SlideShare une entreprise Scribd logo

Sécurité Active Directory : détecter l’indétectable !

Microsoft Technet France
Microsoft Technet France

Ces dernières années l’Active Directory est devenu une source privilégiée pour les « Hackers ». Cette session a pour objectif de montrer par des exemples que la découverte d’une intrusion dans l’Active Directory est souvent fortuite ; mais qu’il existe une logique permettant de débusquer des activités suspectes. Cette démarche d’analyse et de surveillance pourrait permettre d’identifier une tentative de compromission dans le « Saint des Saints » avant qu’elle soit consommée.

Technologie
1  sur  31
Télécharger pour lire hors ligne
AMBIENT INTELLIGENCE tech days• 2015 #mstechdays techdays.microsoft.fr
Sécurité Active Directory: Détecter l’indétectable! Daniel Pasquier – PFE Security Lead France Jugoslav Stevic – PFE Identity & Security Microsoft France Donnez votre avis depuis votre smartphone sur : http://notes.mstechdays.fr
• Pourquoi est-il si difficile de détecter les attaques? - Etablir un référentiel du comportement dit "normal"
Contexte Actuel – "Data Breach Report"
Pourquoi est-ce si difficile à détecter ? par l'intermédiaire d' outils standards existants (OWA, etc..) Par la suite, les attaquants Tentent d’utiliser des identifiants légitimes pour se propager (vols de "credentials"…) Compromission initiale Débute toujours par une station de travail peu ou non surveillée… Les Attaquants ne laissent pas de trace évidente…  Utilisent les mêmes méthodes d’accès distant (RDP, etc...) que tous les Administrateurs légitimes  Utilisent parfois les outils standards ("Sysinternals", "built-in tools", etc...)  Aucune alerte détectée par "AV/AM"
Pourquoi est-ce si difficile à détecter ? Compromission Initiale
Détécter des Comportements Anormaux – Plan d’Actions Ordinateurs: Serveurs sensibles, Contrôleurs de domaine, Stations d’admin; Equipements… Personnes: Administrateurs, Helpdesk, VIP, comptes de services, tâches, & génériques… sur vos contrôleurs de domaine Activer l’audit "Audit Special Logon" Event 4964 créé lorsqu'un utilisateur appartient à un groupe spécial Top 10 des risques les plus élevés Top 10 des machines les plus critiques de votre organisation Activer la surveillance Identifier les Event ID les plus pertinents sur la base du Top 10 des risques et les appliquer sur le top 10 des équipements à surveiller Décider de ce qu’il faut surveiller En premier lieu, inventorier et protéger les équipements les plus critiques et jugés à haut risques
8 Sur les contrôleurs de domaine: Cet évènement est généré à chaque demande d'accès à une ressource (Ordinateur ou Service) utilisant un ticket Kerberos (TGS) Le groupe "Protected Users" impose le protocle "Kerberos"! Qui a demandé l’accès? "Service Name" indique la ressource pour laquelle l’accès a été demandé "Client Address" indique l’adresse IP source où l’utilisateur s’est authentifié "Date and Time" de la demande de ticket "Kerberos Service request (TGS)"; Nom du contrôleur de domaine en charge de cette demande Event ID 4769 « Audit Kerberos Service Ticket Operations »
Indicate what groups are “special” by listing them in a custom registry key as a string value, using group SID, Separate groups by semi-colon (;) Identifie toute nouvelle authentification venant d'un utilisateur appartenant à un groupe de type "Special Groups" Event ID 4964 « Special Logon » Surveiller si la liste des "Special Groups" a été modifiée dans le registre Un script peut être exécuté afin de générer un rapport ou une alerte
