Şimdi yükleniyor
Bilgi Güvenliği Eğitim Genel Nasıl Yapılır? , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Suspected Compromised Accounts — Anomali Tespiti

Amaç: Hesap ele geçirilmesini erken tespit etmek, hızlı müdahale etmek ve lateral hareketi engellemek.

1) Hangi durumlar “şüpheli hesap” işaretidir? (Göstergeler / IOCs)

  • Aynı kullanıcıdan kısa sürede farklı coğrafi lokasyonlardan başarılı oturum (impossible travel).
  • Arka arkaya başarısız oturum denemeleri → ardından başarılı oturum (password spray / credential stuffing).
  • Olağandışı saatlerde (gece yarısı vb.) ilk kez veya artan oturum aktivitesi.
  • Kullanıcının normalinde olmayan kaynaklara erişim (ör. finans sunucusu, HR dosyaları).
  • Kullanıcının daha önce erişmediği büyük miktarda veri indirmesi / paylaşıma açması.
  • Hesabın grup üyeliklerinde ani değişiklik (örn. Domain Admin’e eklenme).
  • MFA onaylarını reddeden veya çok sayıda MFA isteği üretmesi.
  • Şüpheli süreçler başlatılması (PowerShell, RDP, Mimikatz benzeri davranışlar) bir kullanıcı hesabı üzerinden görülmesi.
  • Bilinmeyen/new device ile ilk kez oturum (özellikle privilege hesaplarda).
  • Hesaba ait e-posta yönlendirme ya da otomatik cevap kuralları oluşturulması.

2) İzlenecek log kaynakları (kritik veri kaynakları)

  • Authentication logs (AD/Kerberos/NTLM/O365/AzureAD)
  • VPN / Proxy / VPN concentrator logları
  • VPN & RDP oturum kayıtları
  • EDR/Endpoint telemetri (process creation, parent-child ilişkisi)
  • Firewall / Proxy trafik logları (download, upload)
  • Mail gateway logları (mail forwarding, outbound spikes)
  • SIEM korrelasyon sonuçları
  • Cloud access logs (AWS CloudTrail, AzureActivity)
  • PAM / Privileged access logs
  • Identity Provider (IdP) / SSO logları

3) Tespit (Detection) yöntemleri ve örnek kurallar

Aşağıda hem mantık hem de örnek SIEM/ARA sorguları yer alıyor. (Kurumunuzun SIEM ürününe göre uyarlayın.)

A) İmpossible travel (Kısa süre içinde farklı ülkeler)

  • Mantık: Aynı kullanıcı için iki başararlı oturum; aradaki süre coğrafi hızla travel edilemeyecek kadar kısa.
  • Kural: If successful_login(user) from country A AND successful_login(user) from country B within < 2 hours AND distance(A,B) > X km → alert.
  • Örnek (KQL – Azure Sentinel):
SigninLogs
| where ResultType == 0
| project TimeGenerated, UserPrincipalName, IPAddress, Location = tostring(Location)
| sort by TimeGenerated asc
| extend PrevTime = prev(TimeGenerated), PrevIP = prev(IPAddress), PrevUser = prev(UserPrincipalName)
| where UserPrincipalName == PrevUser and datetime_diff('hour', TimeGenerated, PrevTime) < 2 and Location != prev(Location)
  • Sigma (generic): yazılabilir / CI/CD ile SIEM’e entegre edilir.

B) Fail-then-success pattern (password spray / brute force indicator)

  • Mantık: X adet başarısız login, ardından başarı.
  • Threshold önerisi: 5 başarısız deneme içinde 1 başarılı → alert.
  • Splunk örneği (basit):
index=auth sourcetype=wineventlog:security (EventCode=4625 OR EventCode=4624)
| stats count(eval(EventCode=4625)) as failed, count(eval(EventCode=4624)) as success by Account, _time span=1h
| where failed >= 5 AND success >= 1

C) Anormal veri çıkışı / büyük download

  • Mantık: Bir kullanıcı normalin üstünde outbound veri transferi yapıyorsa (ör. gece büyük zip dosyası).
  • Firewall/Proxy raporu: kullanıcı bazında son 24 saatteki toplam upload > X MB → alert.

D) Yeni admin grup üyeliği / privilege escalations

  • Mantık: AD group membership change where group in (Domain Admins, Enterprise Admins, Administrators).
  • AD log örneği (Windows Event 4728/4732):
index=wineventlog EventCode=4728 OR EventCode=4732
| where MemberOf in ("Domain Admins","Enterprise Admins")

E) Anormal process on endpoint (EDR)

  • Mantık: PowerShell child of explorer.exe, or wmic, rundll32 with base64 commands → alert.
  • EDR rule: detect encoded commands, LOLBins usage from uncommon accounts.

