La formation proposée par Seyfallah Tagrerout se concentre sur la sécurité des systèmes d'information à travers l'utilisation des outils Microsoft, tels que Azure Information Protection, Microsoft Cloud App Security, et l'Advanced Threat Analytics (ATA). Elle cible les professionnels de l'IT souhaitant apprendre à sécuriser leur environnement et à détecter les menaces via une analyse comportementale avancée. Le programme inclut des modules sur l'installation, la configuration, et les bonnes pratiques liées à l'ATA pour une meilleure protection contre les cyberattaques.

1. Une formation
Seyfallah TAGREROUT
Formation
Microsoft ATA
Installation et Configuration

2. Cursus
Enterprise Mobility et Security

3. Azure Information
Protection
Protect your data,
everywhere
Detect threats
early with
visibility and
threat analytics
Advanced
Threat Analytics
Microsoft Cloud App Security
Extend enterprise-
grade security to your
cloud and SaaS apps
Intune
Protect your users,
devices, and apps
Azure Active Directory
Manage identity with hybrid
integration to protect application
access from identity attacks

4. Une formation
Cursus formation EMS
MS Azure Information Protection
MS Cloud App Security
MS Intune
MS Azure Active Directory
MS ATA

5. Une formation
Publique concerné
Ingénieur IT
Consultant IT
Geek de la sécurité AD et autres …
Personnes qui souhaitent apprendre comment
protéger son environnement avec les outils de
sécurité Microsoft

6. Une formation
Objectif de la formation
Sécuriser votre système d’information
Apprendre de nouvelles technologies MS
Prendre le train en marche vers la sécurité des
systèmes d’information
Apprendre de nouveaux outils « Microsoft ATA »

7. Azure Information
Protection
Protect your data,
everywhere
Detect threats
early with
visibility and
threat analytics
Advanced
Threat Analytics
Microsoft Cloud App Security
Extend enterprise-
grade security to your
cloud and SaaS apps
Intune
Protect your users,
devices, and apps
Azure Active Directory
Manage identity with hybrid
integration to protect application
access from identity attacks

8. Une formation
Déroulement
Inscription à la
démo de la suite
EMS
Apprendre la
solution
Microsoft ATA
Installation et
mise en situation
réelle

9. Une formation
Ressources
Ma présentation de Microsoft ATA lors du Ms
Cloud Summit :
http://fr.slideshare.net/SeyfallahTagrerout/prsentation-
microsoft-advanced-threat-analytics-deepdive-mscloud-
summit-2017
La documentation officielle :
https://docs.microsoft.com/en-us/advanced-threat-analytics/

10. A vous de jouer !

11. Une formation
Seyfallah TAGREROUT
Présentation de Microsoft ATA

12. Une formation
Plan
Introduction
Microsoft ATA
• Ce que propose ATA
• Avantages d’ATA
• Comment fonctionne ATA
• Architecture
• Dernière version 1.7

13. Une formation
Cursus formation EMS
MS Azure Information Protection
MS Cloud App Security
MS Intune
MS Azure Active Directory
MS ATA

14. Une formation
Introduction
243
Le nombre de jours
moyen pour détecter
une intrusion
500 Milliards coût total
contre la cybercriminalité
dans l’économie
76 %
D’attaques son dues a
des crédentials
corrompus
3.5 Millions budget
moyen d’une entreprise
pour la sécurité

15. Une formation
Microsoft ATA
Chaîne classique d’une cyber attaque :
• Reconnaissance
• Mouvement latérale
• Domain Dominance (Persistance)
Microsoft ATA cible les types d’attaques suivantes :
• Attaques Malveillantes
• Comportement anormal
• Risques plus au moins élevés

16. Une formation
Les attaques détectables
Golden Ticket
Reconnaissance
Brute Force
Exécution à distance des commandes etc
OverPAss-The-Hash
Pass-The-Ticket
Pass-The-Hash

17. Une formation
Machine Learning
Connexions anormales sur des ressources
Connexions avec des utilisateurs qui ne
doivent pas avoir de l'activité
Partage de mots de passe
Mouvement latéral
Menaces de tout type

18. Une formation
Risques de sécurité
Vulnérabilités des protocoles connues
Protocoles faibles au niveau sécurité
Relation de confiance