Détecter des Comptements Anormaux – Plan d’Actions Activer "Global Object Access Auditing" sur les serveurs sensibles pour l'accès aux fichiers et registres (SACLS) Definir les évènements qui indiquent sans aucun doute possible une attaque et centraliser l’information! (suite) Identifier les "Event ID" les plus pertinents sur la base du Top 10 des risques et les appliquer sur le top 10 des équipements à surveiller Appartenance aux groupes privilégiés, Activer l'audit sur les Stockages Amovibles (USB,Disk..), Positionner un audit modéré afin de ne pas créer trop d'activité et de bruit! Un compte utilisateur est temporairement ajouté dans le groupe "Domain Admins" pour résoudre un dysfonctionnement "AD" puis retiré dès résolution :  Compte administrateur Orphelin & Éphémère avec la classe d’objet : "Dynamic User Object Class"!  Inspection d’une image "NTDS" ou d'une sauvegarde Active Directory afin d'obtenir les valeurs initiales des attributs
“Global Object Access Auditing” Useful for verifying that all critical files, folders, and registry settings on a computer are protected. Event ID 5145 « Audit Detailed File Share » L'utilisateur identifié a accédé au partage spécifié depuis l'adresse réseau source indiquée En utilisant les permissions d’accès "ReadData" Date & heure où le fichier a été accédé; nom du serveur hébergeant le fichier & type d’accès "success or failure" La valeur du "Reason for Access" est "ReadData" obtenu par l’appartenance au groupe "Built-in Administrators" group Combiner l’audit "Global Object Access Auditing" avec "Audit Detailed File Share"
Event ID 4728 "Audit Security Group Management" Un membre a été ajouté… Action réalisée par "NWTRADERSAdministrator" Les propriétés "SamAccountName" et "DN" de l’utilisateur ajouté dans le groupe de sécurité… Nom du groupe privilégié cible Date, heure à laquelle l’opération a été réalisée
Un compte utilisateur est temporairement ajouté dans le groupe "Domain Admins" pour résoudre un dysfonctionnement AD puis retiré dès résolution :  Compte administrateur Orphelin & Éphémère avec la classe d’objet : "Dynamic User Object Class"!  Inspection d’une image "NTDS" ou d'une sauvegarde Active Directory afin d'obtenir les valeurs initiales des attributs
Détecter des Comptements Anormaux – Plan d’Actions Applications habituellement utilisées, Performance réseau habituelle, Flux réseaux, Analyseur réseau, établir un référentiel Ces comptes sensibles peuvent collaborer qu'avec ces personnes sur ce projet top secret! 3 – Etablir un référentiel du comportement dit "normal" Identifier au moins les scénarios pour lesquels il n’y a pas d’ambiguité, dont on est sûr! Les comptes à haut privilèges ne peuvent s'authentifier que sur une liste de machines spécifiques : Station d'admin, DCs, serveurs : Localisation & Nb d'occurences Ces comptes privilégiés se connectent dans cette plage horaire uniquement et pour une durée définie Ces comptes privilégiés doivent uniquement accéder à une liste spécifiques de ressources (serveurs sensibles, contrôleur de domaine..) Les ressources très sensibles ne peuvent être accédées que par une liste d'utilisateurs et ordinateurs définis
Détecter des Comptements Anormaux – Plan d’Actions Est-ce que ce serveur ou ce compte d'administration est autorisé à être connecté à cette heure de la nuit ? 4 – Définir les seuils d’alertes d’une activité anormale Une activité anormale c’est... tout changement inexpliqué (en plus ou en moins) dans le rythme actuel Membres du groupe "Domain Admins" s'authentifiant sur des stations de travail Est-ce normal? Compte privilégié AD utilisé pour contacter un serveur applicatif (accès aux données sensibles, exfiltration, vols d'identifiants..) Compte à pouvoirs utilisé au même moment à des endroits différents Est-ce que ce gros volume de données est autorisé à transiter sur le réseau, de nuit et vers ce pays étranger?
