İlginizi Çekebilir
  1. Ana Sayfa
  2. Microsoft Office 365
  3. Azure Ortamınızdaki Gereksiz ve Aşırı İzinleri CrowdStrike Raporlama Aracı ile Tespit Edin

Azure Ortamınızdaki Gereksiz ve Aşırı İzinleri CrowdStrike Raporlama Aracı ile Tespit Edin

CrowdStrikeforAzure

Herhalde bundan on ya da on beş sene öncesine gitsek şirketlerin hem BT altyapılarını hem de BT envanterlerini listelemek istesek sanırım birkaç satırlık bir tablo ile içini doldurabilirdik. Günümüzde şirket çalışanlarının ve kurumun artık çok daha fazla BT envanteri varken bir de işin içine Genel Bulut ortamındaki ya da Hibrit Bulut ortamında çalışan hizmetlerinde eklenmesi ile hem yönetim hem bakım hem de güvenlik gereksinimlerinde tamamen değişen bir yaklaşımın uygulanması aşikâr olmaktadır. Bugün sizlere bu büyük değişimde en önemli role sahip olan ve neredeyse her teknoloji üreticisinin odağının merkezi haline gelen Bulut Bilişimin çok da önemsenmeyen ya da bilgi eksikliğinden göz ardı edilen Bulut Bilişim güvenliği ile ilgili bir konudan bahsedeceğim. Birçok kurum şirket içi kaynaklarının korunmasına inanılmaz ciddi yatırımlar yapıp, bu yatırımları prosedürler, kurallar ve teknolojilerle desteklerken herhangi bir Bulut üreticisindeki kaynaklarının korunmasına aynı özeni ya da dikkati göstermediğini söylemem sanırım yanlış olmayacaktır. En basit hali ile kurum içindeki bir kaynağa dışarıdan destek veren bir danışmana açarken az önce bahsetmiş olduğum teknolojiler, prosedürler ya da politikalar büyük özenle uygunlarken, bulut ortamındaki bir servise erişim verilirken en üst düzey haklara sahip bir hesabın bilgisi ya da o hesaba en yakın gruba üyelik birkaç saniye içinde yapılıyor. İşte bu ve benzer durumlarla eminim sizler de karşılaşmışsınızdır, şunu düşünün siz veya sizden önceki Sistem Yöneticisi belki bir çalışma için destek alınan çözüm ortağına yetkilendirme yaptı ve sonrasında yetkiyi geri almayı unuttu veya daha da kötüsü sistemlerinizden kaynaklı bir açıktan dolayı bir kimlik ele geçirildi ve bu kimlik ile bulut ortamınızdaki basit bir kimlikte yetki yükseltilmesi yapıldı. İşte kurumunuza ait Azure Active Directory yapımınızdaki fazla fazla verilmiş izinleri, haddinden gereksiz yere verilmiş rol atamalarını ve bu yapılandırmalarla oluşabilecek zayıflıkları çok kolay bir şekilde ortaya çıkarıp riskleri azaltmak için raporlayan ücretsiz bir topluluk aracı olan Reporting Tool for Azure sizlere anlatacağım.

Azure için CrowdStrike Raporlama Aracını nasıl kullanacağınızı anlatmaya başlamadan önce bu makaleyi çok önem verdiğim bir müşterimden gelen çalışma talebi üzerine yazmaya karar verdim, o isteğin çok detayına girmeden isterseniz yazının başlığında geçen CrowdStrike isterseniz sizlere çok kısaca tanıtayım sonrasında da adım adım CrowdStrike‘n ücretsiz sunmuş olduğu bu raporlama aracı ile Azure AD ortamlarındaki aşırı izinleri nasıl tespit edeceğimizi göstermeye geçelim. CrowdStrike bulut tabanlı bir uç nokta koruması sağlayan güvenlik çözümleri üreticilerinden birisi ve tek bir araçla Anti-Virüs, EDR ve yönetilen Hunting servisini birleştirerek sunma özelliği sağlayan bir önemli bir üretici demek yanlış olmayacaktır. Hemen zaman kaybetmeden konumuza dönüyorum ve adım adım anlatmaya başlıyorum.

