Voici une vidéo complète de la formation Azure Advanced Threat Protection qui est en cours de préparation par Seyfallah TAGREROUT sur Alphorm.com Plan de la vidéo: Présentation de la formation Avant Installation Installation d’Azure ATP Configuration Azure ATP Sensor Gestion de l’environnement Azure ATP Conclusion

1. Microsoft Azure
Advanced Threat Protection
Une formation
Seyfallah TAGREROUT

2. Une formation
Présentation de la formation
Avant Installation
Installation d’Azure ATP
Configuration Azure ATP Sensor
Gestion de l’environnement Azure ATP
Conclusion
Plan de formation

3. Une formation
Public concerné
Architecte & Ingénieur cloud
Consultant IT & Cloud
Administrateur système
Étudiants 

4. Une formation
Prérequis
Formation Microsoft ATA
Active Directory
Notions de sécurité
Windows Server
Azure et Cloud

5. Merci

6. Présentation du LAB
Une formation
Seyfallah TAGREROUT

7. Une formation
Composants
Azure
Windows Server
Active Directory
Azure Active Directory
EMS E5

8. Une formation
Prérequis
Licence EMS E5
Deux Windows Server avec accès
internet
Client Windows 10

9. Une formation
Installation pas à pas
Installation sur Azure :
• Windows Server
• Active Directory
• Client Windows 10
Abonnement EMS E5 – Trial

10. Présentation d'Azure ATP
Une formation
Seyfallah TAGREROUT

11. Une formation
Présentation d’Azure ATP
Architecture
Nouveautés
Plan

12. Une formation
Présentation d’Azure ATP
Azure ATP est une solution cloud qui
détecte les menaces, et attaques
malveillantes au sein d’un système
d’information
Azure ATP se base sur le trafic Active
Directory pour détecter les activités
suspectes

13. Une formation
Présentation d’Azure ATP
Chaine classique d’une cyber attaque:
• Reconnaissance
• Mouvement latérale
• Domain Dominance (Persistance)
Azure ATP cible les types d’attaques suivantes:
• Attaques Malveillantes
• Comportement anormal
• Risques plus au moins élevés

14. Une formation
Ce que permet Azure ATP
Identification des activités suspectes des utilisateurs
et des attaques avancées
Surveillance des utilisateurs via une analyse
comportementale, (machine Learning)
Protection des identités et informations
d’identification des utilisateurs

15. Une formation
Risques de sécurité
Vulnérabilités des protocoles connues
Protocoles faibles au niveau sécurité
Relation de confiance

16. Une formation
Les attaques détectées
Golden Ticket
Identités corrompues
Domain dominance
Mouvement latéral
Reconnaissance
Brute Force
Exécution à distance des commandes etc
OverPAss-The-Hash
Pass-The-Ticket
Pass-The-Hash

17. Une formation
Avantages d’Azure ATP
Être toujours alerté d’un comportement anormal au
sein de son organisation
L’infrastructure Active Directory protégée qu’elle
que soit le type d’architecture
Être alerté en temps réel lors d’un risque ou une
activité anormale de la part d’un utilisateur ou une
machine
Trackage
Renforcer la sécurité de son système d’information

18. Une formation
Architecture

19. Une formation
Composants
Portail Azure ATP
• Il gère l’instance Azure ATP
Azure ATP Sensor
• Ils sont installés sur les DC afin qu’ils puissent
superviser le trafic et l’envoyer à l’Azure ATP
instance
Service Cloud – Azure ATP
• C’est le service qui exécute l’infrastructure Azure
ATP, il est disponible aux USA, Europe et Asie –
Connecté à MS Graph

20. Une formation
Fonctionnement
Moteur propriétaire pour capturer et analyser plusieurs
types de trafic : DNS, RPC , Kerberos etc ….
Utilisation des informations depuis plusieurs sources :
Event Logs
Utilisation du trafic des DC pour analyser le trafic dans le
réseau :
• Port Mirroring (précédemment ) – ATP Sensor
Standalone
• Depuis les Dc directement – ATP Sensor