Détecter des Comportements Anormaux – Plan d’Actions Quoi, un Event ID 1102 ??? Le journal d'évènements a été purgé! La stratégie de Sécurité a été modifiée! Ajout d’un compte utilisateur étrange dans le groupe "Domain Admins" ou tout autre groupe à haut privilèges ? Compte privilégié désactivé, compte fictif mais en cours d’utilisation? "Dynamic User Object" utilisé en tant qu’admin ? Connexions vers l’extérieur anormales, ports en écoute non souhaités ??? 4 – Définir les seuils d’alertes d’une activité anormale (suite) Une activité anormale c’est... tout changement inexpliqué (en plus ou en moins) dans le rythme actuel
Soyons créatifs: Mise en place d’un “Honeynet”? Restreindre l’accès aux paramètres de configuration d’audit Rediriger les évènements vers un point central à l'aide de "Event Subscription" Leurs seules activités consistera à alerter si quelqu'un essaye de s'y connecter (ping, logon..). Réaliser un paramétrage adéquate afin de vous affranchir de "Faux-positifs" Identifier une ou plusieurs machines que vous souhaitez utiliser en "Honeynet" Mettez les à jour selon vos processus normaux Autoriser les connexions entrantes (Logs Firewall), restreindre les connexions sortantes :  Limiter l’impact si le "Honeynet" est compromis  Masquer son rôle de serveur "Honeynet"
A – Activer l’auditing sur le Honeynet – Applocker en mode Audit Toute utilisation anormale d’outils est surveillée et enregistrée dans le journal des évènements Vérifier que le service "Application Identity" est démarré et en cours d'exécution Soyons créatifs: configurons un “Honeynet”… ex. Créer 2 jeux de règles :  "Règles concernant les exécutables" : Utilisées pour surveiller tous les exécutables sur le "Honeynet "  "Règles concernant les scripts" : Utilisées pour surveiller tous les scripts exécutés sur le "Honeynet" L'activité "AppLocker" est surveillée en consultant le journal des évènements et redirigée vers un point central
20 Configurer un serveur de collecte d'évènements vers qui les évènements "AppLocker" & "Autres Alertes" seront redirigés et qui sera à même de les traiter...
B – Attack Surface Analyser Outil Microsoft gratuit permettant d'identifier toute augmentation de surface d'attaque due à l'installation d'applications… Un "scan" de la machine réalisé périodiquement permet d'identifier les différents outils & scripts installés par l'attaquant sur le "Honeynet" Soyons créatifs: configurons un “Honeynet”… ex.
C – Activation de l’Audit Windows & Autres outils … Détecter des comportemens anormaux... Des modifications inattendues (en + ou en -) Centralisation des évènements anormaux Déclenchement auto de scripts et analyse Soyons créatifs: configurons un “Honeynet”… e.x.
Start User or Machine compromised Honeynet server Collector Server Attacks Events ID Forwarded
N'oubliez pas, une activité en baisse… est aussi suspecte qu'une activité en hausse, par exemple:  Diminution des remontées d’alertes virales...  Arrêt soudain des attaques de type "Brute force" sur les mots de passe  Diminution drastique des alertes "Firewall" "They got in …" Merci à Pierre Audonnet pour ses excellents scripts Powershell ! https://gallery.technet.microsoft.com ANSSI: Recommandations de sécurité pour la mise en oeuvre d’un système de journalisation http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et- des-serveurs/recommandations-de-securite-pour-la-mise-en-oeuvre-d-un-systeme-de.html Useful NSA's guide: “Spotting the Adversary with Windows Event log Monitoring” http://www.nsa.gov/ia/_files/app/Spotting_the_Adversary_with_Windows_Event_Log_Monitoring.pdf Conclusion & Questions
http://notes.mstechdays.fr Faites le depuis votre Windows Phone! Ou depuis votre Hi Phone, APhone (Andro Phone)…
Prêt pour le QCM habituel ? http://notes.mstechdays.fr

