Présentation et deep dive de Microsoft Advanced Threat Analytics Cette présentation à était donnée par moi même lors du MS cloud Summit 2017 à Paris. Cette présentation présente la solution, vous donne toute les bonne pratique pour l’aspect installation, design, déploiement et opérations. Merci :) Seyfallah Tagrerout

1. Consultant infrastructure et cloud - Sogeti
Microsoft Advanced Threat
Analytics
Seyfallah Tagrerout
@Tseyf34

2. Présentation du conférencier
Consultant Infrastructure
& Cloud
Microsoft MVP Cloud et
Datacenter Management
Communautés :
aOS - CMD
Formateur

3. Présentation du conférencier
• Me contacter :
 Seyfallah.t@gmail.com
 https://fr.linkedin.com/in/seyfallahtagrerout
 Blog 1 : https://seyfallah-it.blogspot.fr
 Blog 2 : http://www.tech-mscloud.com
https://www.youtube.com/user/seyf34
 https://channel9.msdn.com/Niners/Seyfallah

4. Prochaine session
La gestion d’identité dans Azure : On fait le point

5. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Agenda
Microsoft Advanced
Theart Analytics
– Introduction
– Présentation
Architecture
– Overview
– Présentation des
éléments
Planification
– Planification
– Questions avant le
déploiement
Déploiement
– Prérequis
– Bonnes pratiques
Opérations
– Utilisation
– Gestion des logs
– Gestion de la BDD
Feedback
– Déploiement
WorlWide (51
DCs)
1 2 3
4 5 6

6. MICROSOFT ADVANCED THEART ANALYTICS
Introduction

7. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Quelques chiffres clés
• 81 % des entreprises
Françaises ont été visées
par une cyberattaque en
2015
• 5 à 10 % du budget d’une
entreprise d’après l’ANSSI
• 9 Semaines, c’est le temps
qu’il faut pour retomber
sur pattes …
• 35 % des incidents
proviennent malgré eux
des employés

8. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Quelques chiffres clés
• 800 000 euros ! Pour s’en
remettre en moyenne
• Exemple TV5 Monde : 4.6
Millions d’euros
Source : http://ideas.microsoft.fr/cybersecurite-5-chiffres-cles-a-connaitre/#5iH5RxGrqvu1LzEK.97

9. MICROSOFT ADVANCED THEART ANALYTICS
Présentation

10. Azure Information
Protection
Protect your data,
everywhere
Microsoft Cloud App Security
Azure Active Directory
Detect threats early
with visibility and
threat analytics
Advanced
Threat Analytics
Extend enterprise-grade
security to your cloud
and SaaS apps
Intune
Protect your users,
devices, and apps
Manage identity with hybrid
integration to protect application
access from identity attacks
Enterprise Mobility +Security
Comment se procurer Microsoft ATA ?

11. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
Machine learning Protection Anticipation Alerts
Achat par Microsoft : Start-up AORATO
Active Directory

12. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
Sinon, que permet Microsoft ATA ? Via une analyse du trafic des DCs …
Chaine classique d’une cyber
attaque:
• Reconnaissance
• Mouvement latérale
• Persistance
Risques:
• Vulnérabilité de protocole
connues
• Protocoles faibles
• Perte de relation de
confiance

13. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
Types d’attaques:
• Comportement
anormale
• Attaques
malveillants
Types d’attaques malveillants:
• Golden Ticket
• Reconnaissance
• Brut de force
• Exécution à distance
• OverPAss-The-Hash
• Pass-The-Ticket
• Pass-The-Hash
• ….
Sinon, que permet Microsoft ATA ?

14. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
À propos du machine Learning dans ATA :
• Connexion anormale sur
des ressources
• Mouvement latérale
• Menaces inconnues

15. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
Apports au quotidien :
• Alertes
• Robustesse
• Protection de l’AD
• Prévention

16. ARCHITECTURE
Overview

17. Architecture

18. Architecture
Eléments d’architectures
• ATA Center
• ATA Gateway
• ATA LightWeight Gateway
• DataBase Mango DB
• ATA center Web console
• Port mirroring
• Syslog , Splunk ..

