Siber saldırıları yapan kişileri yanıltmak ve bazı tuzaklar kurarak onları gerçek sistemlerden uzak tutmak için tasarlanan güvenlik sistemleri mevcuttur. Deception teknolojisi, bir saldırı olduğunda ya da saldırı gerçekleştiğinde onları gerçek sistemden uzaklaştırırken, aynı zamanda onların varlığını niyetlerini ve saldırı yöntemlerini tespit etmek için kullanılan teknolojidir.
CyberArk EPM kullanıcı kimlik bilgilerini cihazlar üzerinde belirli alanlara koyup sonrasında bu kimlik bilgilerini kullanma girişimlerini izleyen politikalar oluşturulmasını sağlar. Politika ayarlarından bağımsız olarak diğer uç noktalara yapılan tüm oturum açmalar sürekli olarak izlenir. Bu etkinliklerden herhangi biri algılandığında ilgili olay hemen sunucuya gönderilir. EPM ajanı bu politikayı EPM sunucusundan aldığında kimlik bilgisi tuzağı olarak kullanılacak bir yerel yönetici kullanıcısı oluşturur. (Bu kullanıcı hesabı için benzersiz bir parola oluşturulur.)
Default Policies ayarları altında Privilege Threat Protection bölümünde “Create credentials lures or detect and deceive attackers” ayarını aktifleştirmeniz yeterli olacaktır.
Resim-1
Create credential lures to detect and deceive attackers ayarını yapınıza uygun olarak “Detect” yada “Block” modda devreye alabilirsiniz. Bu noktada önerilen böyle bir yapıyı devreye alacaksanız Detect mode ile işlemlere başlamanız önerilir.
Detect mode ile bir kullanıcı bu kimlik bilgileri ile oturum açtığında EPM’nin kimlik bilgisi tuzağının kullanımlarını tanımlamasını ve izlenmesini sağlar.
LSASS Lures: Kuruluşunuzun bilgisayarlarında sahte yönetici hesapları oluşturur. (Yönetici kullanıcı adını kendi yapınıza uygun olarak ayarlayabilirsiniz.)
Browser Lures: Kuruluşunuz tarafından kullanılan ve saldırganlar tarafından hedef alınabilecek bir web sitesini taklit eden sahte bir web sitesi ve kullanıcı hesabı oluşturulmasını sağlar. Bu politika etkinleştirildiğinde parola otomatik oluşur. Burada mevcut kullandığınız hesapların kullanılmaması önerilir. Kimlik bilgisi tuzağının oluşturulacağı ve bu hesap kullanılarak kimlik bilgisi hırsızlığı izlenecek olan bilgisayarları seçebilirsiniz.
Resim-2
Politika ile ilgili genel durumu Event Management altında LSASS and browser credential lures ait tüm etkinlikleri görüp ayrıntılarına ulaşabilirsiniz.
Bu hesaplar Domain Controller sunucularında oluşturulmaz. Son olarak Windows makinelerde kimlik bilgisi tuzakları içeren oturum açmalar hakkında Audit Logon Event politikalarının aktifleştirildiğinden emin olmalısınız.
(Computer Configuration, Windows Settings, Security Settings, Local Policies, Audit Policy)
Faydalı Olması Dileğiyle …
Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.
Referanslar
TAGs: CyberArk Endpoint Privilege Manager, EPM, Sets, EPM Control Panel, Policies, CyberArkEPMplugin, Event Management, Privilege Threat Protection, LSASS Lures, Browser Lures