Davranışlar ekranı, kurum genelinde şüpheli, riskli veya uyumsuz aktiviteleri tespit etmek için kullanılan dinamik koşulları tanımlamanızı sağlar.
Davranışlar tek başına bir işlem (aksiyon) değildir.
Bunun yerine;
- Giriş Politikaları
- Erişim Politikaları
- Dedektörler
içerisinde koşul olarak tekrar tekrar kullanılabilirler.
Bu yapı sayesinde erişim kararları, yalnızca sabit kurallara değil; gerçek zamanlı risk sinyallerine ve bağlama göre verilir.
📍 Sıfır Güven Yaklaşımı → Davranışlar
Davranış Türleri
Her davranış türü, olası riskleri veya şüpheli aktiviteleri tespit etmeye yönelik bir algılama mantığını temsil eder.
Bu davranışlar sayesinde yalnızca güvenilir kullanıcıların ve cihazların, mevcut koşullar uygunsa erişim alması sağlanır.
Davranışlar iki ana gruba ayrılır:
-
Varsayılan Davranışlar
Sistem tarafından hazır olarak sunulur.
Değiştirilemezler ancak politikalar içinde kullanılabilirler.
-
Özel Davranışlar
Kurumunuza özel eşik değerleri ve filtrelerle sizin oluşturduğunuz davranışlardır.
Tüm davranışlar gerçek zamanlı olarak değerlendirilir.
1️⃣ Yeni Cihaz 💻
Kullanıcının daha önce sık kullanmadığı bir cihazdan yapılan girişleri tespit eder.
Sistem, kullanıcının geçmiş girişlerini inceler ve mevcut girişte kullanılan cihaz bilgilerini (örn. işletim sistemi, MAC adresi, tarayıcı bilgisi) önceki cihazlarla karşılaştırır.
Eğer mevcut cihaz daha önce kullanılan cihazlar arasında yoksa davranış tetiklenir.
💡 Bu davranış, kullanıcının daha önce hiç kullanmadığı bir cihazdan giriş yapması durumunda hesap ele geçirilmiş olabileceğini tespit etmeye yardımcı olur.
| Ayar | Açıklama |
|---|---|
| Birim | Karşılaştırılacak geçmiş cihaz sayısı |
| Değer | Eşik değer (örn. son 10 cihaz) |
🌍 İmkânsız Seyahat
Kısa sürede coğrafi olarak uzak iki konumdan yapılan girişleri tespit eder.
Sistem, mevcut girişin konumunu önceki başarılı girişle karşılaştırır.
İki konum arasındaki mesafeyi hesaplar ve bu mesafenin belirlenen süre içinde mantıklı bir hızla kat edilip edilemeyeceğini değerlendirir.
Eğer hesaplanan hız eşik değeri aşarsa davranış tetiklenir.
💡 Bu yüksek riskli bir davranıştır ve genellikle konum tabanlı güvenlik kontrollerinin aşılmaya çalışıldığını gösterir.
| Ayar | Açıklama |
|---|---|
| Anahtar | Hız hesaplama birimi (km/s, mil/s) |
| Değer | Hız eşiği |
🌏 Yeni Ülke
Kullanıcının giriş geçmişinde sık görülmeyen bir ülkeden yapılan girişleri tespit eder.
Sistem, mevcut girişin ülkesini kullanıcının son giriş geçmişiyle (örn. son 5 giriş) karşılaştırır. Eğer ülke bu geçmişte yer almıyorsa davranış tetiklenir.
💡 Kullanıcının daha önce hiç giriş yapmadığı bir ülkeden bağlanması şüpheli bir duruma işaret edebilir.
| Ayar | Açıklama |
|---|---|
| Anahtar | İncelenecek geçmiş giriş sayısı |
| Değer | Karşılaştırma eşiği |
📧 İhlale Uğramış E-posta
Kullanıcının e-posta adresinin bilinen bir veri ihlalinde yer alıp almadığını kontrol eder.
E-posta adresi bir ihlalde bulunursa ve bu ihlal tanımlanan tarih aralığı içindeyse davranış tetiklenir.
💡 İhlale uğramış e-posta adresleri, parola deneme saldırıları ve oltalama (phishing) için güçlü bir risk göstergesidir.
| Ayar | Açıklama |
|---|---|
| Anahtar | İhlal dahil etme, açıklama bilgisi, son ihlal tarihine göre değerlendirme |
| Değer | Tarih eşiği (örn. son 180 gün) |
🔒 Art Arda Başarısız Giriş – Aynı Hesap
Aynı hesap için tekrarlanan başarısız giriş denemelerini tespit eder.
Belirli bir süre içinde aynı hesap için yapılan başarısız giriş sayısı izlenir. Eşik değer aşılırsa davranış tetiklenir.
💡 Bu davranış, parola tahminine dayalı kaba kuvvet saldırılarını tespit etmek için kullanılır.
| Ayar | Açıklama |
|---|---|
| Anahtar | Art arda başarısız deneme sayısı |
| Değer | Eşik (örn. 5 başarısız deneme) |
🔐 Art Arda Başarısız Giriş – Farklı Hesaplar
Kısa sürede birden fazla hesapta başarısız giriş denemelerini tespit eder.
Sistem, belirlenen zaman aralığında farklı hesaplar üzerinde yapılan başarısız girişleri sayar. Toplam deneme sayısı eşiği aşarsa davranış tetiklenir.
Bu davranış, aynı parolanın birçok hesapta denendiği parola doldurma saldırılarını tespit etmeye yardımcı olur.
| Ayar | Açıklama |
|---|---|
| Anahtar | Hesaplar genelinde başarısız deneme sayısı |
| Değer | Eşik (örn. 5 farklı hesapta başarısız deneme) |
🚫 Güvenilmeyen IP
Bir genel IP adresini, bilinen riskli veya şüpheli IP kaynakları açısından değerlendirir.
Aşağıdaki kriterlerden biri veya birkaçı kontrol edilir:
- Proxy – IP bir proxy sunucuya ait mi
- VPN – Bilinen bir VPN servisinden mi geliyor
- TOR Ağı – Anonim TOR ağına ait mi
- Bot Aktivitesi – Otomatik saldırı izleri var mı
- Son Dönem Kötüye Kullanım – Spam, saldırı vb. geçmişi var mı
- Dolandırıcılık Skoru – Sahtecilik ihtimalini gösteren puan
- Kötüye Kullanım Hızı – IP’den gelen saldırı yoğunluğu
Tanımladığınız koşullardan biri eşleşirse davranış tetiklenir ve IP güvenilmeyen olarak işaretlenir.
Özel Davranış Oluşturma
Yeni bir davranış tanımlamak için Davranış Oluştur butonuna tıklayın.
Adımlar:
- Davranışa bir ad verin
- Davranış türünü seçin
- Türüne özel ayarları yapılandırın
Oluşturulan davranış;
- Giriş Politikalarında
- Erişim Politikalarında
- Dedektörlerde
koşul olarak kullanılabilir.
0 yorum
Yorum yazmak için lütfen oturum açın: oturum aç.