Öncelikle CrowdStrike Reporting Tool for Azure sizlerin Azure AD yapısındaki izinleri, hakları raporlamayabilmesi için bir PowerShell script kullanıyor bu script’in çalışmasından sonra raporları üretiyor, yani gereksinimlerimizden ilki olmazsa olmazımız Powershell. Herkesin MacOS’unda Linux’ünde ve Windows işletim sisteminde PowerShell olduğunu varsayarak bir sonraki gereksinimlere geçiyorum bunlarda ExchangeOnlineManagement ve AzureAD Powershell modülleri ben bunlara bir de Azure PowerShell modülünü de ekliyorum. Eğer hali hazırda bu PowerShell modülleri PSGaleriniz de yüklüyse diğer aşamalara daha hızlı geçebilirsiniz, bu modüllerin yüklü olup olmadığına emin değilseniz aşağıdaki komutu PowerShell ya da PowerShell ISE’de çalıştırarak kontrol edebilirsiniz.

Get-InstalledModule

Resim-1

Kontrol ettim ancak ben de çok fazla Powershell modülü yüklü hemen bulamadım diyorsanız da aşağıdaki komutları çalıştırıp bu modüllerin yüklü olup olmadığını kontrol edebilirsiniz.

Find-Module -Name ExchangeOnlineManagement

Find-Module -Name Az

Find-Module -Name AzureAD

Resim-2

Kontrol ettim bu modüller ben de yüklü değilmiş diyorsanız da aşağıdaki komutları çalıştırarak PowerShell modüllerini yüklemiş olacaksınız.

Install-Module -Name ExchangeOnlineManagement -Scope AllUsers

Install-Module -Name Az -AllowClobber -Scope AllUsers

Install-Module -Name AzureAD -AllowClobber -Scope AllUsers

Resim-3

Bu arada küçük bir hatırlatma yapmak istiyorum gereksinimler arasında yer alan modülleri ben kendim yüklemeyeceğim diyorsanız da aşağıdaki Github linkinde yer alan birazdan da çalıştırıp raporların üretilmesini sağlayacak Azure için CrowdStrike Raporlama Aracının script’i ile yükletebilirsiniz. Azure AD ortamınızdaki izinleri gözleriniz önüne getirecek araca bu linkten https://github.com/CrowdStrike/CRT erişebilirsiniz.

Resim-4

CrowdStrike Github hesabındaki CRT deposundan indirdiğimiz zip dosyasını açtıktan sonra Get-CRTReport.ps1 PowerShell script’ini PowerShell ISE’de açıyorum ve çalıştırıyorum. Hemen ardından oturum açmam isteniyor burada önemli olan bir bilgiyi sizlerle paylaşmak istiyorum oturum açacağınız hesabın Global Admin rolüne sahip olması gerekmektedir.

Resim-5

CrowdStrike CRT script’I bir süre çalışıyor ve sonrasında tamamlanıyor ve eğer script’i özelleştirmediyseniz komutun çalıştırıldığı yere tarih ve saat (YYYYDDMMTHHMM) ile adlandırılmış bir klasör oluşmakta. ( Eğer benim gibi default ayarla çalıştırdıysanız yeri C:\Windows\System32\ içerisine çalıştırmış olduğunuz tarih bilgisi ile bir klasör oluşturuluyor 0210223T1351) . Klasörün içerisine girdiğinizde aşağıdaki gibi 1 klasör ve 2 dosyanın oluştuğunu göreceksiniz. Bunlar:

  • YYYYDDMMTHHMM \ output.log (konsol günlüğünün basılı kopyası)
  • YYYYDDMMTHHMM \ _CRTReportSummary.txt (Çalıştırılan komut dosyalarının özeti ve rehberlik için araştırma ipuçları)
  • YYYYDDMMTHHMM \ Reports \ <report> .csv (Varsa, CSV çıktısında rapor)
  • YYYYDDMMTHHMM \ Reports \ <report> .txt (Varsa TXT çıktısında rapor)
  • YYYYDDMMTHHMM \ Reports \ json \ <report> .json (Her rapora ek ayrıntı için JSON çıkışı eşlik eder)

Resim-6

Rapor klasörünün içerisine giriyorum ve oluşan raporları incelemeye başlıyorum. Bu raporlardan ilk olarak FullAccessPerms.csv’yi açıyorum.

