CrowdStrike Falcon Identity Protection Nedir? ITDR ve MFA Yapılandırması
arrow_back Blog'a Dön

CrowdStrike Falcon Identity Protection Nedir? ITDR ve MFA Yapılandırması

Modern saldırıların büyük bölümü artık zararlı yazılımla değil, geçerli kimlik bilgileriyle başlıyor. Saldırgan bir oltalama e-postasıyla ya da sızdırılmış bir parolayla içeri girdiğinde, güvenlik araçlarının gözünde sıradan bir kullanıcıdır: oturum açar, dosyalara erişir, yatay hareket eder. Uç nokta koruması ne kadar güçlü olursa olsun, "doğru parolayla yanlış kişi" senaryosunu tek başına yakalayamaz. CrowdStrike Falcon Identity Protection, tam bu boşluğa odaklanır: Active Directory ve bulut kimlik altyapısındaki her kimlik doğrulamayı gerçek zamanlı analiz eder, riskli olanları tespit eder ve gerektiğinde erişimi çok faktörlü kimlik doğrulamaya (MFA) bağlayarak durdurur.

Kısaca: Falcon Identity Protection, CrowdStrike'ın kimlik tehdit tespiti ve yanıtı (ITDR) çözümüdür. Active Directory ve Entra ID üzerindeki kimlik doğrulama trafiğini gerçek zamanlı izler; parola püskürtme, pass-the-hash, Kerberoasting gibi kimlik tabanlı saldırıları tespit eder; her hesaba risk skoru atar ve politika motoruyla riskli erişimleri engelleyebilir ya da anlık MFA doğrulamasına zorlayabilir.

Kimlik: Yeni Saldırı Yüzeyi ve ITDR Kavramı

CrowdStrike'ın küresel tehdit raporları yıllardır aynı tabloyu çiziyor: saldırıların önemli bölümü zararlı yazılım içermiyor, ele geçirilmiş kimlik bilgileriyle "içeriden" ilerliyor. Bu nedenle sektörde ayrı bir kategori doğdu: ITDR (Identity Threat Detection and Response — kimlik tehdit tespiti ve yanıtı). ITDR, kimlik altyapısını (etki alanı denetleyicileri, dizin hizmetleri, federasyon ve SSO katmanı) kendi başına korunması gereken bir saldırı yüzeyi olarak ele alır.

Falcon Identity Protection bu kategorinin CrowdStrike uygulamasıdır ve Falcon platformunun diğer modülleriyle aynı hafif sensör mimarisini kullanır: etki alanı denetleyicilerine kurulan sensör, Kerberos, NTLM, LDAP ve DCE/RPC trafiğini gerçek zamanlı analiz eder. Ayrı bir ağ cihazı, trafik yönlendirmesi veya log toplama altyapısı gerekmez. Hibrit ortamlarda Entra ID tarafındaki oturum açma olayları da aynı konsolda birleşir; böylece şirket içi AD ile bulut kimliği arasındaki geçişler — saldırganların en sevdiği kör nokta — görünür hâle gelir.

Falcon Identity Protection Neleri Tespit Eder?

Platform, kimlik katmanındaki saldırı tekniklerini davranış ve protokol analiziyle yakalar. Öne çıkan tespit alanları şunlardır:

  • Parola saldırıları: brute force ve parola püskürtme (password spraying) denemeleri, başarısız oturum açma desenleriyle birlikte kaynağına kadar izlenir.
  • Kerberos istismarları: Kerberoasting ve AS-REP roasting gibi, servis hesaplarının parola özetlerini hedefleyen teknikler protokol düzeyinde tespit edilir.
  • Kimlik bilgisi hırsızlığı ve yeniden kullanım: pass-the-hash, pass-the-ticket ve golden ticket senaryolarında ortaya çıkan anormal bilet ve özet kullanımı işaretlenir.
  • Yatay hareket: RDP, PsExec ve WMI üzerinden olağandışı makinelere, olağandışı saatlerde yapılan erişimler hesap davranış çizgisiyle karşılaştırılır.
  • Hesap hijyeni sorunları: uzun süredir kullanılmayan (stale) hesaplar, interaktif oturum açan servis hesapları, parolası süresiz hesaplar ve gizlenmiş ayrıcalıklı hesaplar sürekli envanterlenir.

