Présentation et deep dive de Microsoft Advanced Threat Analytics
Cette présentation à était donnée par moi même lors du MS cloud Summit 2017 à Paris.
Cette présentation présente la solution, vous donne toute les bonne pratique pour l’aspect installation, design, déploiement et opérations.
Merci :)
Seyfallah Tagrerout
7. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Quelques chiffres clés
• 81 % des entreprises
Françaises ont été visées
par une cyberattaque en
2015
• 5 à 10 % du budget d’une
entreprise d’après l’ANSSI
• 9 Semaines, c’est le temps
qu’il faut pour retomber
sur pattes …
• 35 % des incidents
proviennent malgré eux
des employés
8. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Quelques chiffres clés
• 800 000 euros ! Pour s’en
remettre en moyenne
• Exemple TV5 Monde : 4.6
Millions d’euros
Source : http://ideas.microsoft.fr/cybersecurite-5-chiffres-cles-a-connaitre/#5iH5RxGrqvu1LzEK.97
10. Azure Information
Protection
Protect your data,
everywhere
Microsoft Cloud App Security
Azure Active Directory
Detect threats early
with visibility and
threat analytics
Advanced
Threat Analytics
Extend enterprise-grade
security to your cloud
and SaaS apps
Intune
Protect your users,
devices, and apps
Manage identity with hybrid
integration to protect application
access from identity attacks
Enterprise Mobility +Security
Comment se procurer Microsoft ATA ?
11. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
Machine learning Protection Anticipation Alerts
Achat par Microsoft : Start-up AORATO
Active Directory
12. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
Sinon, que permet Microsoft ATA ? Via une analyse du trafic des DCs …
Chaine classique d’une cyber
attaque:
• Reconnaissance
• Mouvement latérale
• Persistance
Risques:
• Vulnérabilité de protocole
connues
• Protocoles faibles
• Perte de relation de
confiance
13. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
Types d’attaques:
• Comportement
anormale
• Attaques
malveillants
Types d’attaques malveillants:
• Golden Ticket
• Reconnaissance
• Brut de force
• Exécution à distance
• OverPAss-The-Hash
• Pass-The-Ticket
• Pass-The-Hash
• ….
Sinon, que permet Microsoft ATA ?
14. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
À propos du machine Learning dans ATA :
• Connexion anormale sur
des ressources
• Mouvement latérale
• Menaces inconnues
15. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
Apports au quotidien :
• Alertes
• Robustesse
• Protection de l’AD
• Prévention
18. Architecture
Eléments d’architectures
• ATA Center
• ATA Gateway
• ATA LightWeight Gateway
• DataBase Mango DB
• ATA center Web console
• Port mirroring
• Syslog , Splunk ..
21. Architecture
• Collecte les évènements
• Analyse les évènement
• Traitement des évènements
• Alertes des activités suspects
• Notification via Console + Mail
• Console web (d’administration)
• Update / opérations et administration
• Service Windows :
– Microsoft Advanced Threat Analytics Center
L’ATA Center – l’élément centrale de l’architecture …
Pas de multi-forêts pour l’ATA center ! (pour l’instant …)
23. Architecture
• .exe d’ATA Gateway installé sur un serveur
• Collection du trafic des DCs via le port
mirroring
• Récupération des données provenant des
utilisateurs du domaine
• Evènements reçus via :
– DC / SIEM / Event Log (forward)
• Un ou plusieurs DCs
• Deux Services :
– Microsoft Advanced Thread Analytics Gateway
– Microsoft Advanced Thread Analytics Gateway updater
L’ATA Gateway – l’autre élément essentiel…
25. Architecture
• Même rôle qu’une Gateway classique
• À l’exception :
– Candidat Synchronisateur de domaine
– Limitation de ressources
L’ATA LightWeight Gateway – l’autre élément essentiel…
26. Architecture
L’ATA LightWeight Gateway – l’autre élément essentiel…
Composant qui analyse le CPU + RAM du DCs sur le quel il est installé:
– Fréquence d’analyse : toutes les 10 secondes
– Minimum 15 % de ressources ….
Intelligence au niveau du choix du Traffic a analyser :
27. Architecture
Data Base MangoDB :
Stockage :
• La configuration d’ATA
• Les activités suspects
• Les évènements
• L’activité réseau
C:Program FilesMicrosoft Advanced Threat
AnalyticsCenterMongoDBbindata
32. Planification
Définir les besoins en ressources matériels
Outils de dimensionnement :
• Advanced Threat Analytics (ATA) Sizing tool (v2.6.2)
– https://gallery.technet.microsoft.com/Advanced-Threat-
Analytics-7371c87f
• Scan tout le trafic au niveau des DCs et aide à :
– Quantité de mémoire RAM
– CPU
– Stockage Data base
– ATA Gateway & LightWeight Gateway
35. Déploiement
Les questions avant de déployer…
Question Choix
1 L’ATA center Physique / virtuel
2 Type de passerelle Classique / légère
3 Certificate Via Pki / auto signé
4 SIEM ou WEF SIEM ou WEF
5 WK ou domaine
Sécurité ou
management .. ?