19. Une formation
Avantages d’ATA
Etre toujours alerté d’un comportement anormal au
sein de son organisation
L’infrastructure Active Directory protégée qu’elle que
soit le type d’architecture
Etre alerté en temps réel lors d’un risque ou une
activité anormale de la part d’un utilisateur ou une
machine
Trackage
Renforcer la sécurité de son système d’information

20. Une formation
Fonctionnement de MS ATA
Moteur propriétaire pour capturer et analyser plusieurs
types de trafic :
• DNS
• RPC
• Kerberos etc ….
Utilisation des informations depuis plusieurs sources :
• Event Logs
Utilisation du trafic des DC pour analyser le trafic dans
le réseau :
• Port Mirroring (précédemment )
• Avec les nouvelles versions directement dans les DC

21. Une formation
Architecture de Microsoft ATA
Seyfallah Tagrerout
Formation Alphorm
Microsoft ATA
Architecture générale

22. Une formation
Publique concerné
Ingénieur IT
Consultant IT
Geek de la sécurité AD et autres …
Personnes qui souhaitent apprendre comment
protéger son environnement avec les outils de
sécurité Microsoft

23. Une formation
Publique concerné
Ingénieur IT
Consultant IT
Geek de la sécurité AD et autres …
Personnes qui souhaitent apprendre comment
protéger son environnement avec les outils de
sécurité Microsoft

24. Merci

25. Une formation
Seyfallah TAGREROUT
Présentation du LAB

26. Une formation
Plan
Les prérequis
Présentation de l’infrastructure
Installation du LAB pas à pas :
• Création d’un abonnement de test EMS
• Installation des serveurs
• Installation d’Active Directory
• Vérification

27. Une formation
Les prérequis
Souscription à la suite EMS :
1. Téléchargement du produit Microsoft ATA
2. Au moins :
• Un serveur pour la partie ATA center
• Deux DCs
• Un DNS
• Un client Windows 7 / 8.1 / 10

28. Une formation
Présentation de l’infrastructure

29. Une formation
Installation du Lab pas à Pas
Installation de Server Windows 2016 sur les 3 serveurs
Installation de l’active directory
Installation du client Windows 10
Check du LAB

30. Une formation
Objectif de la formation
Sécuriser votre système d’information
Apprendre de nouvelles technologies MS
Prendre le train en marche vers la sécurité des
systèmes d’information
Apprendre de nouveaux outils « Microsoft ATA »

31. Une formation
Seyfallah TAGREROUT
Capacity planning

32. Une formation
Plan
Outil de dimensionnement
Dimensionnement de l’ATA Center
• De l’ATA Gateway
• De la LightWight Gateway

33. Une formation
Outils de dimensionnement
Advanced Threat Analytics (ATA) Sizing tool (v2.6.2)
https://gallery.technet.microsoft.com/Advanced-Threat-Analytics-
7371c87f
Va scanner le trafic et nous aider à choisir :
• La quantité de mémoire pour l’ATA Center
• Le nombre de CPU
• Le stockage pour la base de données MangoDB de
l’ATA Center
• Dimensionnement de le l’ATA Gateway et la light
Gateway

34. Une formation

35. Merci

36. Une formation
Seyfallah TAGREROUT
Eléments d’architecture

37. Une formation
Prérequis
Bonnes connaissances des concepts de sécurité
(types d’attaques etc)
Bonne connaissances active Directory
Bonne connaissances réseaux en générale
Connaissance Windows Server et Hyper-V

38. Une formation
ATA Center
C’est le Serveur centrale de l’architecture
Il collectionne les activités des utilisateurs et
ordinateurs du réseau provenant des ATA GTW
Il analyse le comportement des utilisateurs
Il alerte des activités suspectes
Il met à jour et configure l’environnement
Un centre ATA ne peut surveiller qu’une seule
forêt Active Directory

39. Une formation
ATA Center

40. Une formation
ATA Gateway
Collectionne le trafic des DCs via le port mirroring
Récupère les données provenant des utilisateurs du domaine
Evènements reçus via : DC / SIEM / Event Log (forward)
Un ou plusieurs DCs
Deux Services :
1. Microsoft Advanced Thread Analytics Gateway
2. Microsoft Advanced Thread Analytics Gateway Updater

41. Une formation
ATA Gateway

42. Une formation
ATA LightWeight Gateway
Programme ATA Gateway Directement sur le Domaine
Controller
Collectionne le trafic du DC sur le quel le programme est
installé (trafic local)
Reçoit les évènements depuis les DC, SIEM / Syslog Server
Un serveur ATA GTW peut monitorer un ou plusieurs DCs
Candidate
Envoie le tout à l’ATA Center

