SlideShare une entreprise Scribd logo
aOS Genève
22 juin 2017
Microsoft Advanced Threat Analytics
Seyfallah Tagrerout
@Tseyf34
Architect infrastructure et cloud - Sogeti
Microsoft Advanced Threat
Analytics
Seyfallah Tagrerout
@Tseyf34
Présentation du conférencier
Consultant Infrastructure
& Cloud
Microsoft MVP Cloud et
Datacenter Management
Communautés :
aOS - CMD
Formateur / Auteur
Présentation du conférencier
• Me contacter :
 Seyfallah.t@gmail.com
 https://fr.linkedin.com/in/seyfallahtagrerout
 Blog 1 : https://seyfallah-it.blogspot.fr
 Blog 2 : http://www.tech-mscloud.com
https://www.youtube.com/user/seyf34
 https://channel9.msdn.com/Niners/Seyfallah
Merci à nos sponsors !
Agenda
Microsoft Advanced
Theart Analytics
– Introduction
– Présentation
Architecture
– Overview
– Présentation des
éléments
Planification
– Planification
– Questions avant le
déploiement
Déploiement
– Prérequis
– Bonnes pratiques
Opérations
– Utilisation
– Gestion des logs
– Gestion de la BDD
Feedback
– Déploiement
WorlWide (51
DCs)
1 2 3
4 5 6
MICROSOFT ADVANCED THEART ANALYTICS
Introduction
Quelques chiffres clés
• 81 % des entreprises
Françaises ont été visées
par une cyberattaque en
2015
• 5 à 10 % du budget d’une
entreprise d’après l’ANSSI
• 9 Semaines, c’est le temps
qu’il faut pour retomber
sur pattes …
• 35 % des incidents
proviennent malgré eux
des employés
Quelques chiffres clés
• 800 000 euros ! Pour s’en
remettre en moyenne
• Exemple TV5 Monde : 4.6
Millions d’euros
Source : http://ideas.microsoft.fr/cybersecurite-5-chiffres-cles-a-connaitre/#5iH5RxGrqvu1LzEK.97
MICROSOFT ADVANCED THEART ANALYTICS
Présentation
Azure Information
Protection
Protect your data,
everywhere
Microsoft Cloud App Security
Azure Active Directory
Detect threats early
with visibility and
threat analytics
Advanced
Threat Analytics
Extend enterprise-grade
security to your cloud
and SaaS apps
Intune
Protect your users,
devices, and apps
Manage identity with hybrid
integration to protect application
access from identity attacks
Enterprise Mobility +Security
Comment se procurer Microsoft ATA ?
Microsoft ATA
Machine learning Protection Anticipation Alerts
Achat par Microsoft : Start-up AORATO
Active Directory
Microsoft ATA
Sinon, que permet Microsoft ATA ? Via une analyse du trafic des DCs …
Chaine classique d’une cyber
attaque:
• Reconnaissance
• Mouvement latérale
• Persistance
Risques:
• Vulnérabilité de protocole
connues
• Protocoles faibles
• Perte de relation de
confiance
Microsoft ATA
Types d’attaques:
• Comportement
anormale
• Attaques
malveillants
Types d’attaques malveillants:
• Golden Ticket
• Reconnaissance
• Brut de force
• Exécution à distance
• OverPAss-The-Hash
• Pass-The-Ticket
• Pass-The-Hash
• ….
Sinon, que permet Microsoft ATA ?
Microsoft ATA
À propos du machine Learning dans ATA :
• Connexion anormale sur
des ressources
• Mouvement latérale
• Menaces inconnues
Microsoft ATA
Apports au quotidien :
• Alertes
• Robustesse
• Protection de l’AD
• Prévention
ARCHITECTURE
Overview
Architecture
Architecture
Eléments d’architectures
• ATA Center
• ATA Gateway
• ATA LightWeight Gateway
• DataBase Mango DB
• ATA center Web console
• Port mirroring
• Syslog , Splunk ..
ARCHITECTURE
Présentation des éléments
Architecture
L’ATA Center – l’élément centrale de l’architecture …
Architecture
• Collecte les évènements
• Analyse les évènement
• Traitement des évènements
• Alertes des activités suspects
• Notification via Console + Mail
• Console web (d’administration)
• Update / opérations et administration
• Service Windows :
– Microsoft Advanced Threat Analytics Center
L’ATA Center – l’élément centrale de l’architecture …
Pas de multi-forêts pour l’ATA center ! (pour l’instant …)
Architecture
L’ATA Gateway – l’autre élément essentiel…
Architecture
• .exe d’ATA Gateway installé sur un serveur
• Collection du trafic des DCs via le port
mirroring
• Récupération des données provenant des
utilisateurs du domaine
• Evènements reçus via :
– DC / SIEM / Event Log (forward)
• Un ou plusieurs DCs
• Deux Services :
– Microsoft Advanced Thread Analytics Gateway
– Microsoft Advanced Thread Analytics Gateway updater
L’ATA Gateway – l’autre élément essentiel…
Architecture
ATA LightWeight Gateway
Architecture
• Même rôle qu’une Gateway classique
• À l’exception :
– Candidat Synchronisateur de domaine
– Limitation de ressources
L’ATA LightWeight Gateway – l’autre élément essentiel…
Architecture
L’ATA LightWeight Gateway – l’autre élément essentiel…
Composant qui analyse le CPU + RAM du DCs sur le quel il est installé:
– Fréquence d’analyse : toutes les 10 secondes
– Minimum 15 % de ressources ….
Intelligence au niveau du choix du Traffic a analyser :
Architecture
Data Base MangoDB :
Stockage :
• La configuration d’ATA
• Les activités suspects
• Les évènements
• L’activité réseau
