Avecto, Privilege Management ürünüdür. Standart haklara sahip kullanıcıların gerekli araçları admin yetkisi ile çalıştırmasına olanak sağlamaktadır. Avecto ürünü Windows Server / Client tarafında çalışabilmektedir. Eğer yapıda McAfee EPO varsa entegre çalışmaktadır. Yapıda EPO yoksa Group Policy üzerinden çalışmaktadır.
Resim-1
Defendpoint’i incelediğimizde bizleri 5 temel kritik ataktan koruduğunu görüyoruz ;
- Ransomware
- Phishing Attacks
- Zero Day Attacks
- Pass the hash attacks
- APTs
Resim-2
Defendpoint ürününde Workstyle ve Application group mantığı vardır. Kısaca ne olduklarına değinelim.
Workstyle Nedir?
Bu bölümde kullanıcılarımızı veya bilgisayar hesaplarımızı , uygulama kurallarımızı ,kural için eğer zaman aralığı vermemiz gerekirse timer gibi konfigürasyonları tanımladığımız yer.
Resim-3
Resim-4
Application Groups Nedir?
Bu bölümde aslında ajanlardan topladığımız event logları yorumladığımız, admin hakkı ile çalışan ,UAC isteyen veya Pasif modda çalışan uygulamalar için tanım yaptığımız yer.
Resim-5
Siber güvenliğin önem arz ettiği, hack vakalarının arttığı aynı zamanda zararlı türevlerinin çok daha akıllı davranması bu tarz üçüncü parti yazılımların önemini arttırdı. Avecto Defendpoint projesinin başarılı olabilmesi için yönetimin desteğinin olması gerekmektiğini unutmamak lazım, sonuçta admin haklarına sahip kullanıcılar direnç gösterecektir. Her projede olduğu gibi false positive durumlar oluşacaktır, bu durumlara karşı hazırlıklı olunmalıdır.
Günün sonunda büyük tabloya baktığımız zaman, son kullanıcı elinden admin hakkını aldığımız için yukarıdaki ataklardan veya zararlılardan korunmuş olacağız. Resme diğer taraftan bakacak olursak hali hazırda admin hakları alınmış ortamda kullanıcılara ilgili araçlar üzerinde admin hakkı verilerek hem güvenlik sağlanmış olmakla birlikte kullanıcılarda işlerini yapabilir olacaklardır. Kısa bilgilendirme bölümünden sonra çalışma mantığından bahsedip kural nasıl tanımlanabileceğini göstereceğim.
Çalışma mantığından aslında yukarıda bahsettik,hatırlama amaçlı tekrarlarsak standart kullanıcı haklarına sahip olan kullanıcı veya kullanıcılara belirlemiş olduğumuz uygulama üzerinde admin hakkı veriyoruz. Bu noktada güvenlik duvarı mantığı işlediği için kuralın bulunduğu yere dikkat etmemiz önem arz etmektedir.
Detaylı açıklamadan sonra kural yazmayı görelim. GPO içerisinde Defendpoint sekmesi altında yer alan Workstyle sağ tıklayarak yeni bir workstyle oluşturuyoruz.
Resim-6
Oluşturduğumuz workstyle a bir isim veriyoruz.
Resim-7
Workstyle oluşturduktan sonra en alta geldiğini görüyoruz. Güvenlik duvarı mantığı işlediğinden bahsetmiştim, yani üstteki kural aşağıdakini ezmektedir. Bu durumu göz önüne alarak kuralı doğru sırada tanımlamamız gerekmektedir.
Resim-8
Filters sekmesi içerisinden bu gruba ekleyeceğimiz kullanıcı veya kullanıcıları seçiyoruz. AD içerisindeki gruplar düzgün ayarlandıysa gurup olarak da eklenebilmektedir.
Resim-9
Resim-10
Kullanıcımızı ekledikten sonra workstyle adımımızı şimdilik bırakıp Application Groups tanımlamasına geçiyoruz.
Resim-11
Applications grupta genel olarak ;
- Blacklist ile tüm yapıda yasaklamak istediğimiz verileri gireceğiz.
