Azure AD Identity Protection Nedir?

Kullanıcılarımız için güvenlik gereği birçok kimlik koruması sağlıyoruz. Bunlara örnek vermek gerekirse, SMS ile doğrulama, e-posta ile doğrulama ve MFA gibi bazı yöntemler oluşturup kullanıcıların oturum açmasını sağlıyoruz. Günümüzde siber saldırılara karşılık veya oltalama tarzı sızma yöntemleri ile kuruluş içerisinden veri çalmak isteyen saldırganlardan korunmak bir hayli zorluk oluşturmaktadır. Bunların dışında kuruluş içerisinde bulunan kullanıcıların oturum açma risklerini de göz önünde bulundurmalıyız. Güvenlik ilkelerinin dışına çıkan kullanıcılar, parola güvenlik seviyesi düşük kullanıcılar gibi durumları denetlememiz ve bu gibi güvenlik zafiyetlerini ortadan kaldırmalıyız.

Bu makalemde sizlere Azure AD üzerinde bulunan Identity Protection hizmetinden bahsedeceğim. Azure AD üzerinde barındırılan bu servis, kullanıcıların sadece riskli oturum açmalarını izlememize değil, bunun dışında bu kullanıcılar için güvenlik ilkeleri de oluşturmamızı sağlıyor. Identity Protection servisi Azure AD Premium lisansları ile ilişkilendirilmiştir. Kullanmak için en az P1 lisansına ihtiyacınız olacaktır.

Bu işlemlere bir de portal üzerinden göz atalım. Azure portal sayfasında Azure AD kısmında Security/Identity Protection sekmesine geliyoruz. İlk gelen ekranda, ortamımızda oluşan bazı riskli durumları gözlemleyebiliriz. Bu ekranda özetle, riskli kullanıcı düzeyi, oturum açma riski ve oturum açma risk düzeyi gibi durumları takip edebiliriz.

Resim-1

Protect sekmesi altında bulunan User Risk Policy ekranında 3 seçenek ile karşılaşıyoruz. Bu kısımda kullanıcılar için risk ataması yapabiliriz. Users alanında, dilenirse All Users seçeneği ile tüm kullanıcıları veya Select individuals and groups seçeneği ile belirli kullanıcıları veya grupları ekleyebiliriz. All users seçeneği ile tüm kullanıcıları seçerek devam ediyorum.

Resim-2

Include seçeneği yanında bulunan Exclude seçeneği ise, yapılandırılan ilkede bulunan kullanıcıları veya grupları bu ilkeden muaf edebilirsiniz.

Resim-3

User Risk ekranında, yapılandırılan ilkede bulunan kullanıcıların, grupların veya seçilen tüm kullanıcıların bu ilkede hangi düzeyde sağlanacağını belirtebilirsiniz.

Resim-4

Controls tabında ise, bu ilkede bulunan kullanıcıların erişimlerini bloklayabilir, izin verebilir veya parola değiştirme gerekliliklerini ekleyebilirsiniz. Herhangi bir değişiklik yapmadan devam ediyorum.

Resim-5

Sign-in Risk Policy ekranında kullanıcılar için oturum açma ilkesi oluşturabiliriz. Bu ekranda yine User Risk Policy ekranındaki gibi seçenekler gelecektir. User Risk Policy ekranındaki gibi ilkeye ekleyeceğimiz kullanıcıları, grupları veya tüm kullanıcıları ekleyebiliriz. Sign-in Risk alanında ilkede bulunan kullanıcıların veya grupların ilke risk düzeyini belirleyebilir, Controls ekranında da erişim için bloklama veya izin verme işlemleri tanımlayabiliriz.

Resim-6

Protect sekmesi altında bulunan son Policy alanı ise MFA Registration Policy ekranıdır. Bu ekranda MFA ile oturum açan kullanıcılar için risk ilkesi belirlenebilir. Gelen ekranda kullanıcıları, grupları veya tüm kullanıcılar için bu hizmeti sağlayabiliriz. Aşağıda bulunan kırmızı kutucuğun içerisindeki açıklamada, yapılan ilkenin Azure AD MFA’ da geçerli olacağını, MFA sunucu üzerinde geçerli olmayacağını belirtiyor.

Resim-7

Protect sekmesi altında gerekli güvenlik ilkelerini tanımladıktan sonra bu ilkeleri, Identity Protection’ ın sağladığı Report sekmesinden rapor halinde gözlemleyebiliriz. Report sekmesine Security sekmesini ilk açtığımızda da erişebiliriz, Identity Protection sekmesinden de erişebiliriz. Report altında 3 izleme aracı mevcuttur. Burada ilk araç Risky Users aracıdır. Risky Users alanında kullanıcılara belirlediğimiz güvenlik ilkelerini gözlemleyebiliriz. Hangi kullanıcı ne risk durumunda ve risk derecesi gibi durumları elde edebiliriz.

Resim-8

Risky Sign-ins ekranında, riskli oturum açan kullanıcıları ve bu kullanıcıların risk durumunu, hangi tarihte saatte, Ip adres bilgileri ve nereden oturum açtıklarının bilgilerini tespit edebiliriz.

Resim-9

Son Report ekranı olarak ise Risk Detections ekranı bulunmaktadır. Bu ekranda Azure AD Identity Protection tarafında algılanan risk durumlarını görüntüleyebiliriz. Hangi kullanıcının risk olarak algılandığı, risk algılama zamanı, Ip adresi, risk algılama seviyesi ve risk algılama durumu gibi bilgileri elde edebiliriz.

Resim-10

Yukarıda bahsettiğim gibi Azure AD Identity Protection servisi, kuruluşumuz içerisinde bulunan kullanıcılar için sağlayabileceğimiz risk ilkeleri bulundurur ve bu risk ilkelerini Azure AD tarafında gözlemleyebilir ve bu bilgileri elde edebiliriz.