 C:Program FilesMicrosoft Advanced Threat
AnalyticsCenterMongoDBbindata
Architecture
ATA Center Web console – La console d’administration :
Architecture
Un peu réseau 
Port Mirroring :
– Port source
– Destination
Copie du trafic d’un ou plusieurs port
vers un autre port du switch
DEMO
Découverte de la Web Console de l’ATA Center
PsExec - Honey token – Reconnaissance DNS
PLANIFICATION
Capacity planning
Planification
Définir les besoins en ressources matériels
Outils de dimensionnement :
• Advanced Threat Analytics (ATA) Sizing tool (v2.6.2)
– https://gallery.technet.microsoft.com/Advanced-Threat-
Analytics-7371c87f
• Scan tout le trafic au niveau des DCs et aide à :
– Quantité de mémoire RAM
– CPU
– Stockage Data base
– ATA Gateway & LightWeight Gateway
Planification
ATA Center: ATA Gateway:
ATA LightWeight Gateway:
PLANIFICATION
Questions avant le déploiement
Déploiement
Les questions avant de déployer…
Question Choix
1 L’ATA center Physique / virtuel
2 Type de passerelle Classique / légère
3 Certificate Via Pki / auto signé
4 SIEM ou WEF SIEM ou WEF
5 WK ou domaine
Sécurité ou
management .. ?
Déploiement
Gateway classique ou LightWeight Gateway ?
• ATA Gateway classique:
– Port Mirroring
– Prend plusieurs DCs
– Plus difficile a détecter
– Jusqu’à 50 000 paquet /s
• Scenarios :
– Sur les DCs chargés en
trafic
• ATA LightWeight
Gateway :
– Pas Port Mirroring
– Prend un DC à la fois
– Facile à détecter sur le Dc
– Jusqu’à 10 000 paquet /s
• Scenarios :
– RODC
– Site distant
DÉPLOIEMENT
Prérequis
Déploiement
Prérequis | ATA Center
• Windows server 2012 R2 / 2016
• Physique ou Virtuel
• Compte « accès lecture de l’annuaire AD »
• KB: 2919335
• Horloge synchronisée avec les DCs
• Au moins une carte réseaux (2 de
préférences)
• Joint au domaine ou Workgroup
• SSL pour la web console
• Certificat auto-signé (installation service
ATA)
Prérequis | ATA Gateway
• Windows server 2012 R2 / 2016 /
server core
• Physique ou Virtuel
• KB: 2919335
• Configuration Port mirroring comme
destination
• Deux interfaces réseaux
• Horloge synchronisée avec les DCs
• Domaine ou Workgroup
• Pour le DC mini 8 GB de RAM
La RAM + CPU sont défini après l’analyse du trafic avec Advanced Threat Analytics (ATA) Sizing tool
Déploiement
Prérequis | ATA Gateway
• Spécificité:
– Minimum 10 GB pour les Logs
– Deux cartes réseaux:
• Gestion et LAN
• Capture du trafic
– IP: 1.1.1.1 /32) no routable /
Pas de DNS ni Gateway
Déploiement
Flux – Firewall | ATA Center
Protocole Transport Port From Sens
SSL
(communication
ATA)
TCP 443 Gateway ATA Entrant
(Service ATA
center)
HTTP TCP 80 Réseau
entreprise
Entrant (Web
Console)
HTTPs TCP 443 Réseau
entreprise
Entrant (Web
Console)
SMTP TCP 25 Serveur SMTP Sortant
SMTPS TCP 465 Serveur SMTP Sortant
Syslog TCP 514 Serveur Syslog Sortant
Déploiement
Flux – Firewall | ATA Gateway
• LDAP en TCP / UDP port : 389 – Sortant
• LDAPs en TCP port 636 - Sortant
• LDAP vers CG en TCP port 3268 - Sortant
• LDAPs vers CG en TCP port 3269 - Sortant
• Kerberos en TCP / UDP port 88 - Sortant
• NetLogon en TCP / UDP port 445 - Sortant
• Horloge Windows en UDP port 123 - Sortant
• DNS en TCP et UDP port 53 - Sortant
• NTLM sur RPC en TCP port 135 - Sortant
• NetBios en UDP port 137 - Sortant
• SSL en TCP port 443 / ou custom – Sortant (IP
du service + Ip de la console)
• Syslog (facultatif) en UDP port 512 - Sortant
Déploiement
Flux – Firewall | ATA LightWeight Gateway
Protocole Transport Port Sens
DNS TCP et UDP 53 Sortant
NTLM sur RPC TCP 135 Sortant
NetBIOS UDP 137 Sortant
SSL TCP 443 Sortant
Syslog UDP 514 Entrant
DÉPLOIEMENT
Bonnes Pratiques
Déploiement
• Pas de nom évident
• Être à jours  (Patch
management)
• ATA center + ATA Gateway en
Workgroup
• Utilisation mixte (Ata Gateway +
ATA LightWeight Gateway)
• Utilisation du Honey Token
Bonnes pratiques
DÉMO
Installation d’une passerelle ATA LightWeight Gateway
OPÉRATIONS
RBAC | Gestion des Logs | Gestion de la BDD
Opérations
RBAC
• 3 rôles:
– ATA administrators
– ATA Users
– ATA Viewers
Gestion des Logs
Ata Gateway Logs:
• C:Program FilesMicrosoft Advanced Threat
AnalyticsGatewayLogs
ATA Center Log:
• C:Program FilesMicrosoft Advanced Threat
AnalyticsCenterLogs
Opérations
BDD MongoDB
• Répertoire par défaut :
C:Program FilesMicrosoft Advanced Threat
AnalyticsCenterMongoDBbinData
FEEDBACK
Design et déploiement d’une architecture ATA chez un client
Feedback
Environnements – Programme Private Preview
• 51 DCs
– Un ATA Center (Production)
• 128 GB de RAM / 16 vCPU
• Au niveau des Gateway:
• 18 Derrière des Gateway
classiques
• 33 via des LightWeight Gateway
– Taille BDD plus de 450 GB
– Passage Physique (in Progress…)
• 6 DCs
– Un ATA Center (LAB)
• 2 Derrière des Gateway
classiques
• 4 via des LightWeight
Gateway
CONCLUSION
Conclusion
• Sécurité
• Anticipation
• Facilité

