşturabilir. Örneğin, bir kullanıcı bir uygulamaya aynı anda birden fazla ana bilgisayardan kimlik doğrulaması yapmaya çalışırsa erişimi raporlayan bir korelasyon araması oluşturabilir.
6- Ayrıcalıklı bir kullanıcının “x.xxx” ile bir alana büyük bir dosya yüklediğini izleyebilirsiniz. Erişim ve kimlik bilgileri kullanarak korelasyon aramaları oluşturulabilir.
7- Sonuçlar ayrıca ilgili BT yöneticileri ile paylaşılarak Mail- SMS şeklinde alarm mekanizmaları oluşturulur.