Her kullanıcı ve hesap için dinamik bir risk skoru hesaplanır; skor, hesabın ayrıcalık düzeyi, davranış sapmaları ve zafiyet göstergeleriyle sürekli güncellenir. Ayrıca honeytoken (tuzak) hesaplar tanımlanabilir: bu hesaplara dokunan her etkinlik, tanımı gereği saldırı göstergesidir. Ayrıcalıklı hesapların korunması tarafında bu yaklaşım, ayrıcalık yükseltme saldırılarına karşı savunmanın kimlik katmanındaki tamamlayıcısıdır.

Risk Tabanlı Koşullu Erişim: Tespitten Önlemeye

Tespit tek başına yeterli değildir; kritik olan, riskli erişim gerçekleşmeden araya girebilmektir. Falcon Identity Protection'ın politika motoru, kimlik doğrulama anında devreye girer ve üç temel aksiyondan birini uygular: izin ver, engelle veya MFA'ya zorla. Karar; hesabın risk skoruna, erişilen kaynağa, kullanılan protokole ve davranış bağlamına göre verilir.

Bu yaklaşımın en güçlü tarafı, MFA'yı yerel olarak desteklemeyen eski protokol ve araçlara da doğrulama katmanı ekleyebilmesidir. Örneğin RDP, PowerShell uzak oturumu veya PsExec gibi araçlarla kurulan bağlantılar, normalde MFA akışının tamamen dışındadır; politika motoru bu bağlantıları yakalayıp doğrulama tamamlanana kadar bekletebilir. Böylece MFA kapsamı, yalnızca web uygulamalarından altyapının bütününe genişler — Zero Trust mimarisinin "asla güvenme, her zaman doğrula" ilkesinin kimlik katmanındaki somut karşılığıdır.

MFA Yapılandırması: Entegrasyonlar ve Politika Tasarımı

Falcon Identity Protection kendi başına bir MFA sağlayıcısı değildir; kurumun mevcut MFA altyapısıyla entegre çalışır. Microsoft Entra ID MFA, Okta, Duo ve Ping Identity gibi yaygın sağlayıcılarla hazır entegrasyonlar bulunur. Politika bir erişimi "doğrulama gerekli" olarak işaretlediğinde, kullanıcıya mevcut MFA sağlayıcısı üzerinden anlık bildirim gider; onay gelirse erişim açılır, gelmezse bağlantı kurulmaz.

Sahada işleyen tipik politika örnekleri şöyledir:

PolitikaTetikleyiciAksiyon
Ayrıcalıklı erişim korumasıDomain admin hesabıyla etki alanı denetleyicisine RDPHer seferinde MFA zorunlu
Riskli hesap denetimiRisk skoru eşiği aşan hesabın VPN veya kritik sunucu erişimiMFA'ya zorla; tekrarında engelle
Stale hesap kilidiUzun süredir pasif hesabın aniden oturum açmasıEngelle ve SOC'a bildir
Servis hesabı sınırıServis hesabının interaktif oturum açma girişimiEngelle (servis hesabı insan gibi davranamaz)
Eski protokol denetimiKritik varlığa NTLM ile kimlik doğrulamaMFA'ya zorla veya engelle
Honeytoken alarmıTuzak hesaba herhangi bir dokunuşEngelle, yüksek öncelikli alarm

Yapılandırmada en kritik ilke kademeli devreye almadır. Önerilen sıra: önce yalnızca görünürlük modunda çalıştırıp hesap envanterini ve davranış çizgilerini oluşturmak; ardından politikaları simülasyon modunda test ederek hangi erişimlerin etkileneceğini raporlamak; son olarak politikaları önce ayrıcalıklı hesaplara, sonra genel kullanıcı kitlesine kademeli uygulamak. Bu yaklaşım, MFA yorgunluğu oluşturmadan koruma sağlar: doğru kurgulanmış risk tabanlı politikada kullanıcı, yalnızca gerçekten anormal bir durum olduğunda doğrulama görür — her oturumda değil.

