Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

MSEXP : Microsoft Advanced Threat Analytics

76 vues

Publié le

Talk à Microsoft Experiences 2017 : Comment se prémunir d'attaques avancées à l'aide de Microsoft ATA.
Session présentée par Guillaume MATHIEU (http://msreport.free.fr/) & Mickael LOPES (@lopesmick)

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

MSEXP : Microsoft Advanced Threat Analytics

  1. 1. experiences.microsoft.fr #experiences17
  2. 2. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS Active Directory et la sécurité Des exemples d’attaques et les outils Comment les détecter
  3. 3. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS 280 jours : délais pour détecter une attaque 63 jours : délais pour s’en remettre 20 minutes (Petya) : 2000 machines, 100 serveurs, sauvegarde HS 81 % : les entreprises françaises ciblées par une attaque informatique en 2015. 35 % : source de l’incident de sécurité, l’équipe IT 800 000 euros : prix (moyenne) pour s’en remettre
  4. 4. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS Définition de l’architecture cible - gouvernance de l’annuaire Active Directory Durcissement du système d’exploitation Délégation de l’administration Réduction des privilèges des comptes de services Mise en place de politique de mots de passe / MFA PRA/PCA Active Directory Sécurisation des postes d’administration Automatisation du cycle de vie des objets Gestion des comptes administrateurs locaux Durcissement protocoles authentification (Kerberos, NTLM) Audit des changements liés aux infrastructures et objets Active Directory Tests d’intrusions Mise en place d’outils de détection d’attaques (Microsoft Advanced Threat Analytics)
  5. 5. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS
  6. 6. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS  Comportement standard du protocole NTLM (SSO)  Sur une machine distante (ouverture de session réseau)  Mot de passe complexe -> vulnérable à cette attaque mimikatz.exe "privilege::debug" "sekurlsa::pth /user:service-ata /ntlm:13b29964cc2480b4ef454 c59562e675c /domain:msexp76.intra"
  7. 7. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS https://github.com/PowerShellMafia/PowerSploit Invoke-Mimikatz -command "privilege::debug sekurlsa::logonpasswords"
  8. 8. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS ATA c’est quoi en fait ? Les attaques détectées :
  9. 9. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS
  10. 10. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS
  11. 11. © 2017 Microsoft Corporation. All rights reserved. experiences.microsoft.fr #experiences17

×