Consultant infrastructure et cloud - Sogeti
Microsoft Advanced Threat
Analytics
Seyfallah Tagrerout
@Tseyf34
Présentation du conférencier
Consultant Infrastructure
& Cloud
Microsoft MVP Cloud et
Datacenter Management
Communautés :
...
Présentation du conférencier
• Me contacter :
 Seyfallah.t@gmail.com
 https://fr.linkedin.com/in/seyfallahtagrerout
 Bl...
Prochaine session
La gestion d’identité dans Azure : On fait le point
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Agenda
Microsoft A...
MICROSOFT ADVANCED THEART ANALYTICS
Introduction
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Quelques chiffres ...
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Quelques chiffres ...
MICROSOFT ADVANCED THEART ANALYTICS
Présentation
Azure Information
Protection
Protect your data,
everywhere
Microsoft Cloud App Security
Azure Active Directory
Detect thre...
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
Mach...
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
Sino...
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
Type...
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
À pr...
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
Appo...
ARCHITECTURE
Overview
Architecture
Architecture
Eléments d’architectures
• ATA Center
• ATA Gateway
• ATA LightWeight Gateway
• DataBase Mango DB
• ATA cente...
ARCHITECTURE
Présentation des éléments
Architecture
L’ATA Center – l’élément centrale de l’architecture …
Architecture
• Collecte les évènements
• Analyse les évènement
• Traitement des évènements
• Alertes des activités suspect...
Architecture
L’ATA Gateway – l’autre élément essentiel…
Architecture
• .exe d’ATA Gateway installé sur un serveur
• Collection du trafic des DCs via le port
mirroring
• Récupérat...
Architecture
ATA LightWeight Gateway
Architecture
• Même rôle qu’une Gateway classique
• À l’exception :
– Candidat Synchronisateur de domaine
– Limitation de ...
Architecture
L’ATA LightWeight Gateway – l’autre élément essentiel…
Composant qui analyse le CPU + RAM du DCs sur le quel ...
Architecture
Data Base MangoDB :
Stockage :
• La configuration d’ATA
• Les activités suspects
• Les évènements
• L’activit...
Architecture
ATA Center Web console – La console d’administration :
Architecture
Un peu réseau 
Port Mirroring :
– Port source
– Destination
Copie du trafic d’un ou plusieurs port
vers un a...
DEMO
Découverte de la Web Console de l’ATA Center
PsExec - Honey token – Reconnaissance DNS
PLANIFICATION
Capacity planning
Planification
Définir les besoins en ressources matériels
Outils de dimensionnement :
• Advanced Threat Analytics (ATA) Si...
Planification
ATA Center: ATA Gateway:
ATA LightWeight Gateway:
PLANIFICATION
Questions avant le déploiement
Déploiement
Les questions avant de déployer…
Question Choix
1 L’ATA center Physique / virtuel
2 Type de passerelle Classiq...
Déploiement
Gateway classique ou LightWeight Gateway ?
• ATA Gateway classique:
– Port Mirroring
– Prend plusieurs DCs
– P...
DÉPLOIEMENT
Prérequis
Déploiement
Prérequis | ATA Center
• Windows server 2012 R2 / 2016
• Physique ou Virtuel
• Compte « accès lecture de l’ann...
Déploiement
Prérequis | ATA Gateway
• Spécificité:
– Minimum 10 GB pour les Logs
– Deux cartes réseaux:
• Gestion et LAN
•...
Déploiement
Flux – Firewall | ATA Center
Protocole Transport Port From Sens
SSL
(communication
ATA)
TCP 443 Gateway ATA En...
Déploiement
Flux – Firewall | ATA Gateway
• LDAP en TCP / UDP port : 389 – Sortant
• LDAPs en TCP port 636 - Sortant
• LDA...
Déploiement
Flux – Firewall | ATA LightWeight Gateway
Protocole Transport Port Sens
DNS TCP et UDP 53 Sortant
NTLM sur RPC...
DÉPLOIEMENT
Bonnes Pratiques
Déploiement
• Pas de nom évident
• Être à jours  (Patch
management)
• ATA center + ATA Gateway en
Workgroup
• Utilisation...
DÉMO
Installation d’une passerelle ATA LightWeight Gateway
OPÉRATIONS
RBAC | Gestion des Logs | Gestion de la BDD
Opérations
RBAC
• 3 rôles:
– ATA administrators
– ATA Users
– ATA Viewers
Gestion des Logs
Ata Gateway Logs:
• C:Program F...
Opérations
BDD MangoDB
• Répertoire par défaut :
C:Program FilesMicrosoft Advanced Threat
AnalyticsCenterMongoDBbinData
FEEDBACK
Design et déploiement d’une architecture ATA chez un client
Feedback
Environnements – Programme Private Preview
• 51 DCs
– Un ATA Center (Production)
• 128 GB de RAM / 16 vCPU
• Au n...
CONCLUSION
Conclusion
• Sécurité
• Anticipation
• Facilité
Merci beaucoup à nos sponsors!
Thank you to all our sponsors!
Join the conversation
#MSCloudSummit
@MSCloudSummit
Merci Beaucoup! Thank you!
Join the conversation
#MSCloudSummit
@MSCloudSummit
Prochain SlideShare
Chargement dans…5
×

Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summit 2017

399 vues

Publié le

Présentation et deep dive de Microsoft Advanced Threat Analytics
Cette présentation à était donnée par moi même lors du MS cloud Summit 2017 à Paris.

Cette présentation présente la solution, vous donne toute les bonne pratique pour l’aspect installation, design, déploiement et opérations.

Merci :)

Seyfallah Tagrerout

Publié dans : Technologie
0 commentaire
3 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
399
Sur SlideShare
0
Issues des intégrations
0
Intégrations
0
Actions
Partages
0
Téléchargements
28
Commentaires
0
J’aime
3
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • En quelques mots ATA c’est …..
  • ATA est un IDS qui permet de detecter plusieurs evenement et aleter , pour cela il se base sur la piece maitresse d’un système d’informatin autrement dit les controleur de domaine
  • Parler de l’ata center et de son service
  • La web console les parametre , montrer les alertes (low , hifg etc ) le reslved + dissmis etc
  • Besoiin des outils de management qui necessient d’etre dans le domaine , choisir la sécurité et le management siimple de l’ATA … (comme le trust de certificat par exemple )
  • Besoiin des outils de management qui necessient d’etre dans le domaine , choisir la sécurité et le management siimple de l’ATA … (comme le trust de certificat par exemple )
  • Pas de prise en charge de la mémoire dynamique en passerelle legere
  • Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summit 2017