Recommandé

Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Décideurs IT
 
Securite web is_ima
Securite web is_imaSecurite web is_ima
Securite web is_imaBlidaoui Abdelhak
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Décideurs IT
 
Sec day cuckoo_workshop
Sec day cuckoo_workshopSec day cuckoo_workshop
Sec day cuckoo_workshopThomas Roccia
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisAstoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...jumeletArnaud
 

Recommandé

Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Décideurs IT
 
Securite web is_ima
Securite web is_imaSecurite web is_ima
Securite web is_imaBlidaoui Abdelhak
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Décideurs IT
 
Sec day cuckoo_workshop
Sec day cuckoo_workshopSec day cuckoo_workshop
Sec day cuckoo_workshopThomas Roccia
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisAstoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...jumeletArnaud
 
Designing and building post compromise recoverable services
Designing and building post compromise recoverable servicesDesigning and building post compromise recoverable services
Designing and building post compromise recoverable servicesOllie Whitehouse
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Practical AD Security: How to Secure Your Active Directory Network Without Br...
Practical AD Security: How to Secure Your Active Directory Network Without Br...Practical AD Security: How to Secure Your Active Directory Network Without Br...
Practical AD Security: How to Secure Your Active Directory Network Without Br...Frank Lesniak
 
Defining Security Strategy
Defining Security StrategyDefining Security Strategy
Defining Security StrategyBrandon Dunlap
 
Les menaces apt
Les menaces aptLes menaces apt
Les menaces aptBruno Valentin
 
Wallix AdminBastion - Privileged User Management & Access Control
Wallix AdminBastion - Privileged User Management & Access ControlWallix AdminBastion - Privileged User Management & Access Control
Wallix AdminBastion - Privileged User Management & Access Controlzayedalji
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Technet France
 
One Time Password - A two factor authentication system
One Time Password - A two factor authentication systemOne Time Password - A two factor authentication system
One Time Password - A two factor authentication systemSwetha Kogatam
 
IT Security & Governance Template
IT Security & Governance TemplateIT Security & Governance Template
IT Security & Governance TemplateFlevy.com Best Practices
 
Information Systems Security & Strategy
Information Systems Security & StrategyInformation Systems Security & Strategy
Information Systems Security & StrategyTony Hauxwell
 
Building a security strategy?
Building a security strategy?Building a security strategy?
Building a security strategy?Lori McInnes
 
70 640 Lesson05 Ppt 041009
70 640 Lesson05 Ppt 04100970 640 Lesson05 Ppt 041009
70 640 Lesson05 Ppt 041009Coffeyville Community College
 
Active Directory et la Sécurité
Active Directory et la SécuritéActive Directory et la Sécurité
Active Directory et la SécuritéMicrosoft
 
Fadi Mutlak - Information security governance
Fadi Mutlak - Information security governanceFadi Mutlak - Information security governance
Fadi Mutlak - Information security governancenooralmousa
 
Wallix Admin Bastion: Introduction
Wallix Admin Bastion: IntroductionWallix Admin Bastion: Introduction
Wallix Admin Bastion: IntroductionChris Pace
 
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesLutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesMicrosoft
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatifLeClubQualiteLogicielle
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
seim.pptx
seim.pptxseim.pptx
seim.pptxfatima117475
 
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...Cyber Security Alliance
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !Microsoft Technet France
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRITrust - Cybersecurity as a Service
 

Contenu connexe

En vedette

Designing and building post compromise recoverable services
Designing and building post compromise recoverable servicesDesigning and building post compromise recoverable services
Designing and building post compromise recoverable servicesOllie Whitehouse
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Practical AD Security: How to Secure Your Active Directory Network Without Br...
Practical AD Security: How to Secure Your Active Directory Network Without Br...Practical AD Security: How to Secure Your Active Directory Network Without Br...
Practical AD Security: How to Secure Your Active Directory Network Without Br...Frank Lesniak
 
Defining Security Strategy
Defining Security StrategyDefining Security Strategy
Defining Security StrategyBrandon Dunlap
 
Wallix AdminBastion - Privileged User Management & Access Control
Wallix AdminBastion - Privileged User Management & Access ControlWallix AdminBastion - Privileged User Management & Access Control
Wallix AdminBastion - Privileged User Management & Access Controlzayedalji
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Technet France
 