36. Déploiement
Gateway classique ou LightWeight Gateway ?
• ATA Gateway classique:
– Port Mirroring
– Prend plusieurs DCs
– Plus difficile a détecter
– Jusqu’à 50 000 paquet /s
• Scenarios :
– Sur les DCs chargés en
trafic
• ATA LightWeight
Gateway :
– Pas Port Mirroring
– Prend un DC à la fois
– Facile à détecter sur le Dc
– Jusqu’à 10 000 paquet /s
• Scenarios :
– RODC
– Site distant
38. Déploiement
Prérequis | ATA Center
• Windows server 2012 R2 / 2016
• Physique ou Virtuel
• Compte « accès lecture de l’annuaire AD »
• KB: 2919335
• Horloge synchronisée avec les DCs
• Au moins une carte réseaux (2 de
préférences)
• Joint au domaine ou Workgroup
• SSL pour la web console
• Certificat auto-signé (installation service
ATA)
Prérequis | ATA Gateway
• Windows server 2012 R2 / 2016 /
server core
• Physique ou Virtuel
• KB: 2919335
• Configuration Port mirroring comme
destination
• Deux interfaces réseaux
• Horloge synchronisée avec les DCs
• Domaine ou Workgroup
• Pour le DC mini 8 GB de RAM
La RAM + CPU sont défini après l’analyse du trafic avec Advanced Threat Analytics (ATA) Sizing tool
39. Déploiement
Prérequis | ATA Gateway
• Spécificité:
– Minimum 10 GB pour les Logs
– Deux cartes réseaux:
• Gestion et LAN
• Capture du trafic
– IP: 1.1.1.1 /32) no routable /
Pas de DNS ni Gateway
40. Déploiement
Flux – Firewall | ATA Center
Protocole Transport Port From Sens
SSL
(communication
ATA)
TCP 443 Gateway ATA Entrant
(Service ATA
center)
HTTP TCP 80 Réseau
entreprise
Entrant (Web
Console)
HTTPs TCP 443 Réseau
entreprise
Entrant (Web
Console)
SMTP TCP 25 Serveur SMTP Sortant
SMTPS TCP 465 Serveur SMTP Sortant
Syslog TCP 514 Serveur Syslog Sortant
41. Déploiement
Flux – Firewall | ATA Gateway
• LDAP en TCP / UDP port : 389 – Sortant
• LDAPs en TCP port 636 - Sortant
• LDAP vers CG en TCP port 3268 - Sortant
• LDAPs vers CG en TCP port 3269 - Sortant
• Kerberos en TCP / UDP port 88 - Sortant
• NetLogon en TCP / UDP port 445 - Sortant
• Horloge Windows en UDP port 123 - Sortant
• DNS en TCP et UDP port 53 - Sortant
• NTLM sur RPC en TCP port 135 - Sortant
• NetBios en UDP port 137 - Sortant
• SSL en TCP port 443 / ou custom – Sortant (IP
du service + Ip de la console)
• Syslog (facultatif) en UDP port 512 - Sortant
42. Déploiement
Flux – Firewall | ATA LightWeight Gateway
Protocole Transport Port Sens
DNS TCP et UDP 53 Sortant
NTLM sur RPC TCP 135 Sortant
NetBIOS UDP 137 Sortant
SSL TCP 443 Sortant
Syslog UDP 514 Entrant
44. Déploiement
• Pas de nom évident
• Être à jours (Patch
management)
• ATA center + ATA Gateway en
Workgroup
• Utilisation mixte (Ata Gateway +
ATA LightWeight Gateway)
• Utilisation du Honey Token
Bonnes pratiques
50. Feedback
Environnements – Programme Private Preview
• 51 DCs
– Un ATA Center (Production)
• 128 GB de RAM / 16 vCPU
• Au niveau des Gateway:
• 18 Derrière des Gateway
classiques
• 33 via des LightWeight Gateway
– Taille BDD plus de 450 GB
– Passage Physique (in Progress…)
• 6 DCs
– Un ATA Center (LAB)
• 2 Derrière des Gateway
classiques
• 4 via des LightWeight
Gateway
ATA est un IDS qui permet de detecter plusieurs evenement et aleter , pour cela il se base sur la piece maitresse d’un système d’informatin autrement dit les controleur de domaine
Parler de l’ata center et de son service
La web console les parametre , montrer les alertes (low , hifg etc ) le reslved + dissmis etc
Besoiin des outils de management qui necessient d’etre dans le domaine , choisir la sécurité et le management siimple de l’ATA … (comme le trust de certificat par exemple )
Besoiin des outils de management qui necessient d’etre dans le domaine , choisir la sécurité et le management siimple de l’ATA … (comme le trust de certificat par exemple )
Pas de prise en charge de la mémoire dynamique en passerelle legere