Kurumsal ağların güvenliği ve sürekliliği açısından domain controller (DC) sunucularının doğru şekilde izlenmesi kritik bir öneme sahiptir. Domain controller’lar, kullanıcı kimlik doğrulamasından grup ilkesi yönetimine kadar birçok temel işleve ev sahipliği yapar. Bu nedenle, bu sunucular üzerindeki ağ trafiğinin, özellikle de kullanılan portların sürekli izlenmesi hem güvenlik hem de operasyonel açıdan büyük fayda sağlar.
Azure Monitor, Microsoft’un bulut tabanlı kapsamlı izleme çözümü olarak, hem performans verilerini toplama hem de olayları analiz etme imkanı sunar. Azure Monitor ile Domain Controller’ların kullandığı gelen/giden portlar, bu portlar üzerinden gerçekleşen iletişim sıklığı ve veri akışı detaylı şekilde analiz edilebilir. Böylece olağandışı port kullanımları tespit edilebilir, saldırı yüzeyleri azaltılabilir ve sadece izin verilen bağlantıların kullanıldığından emin olunabilir.
Veri Toplama Yöntemleri: Legacy Agent ve Azure Arc Destekli Modern Yaklaşım
Azure Monitor ile domain controller port analizini gerçekleştirmek için öncelikle izleme verisinin Azure’a aktarılması gerekir. Bu aktarım için iki temel yöntem bulunmaktadır:
1. Legacy Yöntem: Microsoft Monitoring Agent (MMA)
Bu klasik yaklaşımda, sunucuya doğrudan Microsoft Monitoring Agent yüklenir ve Log Analytics çalışma alanına bağlanır. MMA, olay günlüklerini, performans sayaçlarını ve syslog gibi diğer verileri toplayarak Azure Monitor’a gönderir.
- Avantajları:
- Basit kurulum
- Azure Arc gerektirmez
- Küçük yapılar için yeterlidir
- Dezavantajları:
- Microsoft tarafından deprecated (kullanımdan kaldırılmak üzere) olarak işaretlenmiştir
- Yeni özellikler sadece Azure Monitor Agent (AMA) ile desteklenmektedir
- Veri toplama esnekliği ve performansı sınırlıdır
2. Modern Yöntem: Azure Arc + Azure Monitor Agent (AMA)
Bu yöntem, özellikle on-premises (şirket içi) domain controller’lar için önerilen modern izleme yaklaşımıdır. Azure Arc ile sunucu Azure ortamına hybrid olarak kayıt edilir. Ardından, Azure Monitor Agent kurulup yapılandırılarak çok daha esnek ve güvenli bir veri toplama altyapısı elde edilir.
- Avantajları:
- Modern, modüler ve merkezi yapılandırma desteği
- Daha gelişmiş veri filtreleme ve port bazlı hedefleme yapılabilir
- Microsoft’un gelecekteki geliştirmeleri bu ajan üzerine yoğunlaşmaktadır
- Dezavantajları:
- Azure Arc bileşeninin ön hazırlığı ve yönetimi gerekir
- İlk yapılandırma MMA’ya göre biraz daha karmaşıktır
Her iki yöntemle de port bazlı ağ etkinlikleri izlenebilir, ancak modern AMA + Arc yöntemi çok daha detaylı ve esnek bir analiz altyapısı sunar. Bu nedenle, bu makalenin ilerleyen bölümlerinde Azure Arc ile entegre Azure Monitor Agent kullanımı üzerinden örneklemeler yapılacaktır.
Bizim ortamımızda onprem çalışan bir adet Domain Controllerimiz var ve bunu monitoring etmek istiyoruz.
İlk olarak onprem taraftaki DC’i Arc’a kayıt etmemiz gerekiyor.
Azure Arc Üzerinden Sunucu Kaydı
Azure Monitor ile Domain Controller üzerindeki port iletişimini analiz edebilmek için ilk adım, ilgili sunucunun Azure Arc üzerinden Azure ortamına bağlanmasıdır. Bu işlem, Azure Arc portalından Machines sekmesine girilerek gerçekleştirilir.