F) MFA bypass attempts

  • Mantık: Çok sayıda MFA prompt rejection veya MFA set değişiklikleri.
  • IdP logları: alert when user registers new MFA device + password change within short window.

4) Önceliklendirme (Alert triage)

  • P1 (Kritik): Admin account compromise indicators (group add, admin login from foreign IP, creds exfil)
  • P2 (Yüksek): Non-admin account with impossible travel OR large data exfil attempts
  • P3 (Orta): Fail-then-success patterns with limited scope
  • P4 (Düşük): Single anomalous event needing izleme

5) Hızlı Müdahale (Playbook — ilk 10 adım)

(Bu adımlar otomatikleştirilebilir; playbook’u PAM/SOAR ile bağlayın.)

  1. Alert doğrulama: SIEM/EDR loglarını ve raw auth loglarını topla; false positive kontrolü.
  2. Kapsam belirleme: Hangi sistemler, hangi kaynaklar, hangi zaman aralığı?
  3. İzolasyon (containment): Şüpheli oturumları sonlandır; gerekirse cihazı ağdan izole et. (Priorite: admin hesaplar için hızlı izolasyon.)
  4. Parola & MFA reset: İlgili hesabın parolası hemen sıfırlanmalı; MFA yeniden konfigüre edilmeli. (PAM varsa geçici erişim ver, audit et.)
  5. Endpoint taraması: EDR ile tam tarama ve şüpheli süreç/indikatorların incelenmesi.
  6. Kayıtların korunması: İlgili sunucular/endpointler için tam log çekimi, EDR snapshot, hafıza (memory) image alma gerektiğinde.
  7. İz sürme (hunt): Lateral movement araması: açık RDP bağlantıları, SMB access, remote scheduled tasks, yeni servis hesapları.
  8. Kötü amaçlı içerik temizliği / reimaj: Infected cihazların reimage edilmesi; temizleme sonrası doğrulama.
  9. İç/dış iletişim: Gerekiyorsa üst yönetim, hukuk, KVKK/Regulatory bildirimleri, müşteri iletişimi başlatılır.
  10. Lessons learned: Olay kapanınca rapor, root cause analizi, kontrol değişiklikleri (ör. MFA zorunlu, kural güncelleme).

6) Kanıt (Forensics) toplama esası

  • Logların tam zamanlı eksportu (SIEM raw, AD logs, VPN logs).
  • EDR snapshot ve memory image (volatile data).
  • Hash’lerin alınması; dosyaların saklanması.
  • Chain of custody belgelemesi (kim, ne zaman aldı).

7) Önleyici Tedbirler (short & long term)

  • MFA zorunlu (özellikle kritik hesaplar ve uzak erişim).
  • PAM ile ayrıcalıklı hesapların yönetimi.
  • LAPS ile lokal admin password rotasyonu.
  • EDR/XDR ve SIEM ile korelasyon yeteneği.
  • Password policy + breach detection (leaked credential monitoring).
  • Account disable on termination otomasyonu (provisioning/deprovisioning entegrasyonu).
  • User behavior analytics (UBA/UEBA): normaller öğrenilsin, anomali skoru versin.
  • Honeytokens / canary accounts: sahte admin oluştur, erişim olursa alarm üret.
  • Least privilege / RBAC: admin sayısını minimize et.
  • Periyodik access review (çeyreklik).

8) Örnek SIEM/SOAR otomasyon fikirleri

  • Otomatik: fail-then-success → lock account for 15 min + create ticket + send MFA push.
  • Otomatik: impossible travel → challenge with MFA/deny until reverify.
  • Otomatik: admin group add → require manual approver (2nd approver) + immediate alert to IRT.

9) Başarıyı Ölçme (KPI’lar)

  • Ortalama tespit süresi (MTTD) for compromised accounts
  • Ortalama müdahale süresi (MTTR)
  • Şüpheli erişimler sonucu gerçek kompromised oranı (false positive ratio)
  • MFA adoption % (kritik hesaplarda)
  • Quarterly access review completion rate

10) Hızlı referans — kısa kontrol listesi (120 saniyede yapılacaklar)

  • Alert logunu indir; IP/UID/time/kaynak not al.
  • Kullanıcıyı anında temporary disable et / session terminate et.
  • Hesap parolasını sıfırla (kullanıcıya yeni OTP/CTK verilebilir).
  • EDR scan başlat; kötü yazılım varsa izolasyon/reimage.
  • SIEM’de lateral hareket için hunting çalıştır.
  • Olay bildirimi başlat; IRT çağrılır.

Etiket
Yasin Yiğit

Yasin Yiğit, bilgi teknolojileri alanında çalışan ve dijital çözümler geliştiren bir BT profesyonelidir. Birçok farklı sektörlerde bilgi güvenliği, BT süreç yönetimi, envanter takibi ve dijital dönüşüm konularında uzmanlaşmıştır.

view all posts

Related Posts

Kaçırmış Olabilirsiniz