One Time Password - A two factor authentication system
One Time Password - A two factor authentication systemOne Time Password - A two factor authentication system
One Time Password - A two factor authentication systemSwetha Kogatam
 
Information Systems Security & Strategy
Information Systems Security & StrategyInformation Systems Security & Strategy
Information Systems Security & StrategyTony Hauxwell
 
Building a security strategy?
Building a security strategy?Building a security strategy?
Building a security strategy?Lori McInnes
 
Active Directory et la Sécurité
Active Directory et la SécuritéActive Directory et la Sécurité
Active Directory et la SécuritéMicrosoft
 
Fadi Mutlak - Information security governance
Fadi Mutlak - Information security governanceFadi Mutlak - Information security governance
Fadi Mutlak - Information security governancenooralmousa
 
Wallix Admin Bastion: Introduction
Wallix Admin Bastion: IntroductionWallix Admin Bastion: Introduction
Wallix Admin Bastion: IntroductionChris Pace
 

En vedette (15)

Designing and building post compromise recoverable services
Designing and building post compromise recoverable servicesDesigning and building post compromise recoverable services
Designing and building post compromise recoverable services
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Practical AD Security: How to Secure Your Active Directory Network Without Br...
Practical AD Security: How to Secure Your Active Directory Network Without Br...Practical AD Security: How to Secure Your Active Directory Network Without Br...
Practical AD Security: How to Secure Your Active Directory Network Without Br...
 
Defining Security Strategy
Defining Security StrategyDefining Security Strategy
Defining Security Strategy
 
Les menaces apt
Les menaces aptLes menaces apt
Les menaces apt
 
Wallix AdminBastion - Privileged User Management & Access Control
Wallix AdminBastion - Privileged User Management & Access ControlWallix AdminBastion - Privileged User Management & Access Control
Wallix AdminBastion - Privileged User Management & Access Control
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentiel
 
One Time Password - A two factor authentication system
One Time Password - A two factor authentication systemOne Time Password - A two factor authentication system
One Time Password - A two factor authentication system
 
IT Security & Governance Template
IT Security & Governance TemplateIT Security & Governance Template
IT Security & Governance Template
 
Information Systems Security & Strategy
Information Systems Security & StrategyInformation Systems Security & Strategy
Information Systems Security & Strategy
 
Building a security strategy?
Building a security strategy?Building a security strategy?
Building a security strategy?
 
70 640 Lesson05 Ppt 041009
70 640 Lesson05 Ppt 04100970 640 Lesson05 Ppt 041009
70 640 Lesson05 Ppt 041009
 
Active Directory et la Sécurité
Active Directory et la SécuritéActive Directory et la Sécurité
Active Directory et la Sécurité
 
Fadi Mutlak - Information security governance
Fadi Mutlak - Information security governanceFadi Mutlak - Information security governance
Fadi Mutlak - Information security governance
 
Wallix Admin Bastion: Introduction
Wallix Admin Bastion: IntroductionWallix Admin Bastion: Introduction
Wallix Admin Bastion: Introduction
 

Similaire à Sécurité Active Directory : détecter l’indétectable !

Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesLutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesMicrosoft
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatifLeClubQualiteLogicielle
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...Cyber Security Alliance
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerNetExplorer
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Asma Messaoudi
 
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...Cyber Security Alliance
 
La sécurité des applications avec ESAPI
La sécurité des applications avec ESAPILa sécurité des applications avec ESAPI
La sécurité des applications avec ESAPITakfarinas KENOUCHE
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratiquePatrick Guimonet
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 
ZonePoint : Comment garantir la confidentialité du travail collaboratif sous ...
ZonePoint : Comment garantir la confidentialité du travail collaboratif sous ...ZonePoint : Comment garantir la confidentialité du travail collaboratif sous ...
ZonePoint : Comment garantir la confidentialité du travail collaboratif sous ...Microsoft
 

Similaire à Sécurité Active Directory : détecter l’indétectable ! (20)

Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesLutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
seim.pptx
seim.pptxseim.pptx
seim.pptx
 
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorer
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02
 
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
 
La sécurité des applications avec ESAPI
La sécurité des applications avec ESAPILa sécurité des applications avec ESAPI
La sécurité des applications avec ESAPI
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 
ZonePoint : Comment garantir la confidentialité du travail collaboratif sous ...
ZonePoint : Comment garantir la confidentialité du travail collaboratif sous ...ZonePoint : Comment garantir la confidentialité du travail collaboratif sous ...
ZonePoint : Comment garantir la confidentialité du travail collaboratif sous ...
 
