Şimdi yükleniyor
Bilgi Güvenliği Eğitim Genel Nasıl Yapılır? , ,

Suspected Compromised Accounts — Anomali Tespiti

Suspected Compromised Accounts — Anomali Tespiti

Amaç: Hesap ele geçirilmesini erken tespit etmek, hızlı müdahale etmek ve lateral hareketi engellemek.

1) Hangi durumlar “şüpheli hesap” işaretidir? (Göstergeler / IOCs)

  • Aynı kullanıcıdan kısa sürede farklı coğrafi lokasyonlardan başarılı oturum (impossible travel).
  • Arka arkaya başarısız oturum denemeleri → ardından başarılı oturum (password spray / credential stuffing).
  • Olağandışı saatlerde (gece yarısı vb.) ilk kez veya artan oturum aktivitesi.
  • Kullanıcının normalinde olmayan kaynaklara erişim (ör. finans sunucusu, HR dosyaları).
  • Kullanıcının daha önce erişmediği büyük miktarda veri indirmesi / paylaşıma açması.
  • Hesabın grup üyeliklerinde ani değişiklik (örn. Domain Admin’e eklenme).
  • MFA onaylarını reddeden veya çok sayıda MFA isteği üretmesi.
  • Şüpheli süreçler başlatılması (PowerShell, RDP, Mimikatz benzeri davranışlar) bir kullanıcı hesabı üzerinden görülmesi.
  • Bilinmeyen/new device ile ilk kez oturum (özellikle privilege hesaplarda).
  • Hesaba ait e-posta yönlendirme ya da otomatik cevap kuralları oluşturulması.

2) İzlenecek log kaynakları (kritik veri kaynakları)

  • Authentication logs (AD/Kerberos/NTLM/O365/AzureAD)
  • VPN / Proxy / VPN concentrator logları
  • VPN & RDP oturum kayıtları
  • EDR/Endpoint telemetri (process creation, parent-child ilişkisi)
  • Firewall / Proxy trafik logları (download, upload)
  • Mail gateway logları (mail forwarding, outbound spikes)
  • SIEM korrelasyon sonuçları
  • Cloud access logs (AWS CloudTrail, AzureActivity)
  • PAM / Privileged access logs
  • Identity Provider (IdP) / SSO logları

3) Tespit (Detection) yöntemleri ve örnek kurallar

Aşağıda hem mantık hem de örnek SIEM/ARA sorguları yer alıyor. (Kurumunuzun SIEM ürününe göre uyarlayın.)

A) İmpossible travel (Kısa süre içinde farklı ülkeler)

  • Mantık: Aynı kullanıcı için iki başararlı oturum; aradaki süre coğrafi hızla travel edilemeyecek kadar kısa.
  • Kural: If successful_login(user) from country A AND successful_login(user) from country B within < 2 hours AND distance(A,B) > X km → alert.
  • Örnek (KQL – Azure Sentinel):
SigninLogs
| where ResultType == 0
| project TimeGenerated, UserPrincipalName, IPAddress, Location = tostring(Location)
| sort by TimeGenerated asc
| extend PrevTime = prev(TimeGenerated), PrevIP = prev(IPAddress), PrevUser = prev(UserPrincipalName)
| where UserPrincipalName == PrevUser and datetime_diff('hour', TimeGenerated, PrevTime) < 2 and Location != prev(Location)
  • Sigma (generic): yazılabilir / CI/CD ile SIEM’e entegre edilir.

B) Fail-then-success pattern (password spray / brute force indicator)

  • Mantık: X adet başarısız login, ardından başarı.
  • Threshold önerisi: 5 başarısız deneme içinde 1 başarılı → alert.
  • Splunk örneği (basit):
index=auth sourcetype=wineventlog:security (EventCode=4625 OR EventCode=4624)
| stats count(eval(EventCode=4625)) as failed, count(eval(EventCode=4624)) as success by Account, _time span=1h
| where failed >= 5 AND success >= 1

C) Anormal veri çıkışı / büyük download

  • Mantık: Bir kullanıcı normalin üstünde outbound veri transferi yapıyorsa (ör. gece büyük zip dosyası).
  • Firewall/Proxy raporu: kullanıcı bazında son 24 saatteki toplam upload > X MB → alert.

D) Yeni admin grup üyeliği / privilege escalations

  • Mantık: AD group membership change where group in (Domain Admins, Enterprise Admins, Administrators).
  • AD log örneği (Windows Event 4728/4732):
index=wineventlog EventCode=4728 OR EventCode=4732
| where MemberOf in ("Domain Admins","Enterprise Admins")

E) Anormal process on endpoint (EDR)

  • Mantık: PowerShell child of explorer.exe, or wmic, rundll32 with base64 commands → alert.
  • EDR rule: detect encoded commands, LOLBins usage from uncommon accounts.