43. Une formation
ATA LightWeight Gateway
Composant qui analyse le CPU + RAM du DCs sur lequel il est
installé :
• Fréquence d’analyse : toutes les 10 secondes
• Minimum 15 % de ressources ….
Intelligence au niveau du choix du Traffic a analyser :

44. Une formation
ATA LightWeight Gateway

45. Une formation
Base de données MangoDB
Stocke les Events :
• Activités réseaux
• Evènements
• Activités suspects
• Configuration ATA
Chemin par défaut :
C:Program FilesMicrosoft Advanced Threat
AnalyticsCenterMongoDBbindata

46. Une formation
L’ATA console

47. Une formation
Bonnes pratiques pour les GTW classiques
Gestion des évènements :
• ATA Center == Event 4776 (Pass-the-
Hash, force brute et Honey Tokens)
Deux solutions :
1. Configuration de l’ATA GTW classe pour
écouter le SIEM
2. Transfert de l’Event 4776 depuis les DC
vers l’ATA GTW classique

48. Merci

49. Une formation
Déroulement
Inscription à la
démo de la suite
EMS
Apprendre la
solution
Microsoft ATA
Installation et
mise en situation
réelle

50. Une formation
Plan
ATA Center avec des passerelle « ATA
Gateway classique »
ATA Center avec des passerelles légères
« ATA LightWight Gateway »
Mélange

51. Une formation
ATA Gateway Classique

52. Une formation
ATA Gateway Classique
Obligation d’avoir un serveur « passerelle » entre l’ATA
Center et le contrôleur de domaine
Port-Mirroring du trafic du DC obligatoire
Possibilité de faire du One to One (une passerelle pour
un DC)
Possibilité de faire (une passerelle pour plusieurs DC)

53. Une formation
ATA LightWight Gateway

54. Une formation
ATA LightWight Gateway
L’ATA Gateway s’installe directement sur le DC
Pas de serveur intermédiaire entre l’ATA Center et les
DCs
Pas de configuration réseaux spécifique (port
mirroring )

55. Une formation
Mélange

56. Une formation
Ressources
Ma présentation de Microsoft ATA lors du Ms
Cloud Summit :
http://fr.slideshare.net/SeyfallahTagrerout/prsentation-
microsoft-advanced-threat-analytics-deepdive-mscloud-
summit-2017
La documentation officielle :
https://docs.microsoft.com/en-us/advanced-threat-analytics/

57. Une formation
Seyfallah TAGREROUT
Prérequis
avant installation

58. Une formation
Compte de lecture de tous les objets du domaine
Prérequis du ATA Center
Prérequis du ATA Gateway
Prérequis du LightWeight Gateway
Prérequis du ATA Center Web console
Plan

59. Une formation
Rappel

60. Une formation
Compte de lecture

61. Une formation
Prérequis
https://docs.microsoft.com/fr-fr/advanced-threat-
analytics/plan-design/ata-prerequisites

62. Merci

63. Une formation
Seyfallah TAGREROUT
Port Mirroring

64. A vous de jouer !

65. Une formation
Port Mirroring
Le port Mirroring consiste à copier le trafic d’un ou
plusieurs port d’un switch vers un autre port.
Deux notions :
1. Le port source : Port sur le quel on copie le
trafic
2. Le port destination : Le port qui reçoit le
trafic du port source

66. Une formation
Hyper-V

67. Une formation
Vérification
Téléchargez : Microsoft Network Monitor
3.4 : https://www.microsoft.com/en-
us/download/details.aspx?id=4865

68. Merci

69. Une formation
Seyfallah TAGREROUT
Installation

70. Une formation
Plan
Téléchargement de l’exe ATA Center
Installation de l’ATA Center

71. Une formation
Téléchargement de l’exe ATA Center
https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-
advanced-threat-analytics

72. Une formation

73. Une formation
Seyfallah TAGREROUT
Présentation de Microsoft ATA

74. Une formation
Seyfallah TAGREROUT
Présentation de la console

75. Une formation
Microsoft ATA Web Console

76. Une formation

77. Merci

78. Une formation
Seyfallah TAGREROUT
Première configuration

79. Une formation
Plan
Première Configuration
Connexion à la forêt Active Directory
Création d’enregistrement DNS pour l’IP de l’ATA
Center
Téléchargement de la Gateway Microsoft ATA