19. ARCHITECTURE
Présentation des éléments

20. Architecture
L’ATA Center – l’élément centrale de l’architecture …

21. Architecture
• Collecte les évènements
• Analyse les évènement
• Traitement des évènements
• Alertes des activités suspects
• Notification via Console + Mail
• Console web (d’administration)
• Update / opérations et administration
• Service Windows :
– Microsoft Advanced Threat Analytics Center
L’ATA Center – l’élément centrale de l’architecture …
Pas de multi-forêts pour l’ATA center ! (pour l’instant …)

22. Architecture
L’ATA Gateway – l’autre élément essentiel…

23. Architecture
• .exe d’ATA Gateway installé sur un serveur
• Collection du trafic des DCs via le port
mirroring
• Récupération des données provenant des
utilisateurs du domaine
• Evènements reçus via :
– DC / SIEM / Event Log (forward)
• Un ou plusieurs DCs
• Deux Services :
– Microsoft Advanced Thread Analytics Gateway
– Microsoft Advanced Thread Analytics Gateway updater
L’ATA Gateway – l’autre élément essentiel…

24. Architecture
ATA LightWeight Gateway

25. Architecture
• Même rôle qu’une Gateway classique
• À l’exception :
– Candidat Synchronisateur de domaine
– Limitation de ressources
L’ATA LightWeight Gateway – l’autre élément essentiel…

26. Architecture
L’ATA LightWeight Gateway – l’autre élément essentiel…
Composant qui analyse le CPU + RAM du DCs sur le quel il est installé:
– Fréquence d’analyse : toutes les 10 secondes
– Minimum 15 % de ressources ….
Intelligence au niveau du choix du Traffic a analyser :

27. Architecture
Data Base MangoDB :
Stockage :
• La configuration d’ATA
• Les activités suspects
• Les évènements
• L’activité réseau
 C:Program FilesMicrosoft Advanced Threat
AnalyticsCenterMongoDBbindata

28. Architecture
ATA Center Web console – La console d’administration :

29. Architecture
Un peu réseau 
Port Mirroring :
– Port source
– Destination
Copie du trafic d’un ou plusieurs port
vers un autre port du switch

30. DEMO
Découverte de la Web Console de l’ATA Center
PsExec - Honey token – Reconnaissance DNS

31. PLANIFICATION
Capacity planning

32. Planification
Définir les besoins en ressources matériels
Outils de dimensionnement :
• Advanced Threat Analytics (ATA) Sizing tool (v2.6.2)
– https://gallery.technet.microsoft.com/Advanced-Threat-
Analytics-7371c87f
• Scan tout le trafic au niveau des DCs et aide à :
– Quantité de mémoire RAM
– CPU
– Stockage Data base
– ATA Gateway & LightWeight Gateway

33. Planification
ATA Center: ATA Gateway:
ATA LightWeight Gateway:

34. PLANIFICATION
Questions avant le déploiement

35. Déploiement
Les questions avant de déployer…
Question Choix
1 L’ATA center Physique / virtuel
2 Type de passerelle Classique / légère
3 Certificate Via Pki / auto signé
4 SIEM ou WEF SIEM ou WEF
5 WK ou domaine
Sécurité ou
management .. ?

36. Déploiement
Gateway classique ou LightWeight Gateway ?
• ATA Gateway classique:
– Port Mirroring
– Prend plusieurs DCs
– Plus difficile a détecter
– Jusqu’à 50 000 paquet /s
• Scenarios :
– Sur les DCs chargés en
trafic
• ATA LightWeight
Gateway :
– Pas Port Mirroring
– Prend un DC à la fois
– Facile à détecter sur le Dc
– Jusqu’à 10 000 paquet /s
• Scenarios :
– RODC
– Site distant

37. DÉPLOIEMENT
Prérequis

38. Déploiement
Prérequis | ATA Center
• Windows server 2012 R2 / 2016
• Physique ou Virtuel
• Compte « accès lecture de l’annuaire AD »
• KB: 2919335
• Horloge synchronisée avec les DCs
• Au moins une carte réseaux (2 de
préférences)
• Joint au domaine ou Workgroup
• SSL pour la web console
• Certificat auto-signé (installation service
ATA)
Prérequis | ATA Gateway
• Windows server 2012 R2 / 2016 /
server core
• Physique ou Virtuel
• KB: 2919335
• Configuration Port mirroring comme
destination
• Deux interfaces réseaux
• Horloge synchronisée avec les DCs
• Domaine ou Workgroup
• Pour le DC mini 8 GB de RAM
La RAM + CPU sont défini après l’analyse du trafic avec Advanced Threat Analytics (ATA) Sizing tool