    1. 1. Consultant infrastructure et cloud - Sogeti Microsoft Advanced Threat Analytics Seyfallah Tagrerout @Tseyf34
    2. 2. Présentation du conférencier Consultant Infrastructure & Cloud Microsoft MVP Cloud et Datacenter Management Communautés : aOS - CMD Formateur
    3. 3. Présentation du conférencier • Me contacter :  Seyfallah.t@gmail.com  https://fr.linkedin.com/in/seyfallahtagrerout  Blog 1 : https://seyfallah-it.blogspot.fr  Blog 2 : http://www.tech-mscloud.com https://www.youtube.com/user/seyf34  https://channel9.msdn.com/Niners/Seyfallah
    4. 4. Prochaine session La gestion d’identité dans Azure : On fait le point
    5. 5. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS Agenda Microsoft Advanced Theart Analytics – Introduction – Présentation Architecture – Overview – Présentation des éléments Planification – Planification – Questions avant le déploiement Déploiement – Prérequis – Bonnes pratiques Opérations – Utilisation – Gestion des logs – Gestion de la BDD Feedback – Déploiement WorlWide (51 DCs) 1 2 3 4 5 6
    6. 6. MICROSOFT ADVANCED THEART ANALYTICS Introduction
    7. 7. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS Quelques chiffres clés • 81 % des entreprises Françaises ont été visées par une cyberattaque en 2015 • 5 à 10 % du budget d’une entreprise d’après l’ANSSI • 9 Semaines, c’est le temps qu’il faut pour retomber sur pattes … • 35 % des incidents proviennent malgré eux des employés
    8. 8. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS Quelques chiffres clés • 800 000 euros ! Pour s’en remettre en moyenne • Exemple TV5 Monde : 4.6 Millions d’euros Source : http://ideas.microsoft.fr/cybersecurite-5-chiffres-cles-a-connaitre/#5iH5RxGrqvu1LzEK.97
    9. 9. MICROSOFT ADVANCED THEART ANALYTICS Présentation
    10. 10. Azure Information Protection Protect your data, everywhere Microsoft Cloud App Security Azure Active Directory Detect threats early with visibility and threat analytics Advanced Threat Analytics Extend enterprise-grade security to your cloud and SaaS apps Intune Protect your users, devices, and apps Manage identity with hybrid integration to protect application access from identity attacks Enterprise Mobility +Security Comment se procurer Microsoft ATA ?
    11. 11. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS Microsoft ATA Machine learning Protection Anticipation Alerts Achat par Microsoft : Start-up AORATO Active Directory
    12. 12. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS Microsoft ATA Sinon, que permet Microsoft ATA ? Via une analyse du trafic des DCs … Chaine classique d’une cyber attaque: • Reconnaissance • Mouvement latérale • Persistance Risques: • Vulnérabilité de protocole connues • Protocoles faibles • Perte de relation de confiance
    13. 13. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS Microsoft ATA Types d’attaques: • Comportement anormale • Attaques malveillants Types d’attaques malveillants: • Golden Ticket • Reconnaissance • Brut de force • Exécution à distance • OverPAss-The-Hash • Pass-The-Ticket • Pass-The-Hash • …. Sinon, que permet Microsoft ATA ?
    14. 14. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS Microsoft ATA À propos du machine Learning dans ATA : • Connexion anormale sur des ressources • Mouvement latérale • Menaces inconnues
    15. 15. #MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS Microsoft ATA Apports au quotidien : • Alertes • Robustesse • Protection de l’AD • Prévention
    16. 16. ARCHITECTURE Overview
    17. 17. Architecture
    18. 18. Architecture Eléments d’architectures • ATA Center • ATA Gateway • ATA LightWeight Gateway • DataBase Mango DB • ATA center Web console • Port mirroring • Syslog , Splunk ..
    19. 19. ARCHITECTURE Présentation des éléments
    20. 20. Architecture L’ATA Center – l’élément centrale de l’architecture …
    21. 21. Architecture • Collecte les évènements • Analyse les évènement • Traitement des évènements • Alertes des activités suspects • Notification via Console + Mail • Console web (d’administration) • Update / opérations et administration • Service Windows : – Microsoft Advanced Threat Analytics Center L’ATA Center – l’élément centrale de l’architecture … Pas de multi-forêts pour l’ATA center ! (pour l’instant …)
    22. 22. Architecture L’ATA Gateway – l’autre élément essentiel…
    23. 23. Architecture • .exe d’ATA Gateway installé sur un serveur • Collection du trafic des DCs via le port mirroring • Récupération des données provenant des utilisateurs du domaine • Evènements reçus via : – DC / SIEM / Event Log (forward) • Un ou plusieurs DCs • Deux Services : – Microsoft Advanced Thread Analytics Gateway – Microsoft Advanced Thread Analytics Gateway updater L’ATA Gateway – l’autre élément essentiel…
    24. 24. Architecture ATA LightWeight Gateway
    25. 25. Architecture • Même rôle qu’une Gateway classique • À l’exception : – Candidat Synchronisateur de domaine – Limitation de ressources L’ATA LightWeight Gateway – l’autre élément essentiel…
    26. 26. Architecture L’ATA LightWeight Gateway – l’autre élément essentiel… Composant qui analyse le CPU + RAM du DCs sur le quel il est installé: – Fréquence d’analyse : toutes les 10 secondes – Minimum 15 % de ressources …. Intelligence au niveau du choix du Traffic a analyser :