Contenu connexe

Similaire à 3 Microsoft Advanced Threat Analytics - Genève

Le cloud-in-a-box avec Cloud Platform System (CPS) et Windows Azure Pack
Le cloud-in-a-box avec Cloud Platform System (CPS) et Windows Azure PackLe cloud-in-a-box avec Cloud Platform System (CPS) et Windows Azure Pack
Le cloud-in-a-box avec Cloud Platform System (CPS) et Windows Azure Pack
Microsoft Décideurs IT
 
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseriesBreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
Xavier MARIN
 
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Bruno Bonnin
 
Tech daysRetour d’expérience Big Compute & HPC sur Windows Azure [TechDays 2014]
Tech daysRetour d’expérience Big Compute & HPC sur Windows Azure [TechDays 2014]Tech daysRetour d’expérience Big Compute & HPC sur Windows Azure [TechDays 2014]
Tech daysRetour d’expérience Big Compute & HPC sur Windows Azure [TechDays 2014]
ANEO
 
LabVIEW™ real time programing
LabVIEW™ real time programingLabVIEW™ real time programing
LabVIEW™ real time programing
Alexandre STANURSKI
 
Monitoring applicatif : Pourquoi et comment ?
Monitoring applicatif : Pourquoi et comment ?Monitoring applicatif : Pourquoi et comment ?
Monitoring applicatif : Pourquoi et comment ?
Kenny Dits
 