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FR
 

Plus de Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceMicrosoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 

Plus de Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 

Sécurité Active Directory : détecter l’indétectable !

  • 2. Sécurité Active Directory: Détecter l’indétectable! Daniel Pasquier – PFE Security Lead France Jugoslav Stevic – PFE Identity & Security Microsoft France Donnez votre avis depuis votre smartphone sur : http://notes.mstechdays.fr
  • 3. • Pourquoi est-il si difficile de détecter les attaques? - Etablir un référentiel du comportement dit "normal"
  • 4. Contexte Actuel – "Data Breach Report"
  • 5. Pourquoi est-ce si difficile à détecter ? par l'intermédiaire d' outils standards existants (OWA, etc..) Par la suite, les attaquants Tentent d’utiliser des identifiants légitimes pour se propager (vols de "credentials"…) Compromission initiale Débute toujours par une station de travail peu ou non surveillée… Les Attaquants ne laissent pas de trace évidente…  Utilisent les mêmes méthodes d’accès distant (RDP, etc...) que tous les Administrateurs légitimes  Utilisent parfois les outils standards ("Sysinternals", "built-in tools", etc...)  Aucune alerte détectée par "AV/AM"
  • 6. Pourquoi est-ce si difficile à détecter ? Compromission Initiale
  • 7. Détécter des Comportements Anormaux – Plan d’Actions Ordinateurs: Serveurs sensibles, Contrôleurs de domaine, Stations d’admin; Equipements… Personnes: Administrateurs, Helpdesk, VIP, comptes de services, tâches, & génériques… sur vos contrôleurs de domaine Activer l’audit "Audit Special Logon" Event 4964 créé lorsqu'un utilisateur appartient à un groupe spécial Top 10 des risques les plus élevés Top 10 des machines les plus critiques de votre organisation Activer la surveillance Identifier les Event ID les plus pertinents sur la base du Top 10 des risques et les appliquer sur le top 10 des équipements à surveiller Décider de ce qu’il faut surveiller En premier lieu, inventorier et protéger les équipements les plus critiques et jugés à haut risques
  • 8. 8 Sur les contrôleurs de domaine: Cet évènement est généré à chaque demande d'accès à une ressource (Ordinateur ou Service) utilisant un ticket Kerberos (TGS) Le groupe "Protected Users" impose le protocle "Kerberos"! Qui a demandé l’accès? "Service Name" indique la ressource pour laquelle l’accès a été demandé "Client Address" indique l’adresse IP source où l’utilisateur s’est authentifié "Date and Time" de la demande de ticket "Kerberos Service request (TGS)"; Nom du contrôleur de domaine en charge de cette demande Event ID 4769 « Audit Kerberos Service Ticket Operations »
  • 9. Indicate what groups are “special” by listing them in a custom registry key as a string value, using group SID, Separate groups by semi-colon (;) Identifie toute nouvelle authentification venant d'un utilisateur appartenant à un groupe de type "Special Groups" Event ID 4964 « Special Logon » Surveiller si la liste des "Special Groups" a été modifiée dans le registre Un script peut être exécuté afin de générer un rapport ou une alerte
  • 10. Détecter des Comptements Anormaux – Plan d’Actions Activer "Global Object Access Auditing" sur les serveurs sensibles pour l'accès aux fichiers et registres (SACLS) Definir les évènements qui indiquent sans aucun doute possible une attaque et centraliser l’information! (suite) Identifier les "Event ID" les plus pertinents sur la base du Top 10 des risques et les appliquer sur le top 10 des équipements à surveiller Appartenance aux groupes privilégiés, Activer l'audit sur les Stockages Amovibles (USB,Disk..), Positionner un audit modéré afin de ne pas créer trop d'activité et de bruit! Un compte utilisateur est temporairement ajouté dans le groupe "Domain Admins" pour résoudre un dysfonctionnement "AD" puis retiré dès résolution :  Compte administrateur Orphelin & Éphémère avec la classe d’objet : "Dynamic User Object Class"!  Inspection d’une image "NTDS" ou d'une sauvegarde Active Directory afin d'obtenir les valeurs initiales des attributs