Sektörel Uygulama Senaryosu

Hibrit çalışan bir finans kuruluşu düşünün: şirket içi Active Directory, Entra ID ile federasyonlu, kritik uygulamalar hem veri merkezinde hem bulutta. Güvenlik ekibinin görmediği nokta, VPN üzerinden gelen ve geçerli kimlik bilgisi kullanan bağlantıların içeride ne yaptığıdır. Falcon Identity Protection devreye alındığında ilk hafta görünürlük modunda çalışır: unutulmuş yönetici hesapları, interaktif kullanılmış servis hesapları ve NTLM'e bağımlı eski uygulamalar envanterlenir. İkinci aşamada simülasyon raporları, planlanan MFA politikasının günlük kaç erişimi etkileyeceğini gösterir. Üçüncü aşamada politika önce domain admin grubuna uygulanır: etki alanı denetleyicisine her RDP oturumu artık anlık MFA onayı ister. Saldırgan geçerli bir parola ele geçirse bile, kritik sistemlere giden yolda telefonundaki onay ekranına takılır.

Sıkça Sorulan Sorular

Falcon Identity Protection için ayrı bir ajan gerekir mi?

Uç noktalarda ayrı ajan gerekmez; mevcut Falcon sensörü kullanılır. Kimlik trafiği analizi için etki alanı denetleyicilerine sensör kurulumu yapılır. Ağ topolojisinde değişiklik, trafik yönlendirme veya ek donanım gerekmez.

Hangi MFA sağlayıcılarıyla entegre olur?

Microsoft Entra ID MFA, Okta, Duo ve Ping Identity başta olmak üzere yaygın kurumsal MFA sağlayıcılarıyla hazır entegrasyonları vardır. Kurum mevcut MFA yatırımını değiştirmeden, kapsamını eski protokollere ve altyapı erişimlerine genişletir.

ITDR ile EDR arasındaki fark nedir?

EDR uç noktadaki süreç ve dosya davranışlarını izler; ITDR ise kimlik doğrulama katmanını izler. Geçerli parolayla yapılan kötüye kullanım EDR'ın değil ITDR'ın alanıdır. Falcon platformunda ikisi aynı konsolda birleşir ve tespitler birbirini zenginleştirir; ayrıntı için EDR yazımıza bakabilirsiniz.

MFA zorlaması kullanıcı deneyimini bozmaz mı?

Risk tabanlı model tam da bunu önlemek için vardır: doğrulama yalnızca politika tetiklendiğinde — riskli davranış, ayrıcalıklı erişim veya anomali durumunda — istenir. Simülasyon modu, politikanın gerçek etkisini devreye almadan önce raporladığı için beklenmedik kesinti yaşanmaz.

Yalnızca bulut kimliği kullanan kurumlar için anlamlı mı?

Evet; Entra ID ortamındaki riskli oturum açmalar, koşullu erişim boşlukları ve hesap hijyeni sorunları da kapsamdadır. Bununla birlikte en yüksek katma değer, saldırganların iki dünya arasındaki boşluklardan yararlandığı hibrit (AD + bulut) ortamlarda ortaya çıkar.

Sonuç: Parola Ele Geçse Bile Yol Kapalı

Kimlik tabanlı saldırılara karşı savunmanın özü, geçerli kimlik bilgisinin tek başına yeterli olmadığı bir mimari kurmaktır. Falcon Identity Protection bunu iki hamlede yapar: kimlik altyapısındaki her doğrulamayı görünür kılar ve riskli olanları gerçek zamanlı politikayla MFA'ya ya da engele bağlar. Sonuç, saldırganın en güvendiği aracın — çalınmış ama geçerli parolanın — değersizleşmesidir.

Technodus olarak CrowdStrike çözümleri kapsamında Falcon Identity Protection'ın konumlandırılması, mevcut MFA altyapınızla entegrasyonu ve kademeli politika tasarımı konularında destek veriyoruz. Kimlik güvenlik duruşunuzu birlikte değerlendirmek için bizimle iletişime geçin.

lightbulb İlgili Çözüm

Bu konuda Technodus'un sunduğu çözümü inceleyin: CrowdStrike Falcon Türkiye Yetkili Partner.

CrowdStrike Falcon Türkiye Yetkili Partner arrow_forward