Yukarıdaki ekranda görüldüğü gibi, Add/Create > Add a machine seçeneği ile ortamda bulunan bir fiziksel veya sanal makine Azure Arc’a dahil edilebilir. Bu işlem, Azure Monitor Agent’ın kurulabilmesi için gerekli ön hazırlıktır.
Azure Arc üzerinden bir sunucunun bağlantısı, Azure Portal’da oluşturulan özel bir PowerShell scripti aracılığıyla yapılır. “Download and run script” sekmesinde otomatik olarak oluşturulan bu script, sunucunun Azure aboneliğine ve belirlenen resource group’a bağlanmasını sağlar.
PowerShell Script’in Çalıştırılması ve Azure Kimlik Doğrulama Süreci
Azure Arc bağlantısı için indirilen script, yönetici yetkisiyle PowerShell üzerinde çalıştırıldığında aşağıdaki gibi detaylı bir PowerShell oturumu görüntülenir:
Script, Azure Connected Machine Agent’ı indirip yükledikten sonra, makinenin Azure ortamına bağlanabilmesi için tarayıcıyı açarak bir kimlik doğrulama penceresi başlatır. Bu noktada kullanıcıdan, Azure aboneliğiyle ilişkili bir hesabın giriş bilgileri istenir.
Aşağıda bu kimlik doğrulama ekranı görülmektedir:
Kullanıcı, geçerli bir Azure hesabı ile oturum açtıktan sonra on-prem Domain Controller ile Azure Arc arasında bağlantı kurulmuş olur. Bu bağlantı sayesinde, sistem Azure Monitor ile iletişim kurabilir hale gelir.
Azure Portal Üzerinden Azure Arc Bağlantısının Doğrulanması
Script başarıyla çalıştırılıp kimlik doğrulama adımı tamamlandıktan sonra, ilgili Domain Controller artık Azure Arc altında Connected (bağlı) durumunda görünür.
Azure Monitor: Processes and Dependencies (Bağlantı ve Port Takibi)
Azure Arc ile bağladığımız Domain Controller, artık Azure Monitor üzerinden izlenebilir durumda. Port ve bağlantı analizini etkinleştirmek için Virtual Machine Insights yapılandırması yapılır.
Bu ekranda aşağıdaki adımlar izlenir:
- Data collection rule name olarak anlamlı bir isim (örneğin LAB) tanımlanır.
- Processes and dependencies kutucuğu işaretlenir. Bu seçenek, sunucu üzerindeki aktif süreçler ile bu süreçlerin hangi uzak sistemlerle, hangi portlar üzerinden iletişimde olduğunu analiz edebilmek için kritiktir.
- Log Analytics workspace olarak daha önce oluşturduğumuz workspace (örneğin LABWS) seçilir.
Yapılandırma tamamlandıktan sonra, Azure Monitor portalı altında Insights bölümüne giderek sistem üzerindeki kaynak kullanımı ve bağlantı detaylarını analiz etmek mümkündür.
Bağlantı Haritası ve Port Analizi
Azure Monitor Insights altında Map sekmesi sayesinde, izlenen Domain Controller’ın diğer sistemlerle kurduğu bağlantılar görsel olarak analiz edilebilir hale gelir.
Domain Controller gibi kritik sistemlerde ağ trafiğinin, port bazlı olarak hangi servisler ve dış sistemlerle iletişim kurduğunun izlenmesi, hem güvenlik hem de operasyonel görünürlük açısından büyük önem taşır. Azure Arc ile on-prem sunucular Azure’a bağlandıktan sonra, AMA kurulumu sayesinde sistem performansı ve bağlantı haritası merkezi olarak takip edilebilir hale gelir. Özellikle Processes and Dependencies seçeneği sayesinde, bir sunucunun hangi process üzerinden hangi IP’ye, hangi porttan eriştiği gibi detaylar grafiksel olarak analiz edilebilir.
Eline sağlık.