    27. 27. Architecture Data Base MangoDB : Stockage : • La configuration d’ATA • Les activités suspects • Les évènements • L’activité réseau  C:Program FilesMicrosoft Advanced Threat AnalyticsCenterMongoDBbindata
    28. 28. Architecture ATA Center Web console – La console d’administration :
    29. 29. Architecture Un peu réseau  Port Mirroring : – Port source – Destination Copie du trafic d’un ou plusieurs port vers un autre port du switch
    30. 30. DEMO Découverte de la Web Console de l’ATA Center PsExec - Honey token – Reconnaissance DNS
    31. 31. PLANIFICATION Capacity planning
    32. 32. Planification Définir les besoins en ressources matériels Outils de dimensionnement : • Advanced Threat Analytics (ATA) Sizing tool (v2.6.2) – https://gallery.technet.microsoft.com/Advanced-Threat- Analytics-7371c87f • Scan tout le trafic au niveau des DCs et aide à : – Quantité de mémoire RAM – CPU – Stockage Data base – ATA Gateway & LightWeight Gateway
    33. 33. Planification ATA Center: ATA Gateway: ATA LightWeight Gateway:
    34. 34. PLANIFICATION Questions avant le déploiement
    35. 35. Déploiement Les questions avant de déployer… Question Choix 1 L’ATA center Physique / virtuel 2 Type de passerelle Classique / légère 3 Certificate Via Pki / auto signé 4 SIEM ou WEF SIEM ou WEF 5 WK ou domaine Sécurité ou management .. ?
    36. 36. Déploiement Gateway classique ou LightWeight Gateway ? • ATA Gateway classique: – Port Mirroring – Prend plusieurs DCs – Plus difficile a détecter – Jusqu’à 50 000 paquet /s • Scenarios : – Sur les DCs chargés en trafic • ATA LightWeight Gateway : – Pas Port Mirroring – Prend un DC à la fois – Facile à détecter sur le Dc – Jusqu’à 10 000 paquet /s • Scenarios : – RODC – Site distant
    37. 37. DÉPLOIEMENT Prérequis
    38. 38. Déploiement Prérequis | ATA Center • Windows server 2012 R2 / 2016 • Physique ou Virtuel • Compte « accès lecture de l’annuaire AD » • KB: 2919335 • Horloge synchronisée avec les DCs • Au moins une carte réseaux (2 de préférences) • Joint au domaine ou Workgroup • SSL pour la web console • Certificat auto-signé (installation service ATA) Prérequis | ATA Gateway • Windows server 2012 R2 / 2016 / server core • Physique ou Virtuel • KB: 2919335 • Configuration Port mirroring comme destination • Deux interfaces réseaux • Horloge synchronisée avec les DCs • Domaine ou Workgroup • Pour le DC mini 8 GB de RAM La RAM + CPU sont défini après l’analyse du trafic avec Advanced Threat Analytics (ATA) Sizing tool
    39. 39. Déploiement Prérequis | ATA Gateway • Spécificité: – Minimum 10 GB pour les Logs – Deux cartes réseaux: • Gestion et LAN • Capture du trafic – IP: 1.1.1.1 /32) no routable / Pas de DNS ni Gateway
    40. 40. Déploiement Flux – Firewall | ATA Center Protocole Transport Port From Sens SSL (communication ATA) TCP 443 Gateway ATA Entrant (Service ATA center) HTTP TCP 80 Réseau entreprise Entrant (Web Console) HTTPs TCP 443 Réseau entreprise Entrant (Web Console) SMTP TCP 25 Serveur SMTP Sortant SMTPS TCP 465 Serveur SMTP Sortant Syslog TCP 514 Serveur Syslog Sortant
    41. 41. Déploiement Flux – Firewall | ATA Gateway • LDAP en TCP / UDP port : 389 – Sortant • LDAPs en TCP port 636 - Sortant • LDAP vers CG en TCP port 3268 - Sortant • LDAPs vers CG en TCP port 3269 - Sortant • Kerberos en TCP / UDP port 88 - Sortant • NetLogon en TCP / UDP port 445 - Sortant • Horloge Windows en UDP port 123 - Sortant • DNS en TCP et UDP port 53 - Sortant • NTLM sur RPC en TCP port 135 - Sortant • NetBios en UDP port 137 - Sortant • SSL en TCP port 443 / ou custom – Sortant (IP du service + Ip de la console) • Syslog (facultatif) en UDP port 512 - Sortant
    42. 42. Déploiement Flux – Firewall | ATA LightWeight Gateway Protocole Transport Port Sens DNS TCP et UDP 53 Sortant NTLM sur RPC TCP 135 Sortant NetBIOS UDP 137 Sortant SSL TCP 443 Sortant Syslog UDP 514 Entrant
    43. 43. DÉPLOIEMENT Bonnes Pratiques
    44. 44. Déploiement • Pas de nom évident • Être à jours  (Patch management) • ATA center + ATA Gateway en Workgroup • Utilisation mixte (Ata Gateway + ATA LightWeight Gateway) • Utilisation du Honey Token Bonnes pratiques
    45. 45. DÉMO Installation d’une passerelle ATA LightWeight Gateway
    46. 46. OPÉRATIONS RBAC | Gestion des Logs | Gestion de la BDD
    47. 47. Opérations RBAC • 3 rôles: – ATA administrators – ATA Users – ATA Viewers Gestion des Logs Ata Gateway Logs: • C:Program FilesMicrosoft Advanced Threat AnalyticsGatewayLogs ATA Center Log: • C:Program FilesMicrosoft Advanced Threat AnalyticsCenterLogs
    48. 48. Opérations BDD MangoDB • Répertoire par défaut : C:Program FilesMicrosoft Advanced Threat AnalyticsCenterMongoDBbinData
    49. 49. FEEDBACK Design et déploiement d’une architecture ATA chez un client
    50. 50. Feedback Environnements – Programme Private Preview • 51 DCs – Un ATA Center (Production) • 128 GB de RAM / 16 vCPU • Au niveau des Gateway: • 18 Derrière des Gateway classiques • 33 via des LightWeight Gateway – Taille BDD plus de 450 GB – Passage Physique (in Progress…) • 6 DCs – Un ATA Center (LAB) • 2 Derrière des Gateway classiques • 4 via des LightWeight Gateway
    51. 51. CONCLUSION
    52. 52. Conclusion • Sécurité • Anticipation • Facilité
    53. 53. Merci beaucoup à nos sponsors! Thank you to all our sponsors! Join the conversation #MSCloudSummit @MSCloudSummit
    54. 54. Merci Beaucoup! Thank you! Join the conversation #MSCloudSummit @MSCloudSummit

    ×