Retour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELEC
Retour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELECRetour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELEC
Retour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELEC
Microsoft Technet France
 
Traitement temps réel de flux réseaux IPFIX/Netflow avec PySpark, Kafka et Ca...
Traitement temps réel de flux réseaux IPFIX/Netflow avec PySpark, Kafka et Ca...Traitement temps réel de flux réseaux IPFIX/Netflow avec PySpark, Kafka et Ca...
Traitement temps réel de flux réseaux IPFIX/Netflow avec PySpark, Kafka et Ca...
Julien Anguenot
 
Biztalk summit - IOT
Biztalk summit - IOTBiztalk summit - IOT
Biztalk summit - IOT
Cellenza
 
2008-10-02 Paris - Administration des applications critiques avec SQL Server ...
2008-10-02 Paris - Administration des applications critiques avec SQL Server ...2008-10-02 Paris - Administration des applications critiques avec SQL Server ...
2008-10-02 Paris - Administration des applications critiques avec SQL Server ...
Patrick Guimonet
 
Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2
Microsoft
 
IT Customer Solution Architect
IT Customer Solution ArchitectIT Customer Solution Architect
IT Customer Solution Architect
icVatant
 
Spark Streaming
Spark StreamingSpark Streaming
Spark Streaming
PALO IT
 
Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009
FAN Fully Automated Nagios
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011
infcom
 
La diffusion vidéo avec le Cloud Azure
La diffusion vidéo avec le Cloud AzureLa diffusion vidéo avec le Cloud Azure
La diffusion vidéo avec le Cloud Azure
Microsoft
 
Alphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm.com Formation Microsoft ATA 2016 : Installation et ConfigurationAlphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm
 

Similaire à 3 Microsoft Advanced Threat Analytics - Genève (20)

Le cloud-in-a-box avec Cloud Platform System (CPS) et Windows Azure Pack
Le cloud-in-a-box avec Cloud Platform System (CPS) et Windows Azure PackLe cloud-in-a-box avec Cloud Platform System (CPS) et Windows Azure Pack
Le cloud-in-a-box avec Cloud Platform System (CPS) et Windows Azure Pack
 
Inf208
Inf208Inf208
Inf208
 
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseriesBreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
BreizhCamp 2019 - IoT et open source hardware pour la collecte de timeseries
 
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
Guide (un tout petit peu) pratique (et totalement subjectif) du stream proces...
 
Tech daysRetour d’expérience Big Compute & HPC sur Windows Azure [TechDays 2014]
Tech daysRetour d’expérience Big Compute & HPC sur Windows Azure [TechDays 2014]Tech daysRetour d’expérience Big Compute & HPC sur Windows Azure [TechDays 2014]
Tech daysRetour d’expérience Big Compute & HPC sur Windows Azure [TechDays 2014]
 
LabVIEW™ real time programing
LabVIEW™ real time programingLabVIEW™ real time programing
LabVIEW™ real time programing
 
Monitoring applicatif : Pourquoi et comment ?
Monitoring applicatif : Pourquoi et comment ?Monitoring applicatif : Pourquoi et comment ?
Monitoring applicatif : Pourquoi et comment ?
 
Retour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELEC
Retour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELECRetour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELEC
Retour d'expérience BIG COMPUTE & HPC sur Windows Azure, par ANEO et SUPELEC
 
Traitement temps réel de flux réseaux IPFIX/Netflow avec PySpark, Kafka et Ca...
Traitement temps réel de flux réseaux IPFIX/Netflow avec PySpark, Kafka et Ca...Traitement temps réel de flux réseaux IPFIX/Netflow avec PySpark, Kafka et Ca...
Traitement temps réel de flux réseaux IPFIX/Netflow avec PySpark, Kafka et Ca...
 
Biztalk summit - IOT
Biztalk summit - IOTBiztalk summit - IOT
Biztalk summit - IOT
 
2008-10-02 Paris - Administration des applications critiques avec SQL Server ...
2008-10-02 Paris - Administration des applications critiques avec SQL Server ...2008-10-02 Paris - Administration des applications critiques avec SQL Server ...
2008-10-02 Paris - Administration des applications critiques avec SQL Server ...
 
Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2
 
IT Customer Solution Architect
IT Customer Solution ArchitectIT Customer Solution Architect
IT Customer Solution Architect
 
Spark Streaming
Spark StreamingSpark Streaming
Spark Streaming
 
my_resume(fre)
my_resume(fre)my_resume(fre)
my_resume(fre)
 
Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009Fully Automated Nagios, Solutions Linux 2009
Fully Automated Nagios, Solutions Linux 2009
 
_JCVFr
_JCVFr_JCVFr
_JCVFr
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011
 
La diffusion vidéo avec le Cloud Azure
La diffusion vidéo avec le Cloud AzureLa diffusion vidéo avec le Cloud Azure
La diffusion vidéo avec le Cloud Azure
 
Alphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm.com Formation Microsoft ATA 2016 : Installation et ConfigurationAlphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
 

Plus de aOS Community

Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
aOS Community
 
Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020
Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020
Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020
aOS Community
 
Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020
Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020
Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020
aOS Community
 
Serverless avec azure functions - aOS Tahiti 03-03-2020
Serverless avec azure functions - aOS Tahiti 03-03-2020Serverless avec azure functions - aOS Tahiti 03-03-2020
Serverless avec azure functions - aOS Tahiti 03-03-2020
aOS Community
 
Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020
Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020 Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020
Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020
aOS Community
 
MS ignite : les nouveautés autour des content services et projet cortex - aOS...
MS ignite : les nouveautés autour des content services et projet cortex - aOS...MS ignite : les nouveautés autour des content services et projet cortex - aOS...
MS ignite : les nouveautés autour des content services et projet cortex - aOS...
aOS Community
 
Cybersecurité dans M365 - aOS Noumea 28-02-2020
Cybersecurité dans M365 - aOS Noumea 28-02-2020Cybersecurité dans M365 - aOS Noumea 28-02-2020
Cybersecurité dans M365 - aOS Noumea 28-02-2020
aOS Community
 
Introduction a Power Automate - aOS Nouméa 28-02-2020
Introduction a Power Automate  - aOS Nouméa 28-02-2020 Introduction a Power Automate  - aOS Nouméa 28-02-2020
Introduction a Power Automate - aOS Nouméa 28-02-2020
aOS Community
 
aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...
aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...
aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...
aOS Community
 
aOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent Pilo
aOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent PiloaOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent Pilo
aOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent Pilo
aOS Community
 
aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...
aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...
aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...
aOS Community
 
aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...
aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...
aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...
aOS Community
 
aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...
aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...
aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...
aOS Community
 
aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...
aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...
aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...
aOS Community
 
aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...
aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...
aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...
aOS Community
 
aOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi Voncina
aOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi VoncinaaOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi Voncina
aOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi Voncina
aOS Community
 
aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...
aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...
aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...
aOS Community
 
aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...
aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...
aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...
aOS Community
 
aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...
aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...
aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...
aOS Community
 
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Community
 

Plus de aOS Community (20)

Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
Commencer le IaaS sur Azure - aOS Tahiti 03-03-2020
 
Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020
Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020
Migrer vers O365. Quelles stragtégies? - aOS Tahiti 03-03-2020
 
Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020
Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020
Passer des macro Excel à la power plateform - aOS Tahiti 03-03-2020
 
Serverless avec azure functions - aOS Tahiti 03-03-2020
Serverless avec azure functions - aOS Tahiti 03-03-2020Serverless avec azure functions - aOS Tahiti 03-03-2020
Serverless avec azure functions - aOS Tahiti 03-03-2020
 
Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020
Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020 Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020
Passer des macro Excel à la power plateform - aOS Nouméa 28-02-2020
 
MS ignite : les nouveautés autour des content services et projet cortex - aOS...
MS ignite : les nouveautés autour des content services et projet cortex - aOS...MS ignite : les nouveautés autour des content services et projet cortex - aOS...
MS ignite : les nouveautés autour des content services et projet cortex - aOS...
 
Cybersecurité dans M365 - aOS Noumea 28-02-2020
Cybersecurité dans M365 - aOS Noumea 28-02-2020Cybersecurité dans M365 - aOS Noumea 28-02-2020
Cybersecurité dans M365 - aOS Noumea 28-02-2020
 
Introduction a Power Automate - aOS Nouméa 28-02-2020
Introduction a Power Automate  - aOS Nouméa 28-02-2020 Introduction a Power Automate  - aOS Nouméa 28-02-2020
Introduction a Power Automate - aOS Nouméa 28-02-2020
 
aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...
aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...
aOS Monaco 2019 - S3 - Présentation Varonis - Cloud Data Protection - Benjami...
 
aOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent Pilo
aOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent PiloaOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent Pilo
aOS Monaco 2019 - S2 - Présentation ARKADIN - TEAMS Adoption - Laurent Pilo
 
aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...
aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...
aOS Monaco 2019 - C1 - Sécuriser sa messagerie sur Office 365 - Hakim Taoussi...
 
aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...
aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...
aOS Monaco 2019 - B7 - I Developed a SPFx solution, what to do next and how t...
 
aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...
aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...
aOS Monaco 2019 - B6 - Mister Governance and Doctor Teams - Jean-François Ber...
 
aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...
aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...
aOS Monaco 2019 - B5 - The good, the bad and the unexpected - a BOT story - K...
 
aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...
aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...
aOS Monaco 2019 - B4 - Three must have workflows with Microsoft Flow - Vlad C...
 
aOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi Voncina
aOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi VoncinaaOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi Voncina
aOS Monaco 2019 - B3 - Create purchase request in PowerApps - Robi Voncina
 
aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...
aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...
aOS Monaco 2019 - B2 - Intégrer la Power Platform avec SharePoint - Patrick G...
 
aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...
aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...
aOS Monaco 2019 - B1 - Construire son infrastructure sur Azure un jeu d'enfan...
 
aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...
aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...
aOS Monaco 2019 - A7 - Sécurisez votre SI et vos services Office 365 partie 2...
 
