Active Directory (AD), kurumsal ağların temelini oluşturan kritik bir bileşendir. Ancak, AD’nin karmaşık yapısı ve geniş kapsamı, güvenlik açıklarının ortaya çıkmasına neden olabilir. Bu nedenle, AD güvenliğini sağlamak ve olası tehditleri tespit etmek için çeşitli araçlar ve scriptler geliştirilmiştir. Bu blog yazısında, AD güvenliği ve izleme konusunda kullanılan bazı popüler araçları ve scriptleri inceleyeceğiz.
## 1. **Invoke-TrimarcADChecks**
Bu PowerShell scripti, tek bir etki alanı AD ormanından veri toplamak ve Active Directory Güvenlik Değerlendirmesi (ADSA) yapmak için tasarlanmıştır. Script, AD yapılandırmasındaki zayıf noktaları ve güvenlik açıklarını tespit etmek için kullanılır.
## 2. **Create-Tiers in AD**
Bu proje, herhangi bir ortamda Active Directory’de katmanların otomatik olarak dağıtılmasını sağlar. Katmanlı mimari, AD güvenliğini artırmak için kritik öneme sahiptir ve bu script, bu süreci otomatikleştirir.
## 3. **SAMRi10** artık MS galerisinde bulunmuyor..!!
Windows 10 ve Server 2016’da SAM (Security Account Manager) uzaktan erişimini güçlendirmek için tasarlanmış bir araçtır. Bu araç, yetkisiz erişimleri engellemek için SAM veritabanının güvenliğini artırır.
## 4. **Net Cease**
Net Session Enumeration’ı güçlendirmek için kullanılan bir araçtır. Bu araç, ağ üzerindeki oturumların yetkisiz şekilde numaralandırılmasını engelleyerek güvenliği artırır.
## 5. **PingCastle**
PingCastle, Active Directory güvenlik seviyesini hızlı bir şekilde değerlendirmek için tasarlanmış bir araçtır. Risk değerlendirmesi ve olgunluk çerçevesine dayalı bir metodoloji kullanır.
## 6. **Aorato Skeleton Key Malware Remote DC Scanner**
Bu araç, Skeleton Key Malware’nin varlığını uzaktan taramak için kullanılır. Skeleton Key, AD ortamında ciddi güvenlik açıklarına neden olabilen bir kötü amaçlı yazılımdır.
## 7. **Reset the krbtgt account password/keys**
Bu script, krbtgt hesabının parolasını ve ilgili anahtarları sıfırlamak için kullanılır. Bu işlem, Kerberos kimlik doğrulama sorunlarını en aza indirirken AD güvenliğini artırır.
## 8. **RiskySPN**
RiskySPN, SPN’ler (Service Principal Name) ile ilişkili hesapları tespit etmek ve kötüye kullanmak için odaklanmış bir PowerShell script koleksiyonudur. SPN’ler, AD ortamında sıkça hedef alınan bileşenlerdir.
Kurulum ve Kullanım
## 9. **Deploy-Deception**
Bu PowerShell modülü, Active Directory’de tuzak nesneleri dağıtmak için kullanılır. Tuzak nesneler, saldırganların gerçek sistemlere erişmeden önce tespit edilmesini sağlar.
Kurulum ve Kullanım
## 10. **SpoolerScanner**
MS-RPRN’nin uzaktan erişilebilir olup olmadığını kontrol etmek için kullanılan bir araçtır. Bu araç, yazıcı hizmetlerindeki güvenlik açıklarını tespit etmek için kullanılır.
Kurulum ve Kullanım
## 11. **dcept**
Active Directory tuzaklarını dağıtmak ve kullanımını tespit etmek için kullanılan bir araçtır. Bu araç, saldırganların tespit edilmesini sağlar.
Kurulum ve Kullanım
## 12. **LogonTracer**
LogonTracer, Windows olay günlüklerini görselleştirerek ve analiz ederek kötü amaçlı Windows oturum açma işlemlerini araştırmak için kullanılır.
