Bizi Takip Edin :
Xen Bilişim
EN
Teklif Alın
Şirket-içi AD Güvenliği · Güvenlik & Uyum

Microsoft Defender for Identity

Son inceleme:

Defender for Identity, şirket-içi Active Directory altyapınızdaki kimlik tabanlı saldırıları algılar. Pass-the-Hash, Pass-the-Ticket, Golden Ticket, Kerberoasting, DCSync gibi gelişmiş tekniklere karşı Domain Controller’a kurulan sensorlar ile davranışsal makine öğrenmesi uygular. Microsoft Defender XDR ile entegre — saldırı zinciri uç noktada başlayıp AD’ye sıçradığında korelasyon kurar.

Kerberos Saldırıları

Golden Ticket, Pass-the-Hash, Kerberoasting algılama.

Lateral Movement

Bir hesap üzerinden ağ içinde yatay hareket kalıbı tespiti.

DC Sensor

Domain Controller üzerine hafif ajan; ağ trafiği + ETW telemetri.

XDR Korelasyon

Endpoint + Identity + Cloud Apps olaylarını tek olay zincirine bağla.

Şirket-içi AD neden hâlâ saldırı yüzeyi?

Çoğu Türk kurumu Microsoft 365'e geçtikten sonra bile hibrit kimlik yapısı kullanır: yerel Active Directory + Entra ID (eski Azure AD) eşitleme. Bu karma yapıda şirket-içi AD'nin saldırı yüzeyi devam eder; Microsoft'un Defender for Identity overview sayfası bu durumu detaylar.

  • Pass-the-Hash: Saldırgan bir hesabın hash'ini ele geçirir ve şifre bilmeden lateral hareket yapar.
  • Pass-the-Ticket: Kerberos ticket'larını çalıp başka hesap olarak hareket eder.
  • Golden Ticket: KRBTGT hesabının hash'iyle ücretsiz, süresiz Kerberos ticket üreterek tüm domain'i ele geçirme.
  • Silver Ticket: Servis hesabı tickets'larıyla belirli servislere yetkisiz erişim.
  • Kerberoasting: Servis Principal Name (SPN) hesaplarının zayıf şifrelerini offline brute-force ile kırma.
  • DCSync attack: Domain Controller'ı taklit ederek tüm kullanıcı hash'lerini sızdırma.
  • Lateral movement: Bir hesap üzerinden ağ içinde yatay hareket — birden çok sunucuya seri bağlantı.

Defender for Identity nasıl çalışır?

Microsoft'un yaklaşımı: Domain Controller'lara hafif sensor kurulur; tüm AD trafiği + ETW (Event Tracing for Windows) telemetrisi analiz edilir.

  • DC sensor kurulumu: Her Domain Controller'a kurulan agent; ağ trafiği (Kerberos, NTLM, LDAP, DNS) + Windows Event Log'ları + ETW analiz.
  • Davranışsal Makine Öğrenmesi: İlk 30 günde her kullanıcı + hesabın "normal" davranış profili çıkarılır (giriş saatleri, erişilen sunucular, kullandığı protokoller).
  • Anomali tespit: Normal profilden sapma → otomatik alarm.
  • Saldırı zincir görselleştirme: Olayların timeline'i Microsoft Defender XDR portalında zincir olarak gösterilir.
  • Otomatik yanıt: Saldırı tespit edildiğinde otomatik aksiyon (örn. şüpheli hesabı askıya al, uç noktayı izole et) Defender for Endpoint ile birlikte tetiklenir.
  • Defender XDR ile korelasyon: Saldırı uç noktada başlayıp AD üzerinden yayıldığında olay zinciri tek "incident" olarak gösterilir.

Tipik algılama senaryoları

  • Anormal Kerberos talebi: Servis hesabı saatler içinde çok sayıda farklı SPN için Kerberos ticket istiyor → Kerberoasting denemesi olabilir.
  • Lateral movement: Bir kullanıcı 1 saat içinde 50+ farklı sunucuya bağlanma deniyor → ele geçirilmiş hesap.
  • DCSync attack: Bir endpoint Domain Controller'ı taklit ederek tüm hash'leri istiyor → kritik alarm.
  • Brute-force: Bilinmeyen IP'den Domain Admin hesabına yüzlerce başarısız giriş denemesi.
  • İmpossible travel: Bir hesap İstanbul'dan AD'ye giriş yapıp 5 dakika sonra başka kıtadan tekrar giriş yapıyor.
  • Anormal hesap kullanımı: Servis hesabı interactive logon yapıyor (normalde sadece API/script için kullanılır).
  • Honeytoken hesap erişimi: Tuzak olarak kurulan hesabın kullanılması — kesin saldırgan göstergesi.

M365 E5 ile ilişkisi ve lisanslama

  • Microsoft 365 E5: Defender for Identity dahil ✓ — Defender Suite (XDR) korelasyonunun parçası.
  • Microsoft 365 E5 Security: Dahil ✓
  • Microsoft 365 E3: Dahil DEĞİL; standalone add-on alınabilir.
  • Office 365 E5: Dahil DEĞİL.
  • Domain Controller başına sensor ÜCRETSİZDİR — lisans kullanıcı bazlıdır, sensor kuruluşunuzdaki tüm DC'lere ek maliyetsiz dağıtılır.
  • Standalone alım: Per user per month NCE üzerinden; güncel pricing Microsoft'un Defender for Identity sayfasından.