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
 

3 Microsoft Advanced Threat Analytics - Genève

  • 1. aOS Genève 22 juin 2017 Microsoft Advanced Threat Analytics Seyfallah Tagrerout @Tseyf34
  • 2. Architect infrastructure et cloud - Sogeti Microsoft Advanced Threat Analytics Seyfallah Tagrerout @Tseyf34
  • 3. Présentation du conférencier Consultant Infrastructure & Cloud Microsoft MVP Cloud et Datacenter Management Communautés : aOS - CMD Formateur / Auteur
  • 4. Présentation du conférencier • Me contacter :  Seyfallah.t@gmail.com  https://fr.linkedin.com/in/seyfallahtagrerout  Blog 1 : https://seyfallah-it.blogspot.fr  Blog 2 : http://www.tech-mscloud.com https://www.youtube.com/user/seyf34  https://channel9.msdn.com/Niners/Seyfallah
  • 5. Merci à nos sponsors !
  • 6. Agenda Microsoft Advanced Theart Analytics – Introduction – Présentation Architecture – Overview – Présentation des éléments Planification – Planification – Questions avant le déploiement Déploiement – Prérequis – Bonnes pratiques Opérations – Utilisation – Gestion des logs – Gestion de la BDD Feedback – Déploiement WorlWide (51 DCs) 1 2 3 4 5 6
  • 7. MICROSOFT ADVANCED THEART ANALYTICS Introduction
  • 8. Quelques chiffres clés • 81 % des entreprises Françaises ont été visées par une cyberattaque en 2015 • 5 à 10 % du budget d’une entreprise d’après l’ANSSI • 9 Semaines, c’est le temps qu’il faut pour retomber sur pattes … • 35 % des incidents proviennent malgré eux des employés
  • 9. Quelques chiffres clés • 800 000 euros ! Pour s’en remettre en moyenne • Exemple TV5 Monde : 4.6 Millions d’euros Source : http://ideas.microsoft.fr/cybersecurite-5-chiffres-cles-a-connaitre/#5iH5RxGrqvu1LzEK.97
  • 10. MICROSOFT ADVANCED THEART ANALYTICS Présentation
  • 11. Azure Information Protection Protect your data, everywhere Microsoft Cloud App Security Azure Active Directory Detect threats early with visibility and threat analytics Advanced Threat Analytics Extend enterprise-grade security to your cloud and SaaS apps Intune Protect your users, devices, and apps Manage identity with hybrid integration to protect application access from identity attacks Enterprise Mobility +Security Comment se procurer Microsoft ATA ?
  • 12. Microsoft ATA Machine learning Protection Anticipation Alerts Achat par Microsoft : Start-up AORATO Active Directory
  • 13. Microsoft ATA Sinon, que permet Microsoft ATA ? Via une analyse du trafic des DCs … Chaine classique d’une cyber attaque: • Reconnaissance • Mouvement latérale • Persistance Risques: • Vulnérabilité de protocole connues • Protocoles faibles • Perte de relation de confiance
  • 14. Microsoft ATA Types d’attaques: • Comportement anormale • Attaques malveillants Types d’attaques malveillants: • Golden Ticket • Reconnaissance • Brut de force • Exécution à distance • OverPAss-The-Hash • Pass-The-Ticket • Pass-The-Hash • …. Sinon, que permet Microsoft ATA ?
  • 15. Microsoft ATA À propos du machine Learning dans ATA : • Connexion anormale sur des ressources • Mouvement latérale • Menaces inconnues
  • 16. Microsoft ATA Apports au quotidien : • Alertes • Robustesse • Protection de l’AD • Prévention
  • 19. Architecture Eléments d’architectures • ATA Center • ATA Gateway • ATA LightWeight Gateway • DataBase Mango DB • ATA center Web console • Port mirroring • Syslog , Splunk ..
  • 21. Architecture L’ATA Center – l’élément centrale de l’architecture …
  • 22. Architecture • Collecte les évènements • Analyse les évènement • Traitement des évènements • Alertes des activités suspects • Notification via Console + Mail • Console web (d’administration) • Update / opérations et administration • Service Windows : – Microsoft Advanced Threat Analytics Center L’ATA Center – l’élément centrale de l’architecture … Pas de multi-forêts pour l’ATA center ! (pour l’instant …)
  • 23. Architecture L’ATA Gateway – l’autre élément essentiel…
  • 24. Architecture • .exe d’ATA Gateway installé sur un serveur • Collection du trafic des DCs via le port mirroring • Récupération des données provenant des utilisateurs du domaine • Evènements reçus via : – DC / SIEM / Event Log (forward) • Un ou plusieurs DCs • Deux Services : – Microsoft Advanced Thread Analytics Gateway – Microsoft Advanced Thread Analytics Gateway updater L’ATA Gateway – l’autre élément essentiel…
  • 26. Architecture • Même rôle qu’une Gateway classique • À l’exception : – Candidat Synchronisateur de domaine – Limitation de ressources L’ATA LightWeight Gateway – l’autre élément essentiel…
  • 27. Architecture L’ATA LightWeight Gateway – l’autre élément essentiel… Composant qui analyse le CPU + RAM du DCs sur le quel il est installé: – Fréquence d’analyse : toutes les 10 secondes – Minimum 15 % de ressources …. Intelligence au niveau du choix du Traffic a analyser :
  • 28. Architecture Data Base MangoDB : Stockage : • La configuration d’ATA • Les activités suspects • Les évènements • L’activité réseau  C:Program FilesMicrosoft Advanced Threat AnalyticsCenterMongoDBbindata
  • 29. Architecture ATA Center Web console – La console d’administration :
  • 30. Architecture Un peu réseau  Port Mirroring : – Port source – Destination Copie du trafic d’un ou plusieurs port vers un autre port du switch