39. Déploiement
Prérequis | ATA Gateway
• Spécificité:
– Minimum 10 GB pour les Logs
– Deux cartes réseaux:
• Gestion et LAN
• Capture du trafic
– IP: 1.1.1.1 /32) no routable /
Pas de DNS ni Gateway

40. Déploiement
Flux – Firewall | ATA Center
Protocole Transport Port From Sens
SSL
(communication
ATA)
TCP 443 Gateway ATA Entrant
(Service ATA
center)
HTTP TCP 80 Réseau
entreprise
Entrant (Web
Console)
HTTPs TCP 443 Réseau
entreprise
Entrant (Web
Console)
SMTP TCP 25 Serveur SMTP Sortant
SMTPS TCP 465 Serveur SMTP Sortant
Syslog TCP 514 Serveur Syslog Sortant

41. Déploiement
Flux – Firewall | ATA Gateway
• LDAP en TCP / UDP port : 389 – Sortant
• LDAPs en TCP port 636 - Sortant
• LDAP vers CG en TCP port 3268 - Sortant
• LDAPs vers CG en TCP port 3269 - Sortant
• Kerberos en TCP / UDP port 88 - Sortant
• NetLogon en TCP / UDP port 445 - Sortant
• Horloge Windows en UDP port 123 - Sortant
• DNS en TCP et UDP port 53 - Sortant
• NTLM sur RPC en TCP port 135 - Sortant
• NetBios en UDP port 137 - Sortant
• SSL en TCP port 443 / ou custom – Sortant (IP
du service + Ip de la console)
• Syslog (facultatif) en UDP port 512 - Sortant

42. Déploiement
Flux – Firewall | ATA LightWeight Gateway
Protocole Transport Port Sens
DNS TCP et UDP 53 Sortant
NTLM sur RPC TCP 135 Sortant
NetBIOS UDP 137 Sortant
SSL TCP 443 Sortant
Syslog UDP 514 Entrant

43. DÉPLOIEMENT
Bonnes Pratiques

44. Déploiement
• Pas de nom évident
• Être à jours  (Patch
management)
• ATA center + ATA Gateway en
Workgroup
• Utilisation mixte (Ata Gateway +
ATA LightWeight Gateway)
• Utilisation du Honey Token
Bonnes pratiques

45. DÉMO
Installation d’une passerelle ATA LightWeight Gateway

46. OPÉRATIONS
RBAC | Gestion des Logs | Gestion de la BDD

47. Opérations
RBAC
• 3 rôles:
– ATA administrators
– ATA Users
– ATA Viewers
Gestion des Logs
Ata Gateway Logs:
• C:Program FilesMicrosoft Advanced Threat
AnalyticsGatewayLogs
ATA Center Log:
• C:Program FilesMicrosoft Advanced Threat
AnalyticsCenterLogs

48. Opérations
BDD MangoDB
• Répertoire par défaut :
C:Program FilesMicrosoft Advanced Threat
AnalyticsCenterMongoDBbinData

49. FEEDBACK
Design et déploiement d’une architecture ATA chez un client

50. Feedback
Environnements – Programme Private Preview
• 51 DCs
– Un ATA Center (Production)
• 128 GB de RAM / 16 vCPU
• Au niveau des Gateway:
• 18 Derrière des Gateway
classiques
• 33 via des LightWeight Gateway
– Taille BDD plus de 450 GB
– Passage Physique (in Progress…)
• 6 DCs
– Un ATA Center (LAB)
• 2 Derrière des Gateway
classiques
• 4 via des LightWeight
Gateway

51. CONCLUSION

52. Conclusion
• Sécurité
• Anticipation
• Facilité

53. Merci beaucoup à nos sponsors!
Thank you to all our sponsors!
Join the conversation
#MSCloudSummit
@MSCloudSummit

54. Merci Beaucoup! Thank you!
Join the conversation
#MSCloudSummit
@MSCloudSummit