İçeriden Tehditler: ADAudit Plus ile AD Anomali Tespiti
arrow_back Blog'a Dön

İçeriden Tehditler: ADAudit Plus ile AD Anomali Tespiti

calendar_today 27 Apr 2026 schedule 9 dk okuma

Çevre güvenliğinin ötesinde: kimliklerin arkasından gelen riski görünür kılmak.

 

 

Kurumsal güvenlik yatırımlarının büyük bölümü uzun yıllar boyunca dış saldırganları durdurmaya odaklandı. Güvenlik duvarı, IPS, e-posta güvenliği, EDR — her biri çevreyi sertleştirdi. Ancak son yıllarda yaşanan büyük veri ihlallerinin önemli bir kısmı, hiçbir duvarı aşmaya gerek duymayan aktörlerden geldi: meşru erişim hakkına sahip iç kullanıcılardan. İçeriden gelen tehdit (insider threat) artık niş bir konu değil, CISO gündeminin merkezinde bir kategori. Üstelik tespit süresi geleneksel tehditlere kıyasla çok daha uzun; bir iç tehdit olayının kontrol altına alınması ortalama olarak haftalarla, bazen aylarla ölçülüyor. Bu yazıda, içeriden tehdit kategorilerini, Active Directory'nin neden tespitin merkezinde olduğunu ve ManageEngine ADAudit Plus'ın SOC ekiplerine nasıl bir görünürlük katmanı sunduğunu inceleyeceğiz.


İÇERİDEN TEHDİT TEK BİR PROFİL DEĞİLDİR

 

İçeriden tehdit denilince akla genellikle veri çalan kötü niyetli bir çalışan gelir. Oysa tehdit aktörleri en az dört farklı kategoride değerlendirilmelidir. Kötü niyetli içeriden (malicious insider), kuruma kasıtlı olarak zarar vermeyi amaçlar; finansal motivasyon, intikam veya rekabet istihbaratı temel sürücülerdir. İhmalkar içeriden (negligent insider) ise zarar verme niyeti taşımayan ancak güvenlik politikalarını delen, hassas dosyaları yanlış paylaşan veya çok faktörlü kimlik doğrulamayı devre dışı bırakmaya çalışan kullanıcıdır; vaka sayısı olarak en kalabalık gruptur. Ele geçirilmiş içeriden (compromised insider) bir oltalama saldırısı veya kimlik bilgisi sızıntısı sonrası saldırgan kontrolüne geçen meşru hesaptır — kullanıcı kurbandır, ancak ağdaki davranış bir saldırganınkidir. Son olarak işbirlikçi içeriden (collusive insider), dış bir aktörle koordinasyon halinde hareket eder.

Bu dört profilin ortak noktası şudur: hepsi kimlik katmanından geçer. Ve neredeyse her kurumsal Windows ortamında kimliklerin merkezi otoritesi Active Directory'dir.


ACTIVE DIRECTORY: NEDEN TESPİTİN MERKEZİ?

Bir saldırgan ister dışarıdan gelsin ister içeriden, hedefe ulaşmak için neredeyse her zaman Active Directory üzerinden ilerler. Yetki yükseltme (privilege escalation), yatay hareket (lateral movement), kalıcılık (persistence) — bu üç saldırı aşamasının üçü de AD nesnelerinde iz bırakır. Yeni bir Domain Admin hesabı oluşturulması, beklenmedik bir grup üyeliği değişikliği, mesai dışında bir Etki Alanı Denetleyicisi'ne (Domain Controller) yönelik oturum açma denemesi, kritik bir güvenlik grubunun GPO'sunun değişmesi — her biri bir saldırı zincirinin parçası olabilir.

Sorun şu ki, bu olayların ham log seviyesinde tespit edilmesi son derece zordur. Tek bir Etki Alanı Denetleyicisi günde yüz binlerce olay üretir. Birbirini takip eden başarısız oturum açma denemeleri ile bir oltalama saldırısının başlangıcı arasındaki bağlantıyı manuel olarak kuran bir analist, tipik bir SOC ekibinde lüks sayılır. İşte bu noktada özelleşmiş bir AD denetim katmanı devreye girer.


ADAUDIT PLUS'IN SOC PERSPEKTİFİNDEN SUNDUĞU GÖRÜNÜRLÜK

ManageEngine ADAudit Plus, Active Directory, Azure AD, dosya sunucuları ve Windows iş istasyonları için gerçek zamanlı bir denetim ve uyarı motorudur. SOC perspektifinden değerli kılan birkaç noktası vardır.

Önceden tanımlı insider-threat raporları

Ürün, 200'ü aşkın hazır rapor sunar. Bunların önemli bir alt kümesi doğrudan iç tehdit senaryolarına yöneliktir — örneğin "kullanıcı hareketleri", "izin değişikliği geçmişi", "etki alanı yöneticisi grup üyelik değişiklikleri", "mesai dışı oturum açmalar", "tekrarlayan kilitlenmeler". Bu raporlar bir SOC analiste sıfırdan sorgu yazma yükünü ortadan kaldırır.