  • 31. DEMO Découverte de la Web Console de l’ATA Center PsExec - Honey token – Reconnaissance DNS
  • 33. Planification Définir les besoins en ressources matériels Outils de dimensionnement : • Advanced Threat Analytics (ATA) Sizing tool (v2.6.2) – https://gallery.technet.microsoft.com/Advanced-Threat- Analytics-7371c87f • Scan tout le trafic au niveau des DCs et aide à : – Quantité de mémoire RAM – CPU – Stockage Data base – ATA Gateway & LightWeight Gateway
  • 34. Planification ATA Center: ATA Gateway: ATA LightWeight Gateway:
  • 36. Déploiement Les questions avant de déployer… Question Choix 1 L’ATA center Physique / virtuel 2 Type de passerelle Classique / légère 3 Certificate Via Pki / auto signé 4 SIEM ou WEF SIEM ou WEF 5 WK ou domaine Sécurité ou management .. ?
  • 37. Déploiement Gateway classique ou LightWeight Gateway ? • ATA Gateway classique: – Port Mirroring – Prend plusieurs DCs – Plus difficile a détecter – Jusqu’à 50 000 paquet /s • Scenarios : – Sur les DCs chargés en trafic • ATA LightWeight Gateway : – Pas Port Mirroring – Prend un DC à la fois – Facile à détecter sur le Dc – Jusqu’à 10 000 paquet /s • Scenarios : – RODC – Site distant
  • 39. Déploiement Prérequis | ATA Center • Windows server 2012 R2 / 2016 • Physique ou Virtuel • Compte « accès lecture de l’annuaire AD » • KB: 2919335 • Horloge synchronisée avec les DCs • Au moins une carte réseaux (2 de préférences) • Joint au domaine ou Workgroup • SSL pour la web console • Certificat auto-signé (installation service ATA) Prérequis | ATA Gateway • Windows server 2012 R2 / 2016 / server core • Physique ou Virtuel • KB: 2919335 • Configuration Port mirroring comme destination • Deux interfaces réseaux • Horloge synchronisée avec les DCs • Domaine ou Workgroup • Pour le DC mini 8 GB de RAM La RAM + CPU sont défini après l’analyse du trafic avec Advanced Threat Analytics (ATA) Sizing tool
  • 40. Déploiement Prérequis | ATA Gateway • Spécificité: – Minimum 10 GB pour les Logs – Deux cartes réseaux: • Gestion et LAN • Capture du trafic – IP: 1.1.1.1 /32) no routable / Pas de DNS ni Gateway
  • 41. Déploiement Flux – Firewall | ATA Center Protocole Transport Port From Sens SSL (communication ATA) TCP 443 Gateway ATA Entrant (Service ATA center) HTTP TCP 80 Réseau entreprise Entrant (Web Console) HTTPs TCP 443 Réseau entreprise Entrant (Web Console) SMTP TCP 25 Serveur SMTP Sortant SMTPS TCP 465 Serveur SMTP Sortant Syslog TCP 514 Serveur Syslog Sortant
  • 42. Déploiement Flux – Firewall | ATA Gateway • LDAP en TCP / UDP port : 389 – Sortant • LDAPs en TCP port 636 - Sortant • LDAP vers CG en TCP port 3268 - Sortant • LDAPs vers CG en TCP port 3269 - Sortant • Kerberos en TCP / UDP port 88 - Sortant • NetLogon en TCP / UDP port 445 - Sortant • Horloge Windows en UDP port 123 - Sortant • DNS en TCP et UDP port 53 - Sortant • NTLM sur RPC en TCP port 135 - Sortant • NetBios en UDP port 137 - Sortant • SSL en TCP port 443 / ou custom – Sortant (IP du service + Ip de la console) • Syslog (facultatif) en UDP port 512 - Sortant
  • 43. Déploiement Flux – Firewall | ATA LightWeight Gateway Protocole Transport Port Sens DNS TCP et UDP 53 Sortant NTLM sur RPC TCP 135 Sortant NetBIOS UDP 137 Sortant SSL TCP 443 Sortant Syslog UDP 514 Entrant
  • 45. Déploiement • Pas de nom évident • Être à jours  (Patch management) • ATA center + ATA Gateway en Workgroup • Utilisation mixte (Ata Gateway + ATA LightWeight Gateway) • Utilisation du Honey Token Bonnes pratiques
  • 46. DÉMO Installation d’une passerelle ATA LightWeight Gateway
  • 47. OPÉRATIONS RBAC | Gestion des Logs | Gestion de la BDD
  • 48. Opérations RBAC • 3 rôles: – ATA administrators – ATA Users – ATA Viewers Gestion des Logs Ata Gateway Logs: • C:Program FilesMicrosoft Advanced Threat AnalyticsGatewayLogs ATA Center Log: • C:Program FilesMicrosoft Advanced Threat AnalyticsCenterLogs
  • 49. Opérations BDD MongoDB • Répertoire par défaut : C:Program FilesMicrosoft Advanced Threat AnalyticsCenterMongoDBbinData
  • 50. FEEDBACK Design et déploiement d’une architecture ATA chez un client
  • 51. Feedback Environnements – Programme Private Preview • 51 DCs – Un ATA Center (Production) • 128 GB de RAM / 16 vCPU • Au niveau des Gateway: • 18 Derrière des Gateway classiques • 33 via des LightWeight Gateway – Taille BDD plus de 450 GB – Passage Physique (in Progress…) • 6 DCs – Un ATA Center (LAB) • 2 Derrière des Gateway classiques • 4 via des LightWeight Gateway

Notes de l'éditeur

  1. En quelques mots ATA c’est …..
  2. ATA est un IDS qui permet de detecter plusieurs evenement et aleter , pour cela il se base sur la piece maitresse d’un système d’informatin autrement dit les controleur de domaine
  3. Parler de l’ata center et de son service
  4. La web console les parametre , montrer les alertes (low , hifg etc ) le reslved + dissmis etc
  5. Besoiin des outils de management qui necessient d’etre dans le domaine , choisir la sécurité et le management siimple de l’ATA … (comme le trust de certificat par exemple )
  6. Besoiin des outils de management qui necessient d’etre dans le domaine , choisir la sécurité et le management siimple de l’ATA … (comme le trust de certificat par exemple )
  7. Pas de prise en charge de la mémoire dynamique en passerelle legere