## 13. **DCSYNCMonitor**
DCSYNC ve DCSHADOW saldırılarını izlemek ve bu olaylar için özel Windows olayları oluşturmak için kullanılan bir araçtır.
Kurulum ve Kullanım
## 14. **Sigma**
SIEM sistemleri için genel imza formatıdır. Sigma, güvenlik olaylarını tespit etmek için kullanılan kuralları tanımlar.
Kurulum ve Kullanım
## 15. **Sysmon**
Sysmon, Windows sistem etkinliğini izlemek ve Windows olay günlüğüne kaydetmek için kullanılan bir sistem hizmetidir. Sysmon, sistem yeniden başlatmaları sırasında bile etkin kalır.
Kurulum ve Kullanım
## 16. **SysmonSearch**
SysmonSearch, Sysmon’un olay günlüklerini görselleştirerek şüpheli etkinlikleri araştırmak için kullanılır.
Kurulum ve Kullanım
## 17. **ClrGuard**
ClrGuard, Common Language Runtime (CLR) enstrümantasyonunu keşfetmek için bir proof of concept projesidir. Bu araç, güvenlik amaçları için CLR’yi izler.
## 18. **Get-ClrReflection**
Bellekteki CLR (.NET) modüllerini tespit etmek için kullanılan bir araçtır.
Kurulum ve Kullanım
## 19. **Get-InjectedThread**
Get-InjectedThread, çalışan her bir iş parçacığını inceleyerek bellek enjeksiyonunun sonucu olup olmadığını belirler.
Kurulum ve Kullanım
## 20. **SilkETW**
SilkETW ve SilkService, ETW (Event Tracing for Windows) için esnek C# sarmalayıcılarıdır. Bu araçlar, ETW’nin karmaşıklıklarını ortadan kaldırır ve araştırma yapmak için basit bir arayüz sunar.
Kurulum ve Kullanım
## 21. **WatchAD**
WatchAD, AD güvenlik ihlali tespit sistemi olarak kullanılır. Bu araç, AD ortamındaki olası güvenlik ihlallerini tespit etmek için tasarlanmıştır.
Kurulum ve Kullanım
## 22. **Sparrow**
Sparrow.ps1, CISA’nın Bulut Adli Tıp ekibi tarafından Azure/M365 ortamında olası tehlikeye girmiş hesapları ve uygulamaları tespit etmek için oluşturulmuş bir PowerShell scriptidir.
Kurulum ve Kullanım
## 23. **DFIR-O365RC**
DFIR-O365RC, Office 365 İş E-posta Güvenliği ihlali araştırmaları için ilgili günlükleri toplamak üzere tasarlanmış bir PowerShell modülüdür.
Kurulum ve Kullanım
## 24. **AzureADIncidentResponse**
Azure AD olay müdahalesi sırasında yardımcı olacak araçlar içerir. Bu araçlar, Azure AD ortamındaki güvenlik olaylarını hızlı bir şekilde yanıtlamak için kullanılır.
Kurulum ve Kullanım
## 25. **ADTimeline**
ADTimeline scripti, ilgi çekici nesneler için Active Directory çoğaltma meta verilerine dayalı bir zaman çizelgesi oluşturur. Bu script, AD olaylarını analiz etmek için kullanılır.
Kurulum ve Kullanım
## 26. **Sysmon Configuration**
Sysmon yapılandırması, yüksek kaliteli olay izleme için özelleştirilebilir bir şablon sunar. Bu yapılandırma, Sysmon’un etkinliğini artırmak için kullanılır.
Kurulum ve Kullanım
Active Directory güvenliği, kurumsal ağların korunmasında kritik bir rol oynar. Yukarıda bahsedilen araçlar ve scriptler, AD ortamındaki güvenlik açıklarını tespit etmek, güvenliği artırmak ve olası tehditlere karşı proaktif önlemler almak için kullanılabilir. Bu araçları doğru şekilde kullanarak, AD ortamınızın güvenliğini sağlamak ve olası saldırıları önlemek mümkündür.
Unutmayın, güvenlik sürekli bir süreçtir ve bu araçlar, bu süreçte size yardımcı olacak değerli kaynaklardır.