Resim-7

CSV dosyanın adından da anlaşılacağı üzere bu rapor Tam Erişim İzini verilen kimlikleri, bu izinlerin kime ve nasıl bir hakla verildiğini gösteriyor.

Resim-8

Sonrasında ikinci rapor olarak Office365’deki Admin gruplarına üye olanları gösteren raporu incelemek için açıyorum. Rapor dosyasının adı Office365AdminGroupMembers.cscv

Resim-9

CrowdStrike Reporting Tool for Azure aracı genel olarak bu şekilde kullanılıyor ve iki tane örneğini göstermiş olduğu gibi 11 farklı raporu izinlerden oluşabilecek zayıflıkların tespiti için sizlerin kullanımına sunuyor. Bulut ortamlarında her şey kimlik ile başlar, kimlikler yetkileri ve yetkiler de servisler üzerindeki işlem düzeylerini belirler bu sebeplerden zaman zaman bu tarz araçlar ya da daha sonra anlatacağım bulut güvenlik çözümleri ile gereksiz izinleri tespit ederek oluşabilecek olumsuz durumları önceden engelleyebilirsiniz.

Herkese sağlıklı ve güvenli günler diliyorum.

Bu konuyla ilgili sorularınızı http://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

TAGs: CrowdStrike, , , ,

Yorum Yap

Yazar Hakkında

Mustafa Kara, 1981 yılında Adana'da doğdu. Üniversite öncesi tüm öğrenimini Mersin'de tamamladı. Anadolu Üniversitesi mezunudur. İşletme Yüksek Lisansını (MBA) , Maltepe Üniversitesinde ve Bilgisayar Mühendisliği Yüksek Lisansını da Okan Üniversitesinde gerçekleştirmiştir. Eskişehir'de okuduğu yıllarda Anadolu Üniversitesi Bilgisayar Araştırma Uygulama Merkezi Bilgi işlem departmanında çalışma hayatına başladı. Üniversite sonrası İstanbul'da kendi iş dallarının öncü firmalarında görev aldı. Uzun yıllar boyunca BilgeAdam BTA ve Kurumsal‘da Sistem ve Network Eğitmeni, Kıdemli Danışman ve Birim Müdürü görevlerinde bulundu. Sonrasında COMPAREX Türkiye'de Teknik Müdür olarak çalışmıştır. Şu anda SimpliX Teknoloji Hizmetlerinde Bulut ve Güvenlik Çözümleri Direktörü olarak çalışmaktadır. Uzmanlık alanı olan Microsoft altyapı, yönetim ve iletişim ürünleri, Azure, M365 ve AWS bulut teknolojileri Veeam, Nakivo gibi yedekleme çözümleri ile sanallaştırma teknolojilerinde mimari düzeyde bilgi ve deneyime sahiptir. Ayrıca yeni nesil güvenlik çözümleri üzerine eğitim ve danışmanlık vermekte olup 15 yıldan daha fazla süredir birçok kişi ve firmaya binlerce saat teknik eğitim vermiştir. Kamu ve özel sektördeki kuruluşlara projeler gerçekleştirmiş ve bu projelerin bazıları Microsoft tarafında Case Study olarak duyurulmuştur. Türkiye'nin en büyük bilişim portallarında yazıları yayınlanmakta olup MSHOWTO Topluluk Lideri görevini üstlenmektedir. Üniversitelerde seminerler vermekte olup birçok teknoloji üreticisinin lansmanında uzman konuşmacı olarak yer almıştır. 2010 yılında çeşitli topluluklarda yapmış olduğu çalışmalar neticesinde Microsoft tarafından MVP ünvanına layık görülmüş olup günümüzde de bu ünvanı koruma başarısını göstermektedir. Sahip olduğu sertifikalar: MVP, MCT, AWS SA, Azure Administrator, Azure Security Engineer, Azure Solution Architect, MCITP, MCTS, MCDBA, MCSE+S+M, MCSA+S+M, MCDST, MCP, CCDA, CCNA, HP AIS, HP APS ve CompTIA A+'dır.

Yorum Yap