F) MFA bypass attempts

  • Mantık: Çok sayıda MFA prompt rejection veya MFA set değişiklikleri.
  • IdP logları: alert when user registers new MFA device + password change within short window.

4) Önceliklendirme (Alert triage)

  • P1 (Kritik): Admin account compromise indicators (group add, admin login from foreign IP, creds exfil)
  • P2 (Yüksek): Non-admin account with impossible travel OR large data exfil attempts
  • P3 (Orta): Fail-then-success patterns with limited scope
  • P4 (Düşük): Single anomalous event needing izleme

5) Hızlı Müdahale (Playbook — ilk 10 adım)

(Bu adımlar otomatikleştirilebilir; playbook’u PAM/SOAR ile bağlayın.)

  1. Alert doğrulama: SIEM/EDR loglarını ve raw auth loglarını topla; false positive kontrolü.
  2. Kapsam belirleme: Hangi sistemler, hangi kaynaklar, hangi zaman aralığı?
  3. İzolasyon (containment): Şüpheli oturumları sonlandır; gerekirse cihazı ağdan izole et. (Priorite: admin hesaplar için hızlı izolasyon.)
  4. Parola & MFA reset: İlgili hesabın parolası hemen sıfırlanmalı; MFA yeniden konfigüre edilmeli. (PAM varsa geçici erişim ver, audit et.)
  5. Endpoint taraması: EDR ile tam tarama ve şüpheli süreç/indikatorların incelenmesi.
  6. Kayıtların korunması: İlgili sunucular/endpointler için tam log çekimi, EDR snapshot, hafıza (memory) image alma gerektiğinde.
  7. İz sürme (hunt): Lateral movement araması: açık RDP bağlantıları, SMB access, remote scheduled tasks, yeni servis hesapları.
  8. Kötü amaçlı içerik temizliği / reimaj: Infected cihazların reimage edilmesi; temizleme sonrası doğrulama.
  9. İç/dış iletişim: Gerekiyorsa üst yönetim, hukuk, KVKK/Regulatory bildirimleri, müşteri iletişimi başlatılır.
  10. Lessons learned: Olay kapanınca rapor, root cause analizi, kontrol değişiklikleri (ör. MFA zorunlu, kural güncelleme).

6) Kanıt (Forensics) toplama esası

  • Logların tam zamanlı eksportu (SIEM raw, AD logs, VPN logs).
  • EDR snapshot ve memory image (volatile data).
  • Hash’lerin alınması; dosyaların saklanması.
  • Chain of custody belgelemesi (kim, ne zaman aldı).

7) Önleyici Tedbirler (short & long term)

  • MFA zorunlu (özellikle kritik hesaplar ve uzak erişim).
  • PAM ile ayrıcalıklı hesapların yönetimi.
  • LAPS ile lokal admin password rotasyonu.
  • EDR/XDR ve SIEM ile korelasyon yeteneği.
  • Password policy + breach detection (leaked credential monitoring).
  • Account disable on termination otomasyonu (provisioning/deprovisioning entegrasyonu).
  • User behavior analytics (UBA/UEBA): normaller öğrenilsin, anomali skoru versin.
  • Honeytokens / canary accounts: sahte admin oluştur, erişim olursa alarm üret.
  • Least privilege / RBAC: admin sayısını minimize et.
  • Periyodik access review (çeyreklik).

8) Örnek SIEM/SOAR otomasyon fikirleri

  • Otomatik: fail-then-success → lock account for 15 min + create ticket + send MFA push.
  • Otomatik: impossible travel → challenge with MFA/deny until reverify.
  • Otomatik: admin group add → require manual approver (2nd approver) + immediate alert to IRT.

9) Başarıyı Ölçme (KPI’lar)

  • Ortalama tespit süresi (MTTD) for compromised accounts
  • Ortalama müdahale süresi (MTTR)
  • Şüpheli erişimler sonucu gerçek kompromised oranı (false positive ratio)
  • MFA adoption % (kritik hesaplarda)
  • Quarterly access review completion rate

10) Hızlı referans — kısa kontrol listesi (120 saniyede yapılacaklar)

  • Alert logunu indir; IP/UID/time/kaynak not al.
  • Kullanıcıyı anında temporary disable et / session terminate et.
  • Hesap parolasını sıfırla (kullanıcıya yeni OTP/CTK verilebilir).
  • EDR scan başlat; kötü yazılım varsa izolasyon/reimage.
  • SIEM’de lateral hareket için hunting çalıştır.
  • Olay bildirimi başlat; IRT çağrılır.

Etiket

İlgili Yazılar

Kaçırmış Olabilirsiniz