Voici une vidéo complète de la formation Azure Advanced Threat Protection qui est en cours de préparation par Seyfallah TAGREROUT sur Alphorm.com
Plan de la vidéo:
Présentation de la formation
Avant Installation
Installation d’Azure ATP
Configuration Azure ATP Sensor
Gestion de l’environnement Azure ATP
Conclusion
2. Une formation
Présentation de la formation
Avant Installation
Installation d’Azure ATP
Configuration Azure ATP Sensor
Gestion de l’environnement Azure ATP
Conclusion
Plan de formation
12. Une formation
Présentation d’Azure ATP
Azure ATP est une solution cloud qui
détecte les menaces, et attaques
malveillantes au sein d’un système
d’information
Azure ATP se base sur le trafic Active
Directory pour détecter les activités
suspectes
13. Une formation
Présentation d’Azure ATP
Chaine classique d’une cyber attaque:
• Reconnaissance
• Mouvement latérale
• Domain Dominance (Persistance)
Azure ATP cible les types d’attaques suivantes:
• Attaques Malveillantes
• Comportement anormal
• Risques plus au moins élevés
14. Une formation
Ce que permet Azure ATP
Identification des activités suspectes des utilisateurs
et des attaques avancées
Surveillance des utilisateurs via une analyse
comportementale, (machine Learning)
Protection des identités et informations
d’identification des utilisateurs
15. Une formation
Risques de sécurité
Vulnérabilités des protocoles connues
Protocoles faibles au niveau sécurité
Relation de confiance
16. Une formation
Les attaques détectées
Golden Ticket
Identités corrompues
Domain dominance
Mouvement latéral
Reconnaissance
Brute Force
Exécution à distance des commandes etc
OverPAss-The-Hash
Pass-The-Ticket
Pass-The-Hash
17. Une formation
Avantages d’Azure ATP
Être toujours alerté d’un comportement anormal au
sein de son organisation
L’infrastructure Active Directory protégée qu’elle
que soit le type d’architecture
Être alerté en temps réel lors d’un risque ou une
activité anormale de la part d’un utilisateur ou une
machine
Trackage
Renforcer la sécurité de son système d’information
19. Une formation
Composants
Portail Azure ATP
• Il gère l’instance Azure ATP
Azure ATP Sensor
• Ils sont installés sur les DC afin qu’ils puissent
superviser le trafic et l’envoyer à l’Azure ATP
instance
Service Cloud – Azure ATP
• C’est le service qui exécute l’infrastructure Azure
ATP, il est disponible aux USA, Europe et Asie –
Connecté à MS Graph
20. Une formation
Fonctionnement
Moteur propriétaire pour capturer et analyser plusieurs
types de trafic : DNS, RPC , Kerberos etc ….
Utilisation des informations depuis plusieurs sources :
Event Logs
Utilisation du trafic des DC pour analyser le trafic dans le
réseau :
• Port Mirroring (précédemment ) – ATP Sensor
Standalone
• Depuis les Dc directement – ATP Sensor
21. Une formation
Nouveautés - Janvier 2018
• New Security Alert : Remote code execution over DNS-
(preview)
• Feature Enhancement : 72 hour delayed sensor update
• New Security Alert : Data exfiltration over SMB -
(preview)
• Suspected Golden Ticket usage (ticket anomaly) and
Suspected Golden Ticket usage (nonexistent account)
• Azure ATP Security Alert documentation
23. Une formation
Outil de dimensionnement
Aide à choisir le dimensionnement des Azure ATP Sensor ( RAM , CPU)
https://gallery.technet.microsoft.com/Azure-Advanced-Threat-a11343c4
24. Une formation
Deux types de Sensor
1. Azure ATP Sensor
2. Azure ATP Sensor Standalone
Fonctionnement : Port Mirroring
28. Une formation
Composants
Portail Azure ATP
• Portail Azure ATP qui gère l’instance Azure ATP
Azure ATP Sensor
• Sensor installés sur les DC afin qu’ils puissent
superviser le trafic et l’envoyer à l’Azure ATP
instance
Service Cloud – Azure ATP
• C’est le service qui exécute l’infrastructure Azure
ATP, il est disponible aux USA, Europe et Asie –
Connecté à Ms Graph
30. Une formation
Prérequis
Licence EMS E5
Au moins une forêt Active Directory
Compte AD lecture seule
Compte AD lecture seule sur les
objets supprimés
32. Une formation
Sensor OS et Logiciel
Windows Server 2008 R2 Sp1 Min
Pas de Server Core
Windows Server 2012, 2012 R2, 2016 ( core )
RODC supporté
.Net Framwork 4.7
33. Une formation
Sensor matériel
Au moins 6 GB de RAM
Au moins 100 GB de disque
Pas de mémoire dynamique si le DC
est une VM
Pas d’écart de plus de 5 min au
niveau de l’heure