- 1_AppControlling -AdminRights ile admin haklarını aldığımız kullanıcıya hangi araçta admin gibi çalıştırma hakkını vereceğimizi belirleyeceğiz
- 1_Passive Mod da ise bazı araçlar run as hakkı yerine Pasive Modda çalışmaktadır, ilgili tanım için application group oluşturacağız.
New Application Group diyerek grubumuzu açıyoruz. Oluşturduğumuzda varsayılan olarak Application group 1 ismi oluşuyor. Yukarıdaki belirttiğim isme göre editliyorum.
Resim-12
Son hali aşağıdaki gibidir.
Resim-13
Şuana kadar Workstyle oluşturduk application group oluşturduk fakat herhangi bir yasaklama kural vb yazmadık.
Kuralımızı yazmaya başlamadan run as olarak Görev Yöneticisini açmaya çalıştığımda başarısız oluyorum. Bu örnekler elbette ki çoğaltılabilir, mantığın aynı olduğunu bilmemiz yeterli olacaktır.
Resim-14
AppControl içerisinde boş bir alanda Insert Application > Events tıklıyoruz.
Resim-15
Event Log seçerek devam ediyoruz.
Resim-16
İncelemek istediğimiz bilgisayar ismini giriyoruz.
Resim-17
H-DIMDIK bilgisayarında 38 uygulamanın run as hakkı istediğini burada görüyoruz. UAC hakkı vb buradan aynı şekilde görebiliyoruz.
Resim-18
Next diyerek devam ettiğimizde nelerin admin hakkı istediğini görebiliyoruz. Bu adımda yapmamız gereken ilgili departman için nelere izin vereceğimizi belirlemek. Elbette false positive durumunun azalması için örneklem grubu önem teşkil etmektedir.
Resim-19
1_App için aşağıdaki uygulama ,process veya snapin lere erişim izni tanımladım. Bu durum yapıya göre değişkenlik gösterecektir.
Resim-20
Tekrar workstyle a dönerek işlemlerimizi tamamlayalım. Click to add Application Rules diyerek işleme başlıyoruz.
Resim-21
Insert Application Rule diyerek işlemimize başlıyoruz. Tüm kuralları elle tanımlamamıza gerek yok diğer workstyle lardan kopyala yapıştır ile alabiliyoruz.
Resim-22
Kuralımızı hatırlarsanız üç aşamadan oluşturmuştuk en yukarda yasak kuralımız olacak. İlk kuralımızı aşağıdaki gibi oluşturduk. Son kullanıcıya da mesaj çıkartacağınız.
Resim-23
İkinci kuralımız ise admin hakkı ile çalışması gerektiği için Allow Execution seçiyoruz ve Add Admin Rights ile admin olmadan kullanıcımızın 1_AppControlling-AdminRights içerisindeki uygulamaları çalıştırmasını sağlıyoruz.
Resim-24
Son olarak da pasive mod da çalışan uygulamalar için kuralımızı tanımlıyoruz.
Resim-25
Kuralımızın son haline bakarsak ilk olarak Blacklist e bakacak ordan eşleşen bir durum olmaz ise pasive mod kontrolü yapacak ve hiç bir kurala denk gelmez ise admin hakkı ile izin verilen uygulama vb… çalıştırılabilecek.
Resim-26
Avecto ajan ile çalışmaktadır. Lisanslaması da kullanıcı başına olduğunu belirtmek isterim. Son olarak ajan kurulumu next next finish olduğu için göstermedim. Msi paketi portalında mevcut. Yapıda SCCM varsa kolayca dağıtılabilmektedir.Yukarıda yazmış olduğum kuralı hızlıca test etmek isterseniz gpupdate /force komutu ile tetiklemeniz gerecektir.
Test ettiğimde başarılı şekilde kuralımın çalıştığını görüyorum.
Resim-27
Son olarak da Blacklist kuralımızı test edelim. Aşağıda yer alan araçları yasaklamıştım.
Resim-28
Anydesk programını çalıştırmak istediğimde yasaklandığını görebiliyorum
Resim-29
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: Avecto,Avecto Privilege Management, Ransomware,Phishing Attacks,Zero Day Attacks,Pass the hash attacks,APTs, McAfee EPO,hack