UBA (kullanıcı davranış analizi) modülü

ADAudit Plus, her kullanıcının normal aktivite profilini öğrenir; tipik oturum açma saatleri, sık eriştiği iş istasyonları, dosya erişim hacmi gibi metriklerden bir taban çizgi oluşturur. Bu çizgiden anlamlı sapmalar — örneğin gece yarısı yeni bir bilgisayardan oturum açma, normalin on katı dosya erişimi, alışılmadık bir paylaşıma erişim — anomali olarak işaretlenir. Ele geçirilmiş hesap senaryolarında bu modülün katkısı belirgindir.

GPO ve ayrıcalık değişikliği takibi

Saldırganların kalıcılık için sıkça kullandığı Group Policy Object manipülasyonları, yeni ayrıcalıklı grup üyelikleri, ACL değişiklikleri her gerçekleştiğinde uyarıya dönüşür. "Bir hesap aniden Enterprise Admins grubuna eklendi" senaryosu için saatler değil saniyeler içinde uyarı üretilir.

Adli inceleme için zincirleme kayıt

Bir olay sonrası yapılan soruşturmalarda hangi kullanıcının ne yaptığı, hangi bilgisayardan oturum açtığı, hangi dosyaya eriştiği zincirleme bir kayıt halinde sunulur. Bu kayıtlar SOX, KVKK, ISO 27001 ve PCI-DSS denetim süreçlerinde delil olarak kullanılabilir.


ÜÇ SOMUT SENARYODA TESPİT

Senaryo 1 — Ayrılan çalışan veri kaçırma girişimi

İstifa eden bir geliştirici son haftasında dosya paylaşımındaki kaynak kod dizinine normalin çok üstünde erişim hacmi üretir. ADAudit Plus'ın dosya sunucu denetim modülü, kullanıcının taban çizgisinden sapan erişim hacmini eşik tabanlı uyarıya dönüştürür; SOC ekibi henüz dosyalar dışarı çıkmadan harekete geçer.

Senaryo 2 — Ele geçirilmiş yönetici hesabı

Bir BT yöneticisinin kimlik bilgileri oltalama saldırısıyla ele geçirilir. Saldırgan farklı bir coğrafyadan ve mesai dışında oturum açar, ardından yeni bir Domain Admin hesabı oluşturmaya çalışır. ADAudit Plus, hem mesai dışı oturum açma hem de ayrıcalıklı grup değişikliği için iki ayrı uyarı tetikler; SOC analist yetki yükseltme tamamlanmadan hesabı dondurur.

Senaryo 3 — İhmalkar GPO değişikliği

Bir sistem yöneticisi yanlışlıkla parola karmaşıklık politikasını gevşetir. Bu, doğrudan bir saldırı değildir ancak organizasyonu önemli ölçüde zayıflatır. ADAudit Plus'ın GPO denetim raporu, değişikliği dakikalar içinde gözler önüne serer; geri alma süreci başlatılır.


LOG360 VE PAM360 İLE GENİŞLEYEN RESİM

ADAudit Plus tek başına çok değerlidir, ancak ManageEngine'in güvenlik portföyünde diğer iki ürünle birlikte çalıştığında SOC açısından çok daha güçlü bir kapsama oluşur. ManageEngine Log360 SIEM platformuna AD denetim verileri akıtıldığında, AD anomalileri ağ, uç nokta ve güvenlik duvarı olaylarıyla korelasyona girer; tek başına anlamsız görünen bir AD olayı bir saldırı zincirinin orta halkası olarak ortaya çıkar. ManageEngine PAM360 ise ayrıcalıklı hesapların oturum kayıtlarını ve şifre rotasyonunu yönetir; ADAudit Plus bir ayrıcalıklı hesabın anomalik davrandığını gördüğünde, PAM360 üzerinden o oturumun video kaydına dakikalar içinde ulaşılabilir. Bu üç ürünün entegrasyonu, içeriden tehdide karşı tespit-önleme-soruşturma üçgenini tamamlar.


SONUÇ: GÖRÜNÜRLÜK OLMADAN MÜDAHALE OLMAZ

İçeriden gelen tehdit, dış saldırganlardan farklı olarak güven sınırlarının içinden çalıştığı için tespiti doğası gereği zordur. Ancak imkânsız değildir. Anahtar, kimlik katmanına — yani Active Directory'ye — yönelik sürekli, otomatik ve davranış tabanlı bir denetim katmanına sahip olmaktır. ADAudit Plus, bu katmanı kurumsal SOC ekiplerine hazır rapor seti, UBA motoru ve uyarı altyapısıyla sunar. Bir iç tehdit olayını 30 günde değil 30 dakikada tespit edebilmek, hem mali hem de itibari hasar açısından kritik farktır.


TECHNODUS'UN ROLÜ

Technodus, ManageEngine'in Türkiye'deki yetkili iş ortağı olarak ADAudit Plus, Log360 ve PAM360'ın kurum yapınıza uyarlanması, mevcut SIEM ve SOC süreçlerinizle entegrasyonu ve uzun vadeli operasyonel destek konusunda uçtan uca hizmet sunar. İç tehdit görünürlüğünü artırmak için bir değerlendirme yapmak isterseniz ekibimize ulaşmanız yeterli.