21. Une formation
Nouveautés - Janvier 2018
• New Security Alert : Remote code execution over DNS-
(preview)
• Feature Enhancement : 72 hour delayed sensor update
• New Security Alert : Data exfiltration over SMB -
(preview)
• Suspected Golden Ticket usage (ticket anomaly) and
Suspected Golden Ticket usage (nonexistent account)
• Azure ATP Security Alert documentation

22. Capacity Planning
Une formation
Seyfallah TAGREROUT

23. Une formation
Outil de dimensionnement
Aide à choisir le dimensionnement des Azure ATP Sensor ( RAM , CPU)
https://gallery.technet.microsoft.com/Azure-Advanced-Threat-a11343c4

24. Une formation
Deux types de Sensor
1. Azure ATP Sensor
2. Azure ATP Sensor Standalone
Fonctionnement : Port Mirroring

25. Une formation
Quelques données

26. Architecture Azure ATP
Une formation
Seyfallah TAGREROUT

27. Une formation
Architecture

28. Une formation
Composants
Portail Azure ATP
• Portail Azure ATP qui gère l’instance Azure ATP
Azure ATP Sensor
• Sensor installés sur les DC afin qu’ils puissent
superviser le trafic et l’envoyer à l’Azure ATP
instance
Service Cloud – Azure ATP
• C’est le service qui exécute l’infrastructure Azure
ATP, il est disponible aux USA, Europe et Asie –
Connecté à Ms Graph

29. Prérequis
Une formation
Seyfallah TAGREROUT

30. Une formation
Prérequis
Licence EMS E5
Au moins une forêt Active Directory
Compte AD lecture seule
Compte AD lecture seule sur les
objets supprimés

31. Une formation
Navigateurs
Microsoft Edge
Internet Explorer 10 et versions
ultérieures
Google Chrome 4.0 et versions
ultérieures
Largeur d’écran d’une résolution
minimale de 1 700 pixels

32. Une formation
Sensor OS et Logiciel
Windows Server 2008 R2 Sp1 Min
Pas de Server Core
Windows Server 2012, 2012 R2, 2016 ( core )
RODC supporté
.Net Framwork 4.7

33. Une formation
Sensor matériel
Au moins 6 GB de RAM
Au moins 100 GB de disque
Pas de mémoire dynamique si le DC
est une VM
Pas d’écart de plus de 5 min au
niveau de l’heure

34. Une formation
Prérequis

35. Choix de l’architecture
Une formation
Seyfallah TAGREROUT

36. Une formation
Architecture
Azure ATP Sensor
Azure ATP Senor – standalone

37. Une formation
Architecture
À prendre en compte :
• Nombre de forêt AD
• Nombre de domaine AD

38. Création du
Workspace Azure ATP
Une formation
Seyfallah TAGREROUT

39. Configuration du
Workspace Azure ATP
Une formation
Seyfallah TAGREROUT

40. Téléchargement et installation de
l’Azure ATP Sensor
Une formation
Seyfallah TAGREROUT

41. Paramétrage de
l’Azure ATP Sensor
Une formation
Seyfallah TAGREROUT

42. Vérification de
l’infrastructure
Une formation
Seyfallah TAGREROUT

43. Tour de l’environnement
Une formation
Seyfallah TAGREROUT

44. Fichier Logs & Services
Une formation
Seyfallah TAGREROUT

45. Droit & délégation
Une formation
Seyfallah TAGREROUT

46. Gestion de rapport
Une formation
Seyfallah TAGREROUT

47. Test de l’environnement
Alertes
Une formation
Seyfallah TAGREROUT

48. Gestion d’alertes
Une formation
Seyfallah TAGREROUT

49. Conclusion
Une formation
Seyfallah TAGREROUT

50. Une formation
Avant Installation
Installation d’Azure ATP
Configuration Azure ATP Sensor
Gestion de l’environnement Azure ATP
Bilan

51. Merci