Kurulum süreci ve dikkat noktaları

Tipik 100-500 kullanıcılı bir kurumda Defender for Identity yapılandırması 2-3 hafta:

  • Hafta 1 — Hazırlık: AD ortamı envanteri (DC sayısı, function level, kullanıcı/hesap sayısı). Microsoft 365 E5 lisansları aktif edilir.
  • Hafta 1 — Sensor kurulumu: Her DC'ye Defender for Identity sensor MSI paketi kurulur. Otomatik dağıtım için SCCM veya GPO kullanılabilir.
  • Hafta 2 — Cloud connection + baseline: Sensorlar Microsoft Defender portalına bağlanır. İlk 30 günde davranışsal baseline oluşturulur (bu süre içinde alarmlar daha sık olabilir).
  • Hafta 3 — Honeytoken + politika: Tuzak hesaplar (honeytoken) tanımlanır — bu hesaplar normalde kullanılmaz, sadece saldırgan tarafından denenirse alarm. Sensitive grup tanımları (Domain Admins, Enterprise Admins) işaretlenir.
  • Sonra — Sürekli iyileştirme: Aylık tehdit raporu, false positive'lerin azaltılması, yeni saldırı paternlerine göre yapılandırma güncellemesi.

Lisanslama

Lisans modeli

Per User Per Month · NCE

Taahhüt seçenekleri
  • Aylık
  • 1 yıl

Microsoft 365 E5 ve E5 Security içinde dahildir. Standalone alım için Microsoft'un resmi sayfasından fiyat veya CSP teklifi. Domain Controller başına sensor ÜCRETSİZDİR — kullanıcı sayısına göre lisanslanır. NCE (New Commerce Experience): 7 gün içinde lisans iptal/azaltma; sonrası taahhüt sonuna kadar kilitlidir. Yıllık taahhütte aylık%ye göre belirgin indirim olur.

Kim İçin Uygundur?

Şirket-içi Active Directory kullanan orta-büyük kurumHibrit kimlik yapısı (AD + Entra)SOC + Incident Response ekibi olan kurumKVKK 12. madde kimlik güvenliği gereğiAPT hedefi sektörler (finans, kamu, savunma)

Sıkça Sorulan Sorular

Azure AD (Entra ID) only kullanıyorum, ihtiyaç var mı?

Hayır. Defender for Identity yalnızca şirket-içi Active Directory'ye odaklıdır. Tam bulut, sadece Entra ID kullanıyorsanız ihtiyacınız yok. Bulut kimlik koruması için Microsoft Entra ID Plan 2 (Identity Protection özelliği) kullanılır — M365 E5 paketinde dahildir. Hibrit yapıda her iki ürün de gereklidir.

Domain Controller üzerinde performans etkisi nedir?

Microsoft'un belgelerine göre sensor hafiftir — tipik CPU kullanımı düşük seviyede, RAM kullanımı orta. Üretim Domain Controller'larında sorunsuz çalışır. Gerçek performans etkisi her kurumun trafik hacmine göre değişir; pilot DC'lerde test edip yaygınlaştırmak önerilir.

Defender Suite içinde mi?

Evet. Microsoft Defender XDR (Suite), dört bileşenden oluşur: Defender for Endpoint Plan 2, Defender for Office 365 Plan 2, Defender for Identity, Defender for Cloud Apps. M365 E5 ve E5 Security paketleri bu dördünü birlikte içerir.

Mevcut SIEM (Splunk, ArcSight, QRadar) ile entegre olur mu?

Evet. Defender for Identity alarmları Microsoft Sentinel'e doğrudan akar; Sentinel'den 3rd party SIEM'lere CEF/Syslog forwarder ile aktarılır. Direkt entegrasyon için SIEM vendor'larının Microsoft Graph API connector'ları kullanılır.

Mevcut Microsoft Advanced Threat Analytics (ATA) müşterisiyim, geçiş nasıl?

ATA, Defender for Identity'nin önceki nesil ürünüdür ve 2026'da end-of-life olmuştur. Microsoft'un göç dokümanları (Defender for Identity migration) ATA'dan geçişi adım adım açıklar. Tipik 2-4 haftalık paralel çalıştırma + cut-over süreci.

KVKK kapsamında veri ihlali tespiti için yeterli mi?

AD üzerinden gelen kimlik tabanlı saldırıların büyük çoğunluğunu tespit eder; bu KVKK 12. madde "veri güvenliği yükümlülüğü" için önemli bir teknik tedbirdir. Tek başına yeterli değil — uç nokta (Defender for Endpoint), e-posta (Defender for Office 365) ve veri (Purview) katmanlarıyla birlikte tam koruma sağlar. Defender Suite tek pakette dördünü sunar.

Xen Bilişim Devreye Alım Süreci

  1. 1. Keşif & boyutlandırma: Mevcut altyapı, kullanıcı sayısı, OS/bulut dağılımı ve uyum gereksinimleri analiz edilir; doğru SKU ve lisans adedi önerilir.
  2. 2. Pilot kurulum: 10-25 cihazlık alt küme devreye alınır; mevcut güvenlik stack ile entegrasyon test edilir; alarm + raporlama yapılandırılır.
  3. 3. Tam yaygınlaştırma (rollout): Faz faz tüm endpoint'lere açılır; politika şablonları uygulanır; kullanıcı eğitimi + IT runbook teslim edilir.
  4. 4. Optimizasyon & takip: Devreye alımdan sonra 90 günlük ince ayar: false-positive triajı, politika sıkılaştırma, KPI gözden geçirme ve çeyrek bazlı sağlık kontrolü.

Tipik uçtan uca süre: 2-4 hafta (kullanıcı sayısı ve entegrasyon kapsamına göre değişir).

Microsoft Defender for Identity için ihtiyacınıza özel teklif alın

Teklif Alın 0850 259 5949