  • 11. “Global Object Access Auditing” Useful for verifying that all critical files, folders, and registry settings on a computer are protected. Event ID 5145 « Audit Detailed File Share » L'utilisateur identifié a accédé au partage spécifié depuis l'adresse réseau source indiquée En utilisant les permissions d’accès "ReadData" Date & heure où le fichier a été accédé; nom du serveur hébergeant le fichier & type d’accès "success or failure" La valeur du "Reason for Access" est "ReadData" obtenu par l’appartenance au groupe "Built-in Administrators" group Combiner l’audit "Global Object Access Auditing" avec "Audit Detailed File Share"
  • 12. Event ID 4728 "Audit Security Group Management" Un membre a été ajouté… Action réalisée par "NWTRADERSAdministrator" Les propriétés "SamAccountName" et "DN" de l’utilisateur ajouté dans le groupe de sécurité… Nom du groupe privilégié cible Date, heure à laquelle l’opération a été réalisée
  • 13. Un compte utilisateur est temporairement ajouté dans le groupe "Domain Admins" pour résoudre un dysfonctionnement AD puis retiré dès résolution :  Compte administrateur Orphelin & Éphémère avec la classe d’objet : "Dynamic User Object Class"!  Inspection d’une image "NTDS" ou d'une sauvegarde Active Directory afin d'obtenir les valeurs initiales des attributs
  • 14.
  • 15. Détecter des Comptements Anormaux – Plan d’Actions Applications habituellement utilisées, Performance réseau habituelle, Flux réseaux, Analyseur réseau, établir un référentiel Ces comptes sensibles peuvent collaborer qu'avec ces personnes sur ce projet top secret! 3 – Etablir un référentiel du comportement dit "normal" Identifier au moins les scénarios pour lesquels il n’y a pas d’ambiguité, dont on est sûr! Les comptes à haut privilèges ne peuvent s'authentifier que sur une liste de machines spécifiques : Station d'admin, DCs, serveurs : Localisation & Nb d'occurences Ces comptes privilégiés se connectent dans cette plage horaire uniquement et pour une durée définie Ces comptes privilégiés doivent uniquement accéder à une liste spécifiques de ressources (serveurs sensibles, contrôleur de domaine..) Les ressources très sensibles ne peuvent être accédées que par une liste d'utilisateurs et ordinateurs définis
  • 16. Détecter des Comptements Anormaux – Plan d’Actions Est-ce que ce serveur ou ce compte d'administration est autorisé à être connecté à cette heure de la nuit ? 4 – Définir les seuils d’alertes d’une activité anormale Une activité anormale c’est... tout changement inexpliqué (en plus ou en moins) dans le rythme actuel Membres du groupe "Domain Admins" s'authentifiant sur des stations de travail Est-ce normal? Compte privilégié AD utilisé pour contacter un serveur applicatif (accès aux données sensibles, exfiltration, vols d'identifiants..) Compte à pouvoirs utilisé au même moment à des endroits différents Est-ce que ce gros volume de données est autorisé à transiter sur le réseau, de nuit et vers ce pays étranger?
