Azure Advanced Threat Protection (ATP), Microsoft Azure bulut platformu üzerinde çalışan bir güvenlik hizmetidir. Bu hizmet, kuruluşların bilgisayar ağlarını, kimlik doğrulama verilerini ve tehdit istihbaratını analiz eder. Bu sayede kuruluşlar, ağlarında fark edilmeyen kötü amaçlı aktiviteleri ve tehditleri tespit edebilirler.
Azure ATP, üç ana bileşenden oluşur: özetleme hizmetleri, bilgi toplama hizmetleri ve tehdit analizi hizmetleri. Özetleme hizmetleri, ATP verilerini toplayarak, analiz ederek ve kuruluşlara özet bir rapor sunarak verilerin anlaşılmasını kolaylaştırır. Bilgi toplama hizmetleri, Azure ATP için ağda veri toplar ve bu verileri merkezi bir konuma yükler. Tehdit analizi hizmetleri ise, toplanan verileri analiz eder ve kötü amaçlı aktiviteleri tespit eder.
Azure ATP, çalışma mantığı olarak adım adım aşağıdaki şekilde işlemektedir:
- Veri Toplama: Azure ATP, Windows Event Log hizmeti aracılığıyla, Active Directory ve DNS sunucuları üzerinde bulunan verileri toplar. Bu veriler, kimlik doğrulama işlemleri, hesap hareketleri ve ağ etkinliği gibi ağa ilişkin verileri içerir.
- Veri İşleme: Azure ATP, toplanan verileri işleyerek, ağdaki kullanıcılar, cihazlar ve ağ kaynakları arasındaki ilişkileri belirler. Bu sayede, ağdaki normal aktivitelerin tanımlanması mümkün hale gelir.
- Tehdit Analizi: Azure ATP, belirlenen normal aktivitelerin dışındaki etkinlikleri tespit etmek için, sıfır günlük tehdit algılama teknolojilerini kullanır. Bu teknolojiler, ağdaki etkinlikleri gerçek zamanlı olarak analiz eder ve anormallikler tespit edildiğinde uyarılar verir.
- Uyarılar ve İşlem: Azure ATP, tespit edilen anormallikler hakkında ayrıntılı uyarılar sunar. Bu uyarılar, olayların ciddiyetine ve önceliğine göre sınıflandırılır. Kuruluşlar, bu uyarıları kullanarak, ağlarındaki tehditleri tespit edebilir ve gerekli önlemleri alabilirler.
Azure ATP, ayrıca bir dizi koruma özelliği de sunar. Bu özellikler, Active Directory doğrulama politikaları, kimlik doğrulama risklerinin değerlendirilmesi ve tanımlanması, kullanıcı hesaplarının korunması ve ağa giriş yapan cihazların analizi gibi konuları kapsar.