80. Une formation
Plan
Introduction
Microsoft ATA
• Ce que propose ATA
• Avantages d’ATA
• Comment fonctionne ATA
• Architecture
• Dernière version 1.7

81. Une formation

82. Merci

83. Une formation
Seyfallah TAGREROUT
Installation de la Gateway ATA

84. Une formation
Plan
Revoir le téléchargement de la Gateway
ATA
Installation de la Gateway

85. Une formation
Téléchargement de l’ATA GTW

86. Une formation
Téléchargement de l’ATA GTW

87. Une formation

88. Merci

89. Une formation
Introduction
Microsoft ATA = Microsoft Advanced Threat Analytics
IDS Microsoft pour protéger une organisation contre
les attaques informatique, menaces, etc.
Il se base sur du Machine Learning avec des
algorithmes très puissants au niveau de l’analyse
comportementale

90. Une formation
Plan
Paramétrage et Configuration de l’ATA
Center dans l’ensemble

91. Une formation
Paramétrage et configuration
La gestion des événements
La gestion de la licence
La détection :
• Paramétrage (Honey Token)
• Exclusions
Les notifications :
• Langue / Mail / ce qu’on souhaite notifier
• Gestion du syslog

92. Une formation

93. Merci

94. Une formation
Seyfallah TAGREROUT
Utilisation de
la console d’ATA Center

95. Une formation
Plan
Utilisation de l’interface ATA
Gestion des évènements
Etat de santé de l’ATA center
Etat de santé des AtA Gateway

96. Une formation
Introduction
243
Le nombre de jours
moyen pour détecter
une intrusion
500 Milliards coût total
contre la cybercriminalité
dans l’économie
76 %
D’attaques son dues a
des crédentials
corrompus
3.5 Millions budget
moyen d’une entreprise
pour la sécurité

97. Merci

98. Une formation
Seyfallah TAGREROUT
Délégation des utilisateurs

99. Une formation
RBAC
Trois rôles :
1. ATA Administrators
2. ATA Users
3. ATA Viewers

100. Une formation
RBAC

101. Une formation

102. Merci

103. Une formation
Seyfallah TAGREROUT
Gestion de la BDD MangoDB

104. Une formation
Mango DB Data Base
Répertoire par défaut :
C:Program FilesMicrosoft Advanced Threat
AnalyticsCenterMongoDBbinData

105. Une formation

106. Une formation
Microsoft ATA
Chaîne classique d’une cyber attaque :
• Reconnaissance
• Mouvement latérale
• Domain Dominance (Persistance)
Microsoft ATA cible les types d’attaques suivantes :
• Attaques Malveillantes
• Comportement anormal
• Risques plus au moins élevés

107. Une formation
Seyfallah TAGREROUT
Alertes

108. Une formation
Plan
Alertes:
- PsExec
- Reconnaissance DNS

109. Une formation

110. Merci

111. Une formation
Seyfallah TAGREROUT
Gestion des Log et des erreurs

112. Une formation
Plan
La gestion des Logs
• L’ATA Center
• L’ATA GTW
Les erreurs connues

113. Une formation
Les attaques détectables
Golden Ticket
Reconnaissance
Brute Force
Exécution à distance des commandes etc
OverPAss-The-Hash
Pass-The-Ticket
Pass-The-Hash

114. Une formation
Les erreurs connues
Allons sur ce lien ☺ !
https://docs.microsoft.com/en-us/advanced-threat-
analytics/troubleshoot/troubleshooting-ata-known-
errors

115. Une formation

116. Merci

117. Une formation
Seyfallah TAGREROUT
Conclusion

118. Une formation
Bilan
1. Solution ATA et LAB
2. Préparation de l’installation
3. Installation
4. Administration
5. Troubleshooting

119. Une formation
Ce que nous avons appris
1. Les concept de Microsoft ATA
2. Le design de Microsoft ATA
3. Sont déploiement
4. Son installation avec plusieurs scenarios
5. Sécuriser son environnement active directory
et son système d’information

120. Une formation
Machine Learning
Connexions anormales sur des ressources
Connexions avec des utilisateurs qui ne
doivent pas avoir de l'activité
Partage de mots de passe
Mouvement latéral
Menaces de tout type