  • 17. Détecter des Comportements Anormaux – Plan d’Actions Quoi, un Event ID 1102 ??? Le journal d'évènements a été purgé! La stratégie de Sécurité a été modifiée! Ajout d’un compte utilisateur étrange dans le groupe "Domain Admins" ou tout autre groupe à haut privilèges ? Compte privilégié désactivé, compte fictif mais en cours d’utilisation? "Dynamic User Object" utilisé en tant qu’admin ? Connexions vers l’extérieur anormales, ports en écoute non souhaités ??? 4 – Définir les seuils d’alertes d’une activité anormale (suite) Une activité anormale c’est... tout changement inexpliqué (en plus ou en moins) dans le rythme actuel
  • 18. Soyons créatifs: Mise en place d’un “Honeynet”? Restreindre l’accès aux paramètres de configuration d’audit Rediriger les évènements vers un point central à l'aide de "Event Subscription" Leurs seules activités consistera à alerter si quelqu'un essaye de s'y connecter (ping, logon..). Réaliser un paramétrage adéquate afin de vous affranchir de "Faux-positifs" Identifier une ou plusieurs machines que vous souhaitez utiliser en "Honeynet" Mettez les à jour selon vos processus normaux Autoriser les connexions entrantes (Logs Firewall), restreindre les connexions sortantes :  Limiter l’impact si le "Honeynet" est compromis  Masquer son rôle de serveur "Honeynet"
  • 19. A – Activer l’auditing sur le Honeynet – Applocker en mode Audit Toute utilisation anormale d’outils est surveillée et enregistrée dans le journal des évènements Vérifier que le service "Application Identity" est démarré et en cours d'exécution Soyons créatifs: configurons un “Honeynet”… ex. Créer 2 jeux de règles :  "Règles concernant les exécutables" : Utilisées pour surveiller tous les exécutables sur le "Honeynet "  "Règles concernant les scripts" : Utilisées pour surveiller tous les scripts exécutés sur le "Honeynet" L'activité "AppLocker" est surveillée en consultant le journal des évènements et redirigée vers un point central
  • 20. 20 Configurer un serveur de collecte d'évènements vers qui les évènements "AppLocker" & "Autres Alertes" seront redirigés et qui sera à même de les traiter...
  • 21. B – Attack Surface Analyser Outil Microsoft gratuit permettant d'identifier toute augmentation de surface d'attaque due à l'installation d'applications… Un "scan" de la machine réalisé périodiquement permet d'identifier les différents outils & scripts installés par l'attaquant sur le "Honeynet" Soyons créatifs: configurons un “Honeynet”… ex.
  • 22. C – Activation de l’Audit Windows & Autres outils … Détecter des comportemens anormaux... Des modifications inattendues (en + ou en -) Centralisation des évènements anormaux Déclenchement auto de scripts et analyse Soyons créatifs: configurons un “Honeynet”… e.x.
  • 23. Start User or Machine compromised Honeynet server Collector Server Attacks Events ID Forwarded
  • 24.
  • 25.
  • 26.
  • 27.
  • 28. N'oubliez pas, une activité en baisse… est aussi suspecte qu'une activité en hausse, par exemple:  Diminution des remontées d’alertes virales...  Arrêt soudain des attaques de type "Brute force" sur les mots de passe  Diminution drastique des alertes "Firewall" "They got in …" Merci à Pierre Audonnet pour ses excellents scripts Powershell ! https://gallery.technet.microsoft.com ANSSI: Recommandations de sécurité pour la mise en oeuvre d’un système de journalisation http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et- des-serveurs/recommandations-de-securite-pour-la-mise-en-oeuvre-d-un-systeme-de.html Useful NSA's guide: “Spotting the Adversary with Windows Event log Monitoring” http://www.nsa.gov/ia/_files/app/Spotting_the_Adversary_with_Windows_Event_Log_Monitoring.pdf Conclusion & Questions
  • 29. http://notes.mstechdays.fr Faites le depuis votre Windows Phone! Ou depuis votre Hi Phone, APhone (Andro Phone)…
  • 30.
  • 31. Prêt pour le QCM habituel ? http://notes.mstechdays.fr