SlideShare une entreprise Scribd logo

Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2

☁️Seyfallah Tagrerout☁ [MVP]
☁️Seyfallah Tagrerout☁ [MVP]

Ma présentation sur Microsoft Threat protection partie 2 - cette partie traite l'Identity Protection et Azure ATP.

1  sur  48
Télécharger pour lire hors ligne
aOS Meetup 19/03/2020 Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2 Seyfallah Tagrerout - 16/04/2020
HELLO!HELLO! Blog https://seyfallah-it.blogspot.com AiM Services Architect Team Lead
Mes livresMes livres
Agenda Microsoft Threat Protection • Introduction • Présentation Azure ATP • Introduction • Identity Protection • ATA vs AATP Planification • Planification • Questions avant le déploiement Déploiement • Prérequis Administration • RBAC Conclusion 2 4 6 7 Architecture • Overview • Présentation des éléments • ATA vs AATP 3
5 PART 1 Introduction
Microsoft Threat Protection 6 «Avec un modèle je vais pouvoir sécuriser mon système d’information sur tous les plans» Microsoft Threat Protection
Microsoft Threat Protection Sans oublier : • AIP • Microsoft ATA et Azure ATP
Microsoft Threat protection et ses produits Azure Sentinel MDAATPAATP Azure Security Center Office 365 ATP Azure Active Directory Cloud app security
Threat Protection
Modèle de sécurité – Microsoft 365
Identity Days 2019 User browses to a website Phishing mail Opens attachment Clicks on a URL + Exploitation & Installation Command & Control Brute force account or use stolen account credentials User account is compromised Attacker attempts lateral movement Privileged account compromised Domain compromised Attacker accesses sensitive data Exfiltrate data Maximize Detection Azure AD Identity Protection Identity protection & conditional access Cloud App Security Azure ATP Azure AD Identity Protection Identity protection & conditional access Identity protection Extends protection & conditional access to other cloud apps
12 Identity Protection Demo
Azure Identity Protection Détection des vulnérabilité Remédiations Action automatique en fonction des activités suspectes détectées
14 Azure ATP
AATP Machine learning Protection Anticipation Alerts
Azure Advanced Threat Protection Sinon, que permet AATP ? Chaine classique d’une cyber attaque: • Reconnaissance • Mouvement latérale • Persistance Risques: • Vulnérabilité de protocole connues • Protocoles faibles • Perte de relation de confiance
Azure Advanced Threat Protection Identity Days 2019 Account enumeration Users group membership enumeration Users & IP address enumeration Hosts & server name enumeration (DNS) Pass-the-Ticket Pass-the-Hash Overpass-the-Hash Reconnaissance ! ! ! Compromised Credential Lateral Movement Domain Dominance Golden ticket attack DCShadow Skeleton Key Remote code execution on DC Service creation on DC Brute force attempts Suspicious VPN connection Suspicious groups membership modifications Honey Token account suspicious activities
Azure Advanced Threat Protection
Azure Advanced Threat Protection Identity Days 2019 High Level Azure ATP Intelligent Security Graph Contrôleurs de domaine AD A NA LY Z E US E R BE H A RI OR I N VE ST I GAT E A ND RE SP O N D M O N I TO R AC TI V I T I ESU S E R S D E V I C E S D A T A D E T E CT & A LE RT
Identity Days 2019 ATA vs AATP On premise MS ATA Azure ATP DC DC AATP ATA as a Service Intégration Cloud App et MDATP Workspace – Cloud Multi-forêts AD DC Shadow Evolution continue ATA Sensor ATA sensor Standalone EME E5 ATA Architecture Prem Server ATA Center Une version majeur par an Pas de DC Shadow ATA Gateway et light gateway EMS E 3 Microsoft ATA on Prem ou Cloud ?
ATA vs AATP Identity Days 2019 ATA DC DC ATA Center ATA Gateway ATA LightGateway AATP Cloud Service AATP Sensor AATP Sensor Standalone Azure ATP
22 Architecture
Architecture Identity Days 2019
Architecture AATP Identity Days 2019
Architecture ATA Identity Days 2019
Architecture Identity Days 2019 Les composants AATP • Azure Portal • Azure ATP Senor • Azure ATP Sensor Standalone • Azure ATP Cloud Service
Architecture Identity Days 2019 Azure Portal – tout commence ici … • Création de l’instance AATP • Administration des AATP Sensor • Visualisation des alertes de sécurité • Visualisation de l’etat de santé des sensors • Détection des activités suspicieuses • Alertes email • Reporting • Administration
Architecture Identity Days 2019 AATP Sensor • Capture et inspection du trafic réseau des contrôleurs de domaine AD • Capture des Windows évents logs depuis les contrôleurs de domaine AD • Récupère les données utilisateurs et computers depuis l’AD • Transfert vers l’Azure ATP Cloud Service • Protection du DC: • Composant qui analyse le CPU + RAM du DC sur le quel il est installé: – Fréquence d’analyse : toutes les 10 secondes – Minimum 15 % de ressources …. – Un espace est dédié pour l'état de santé des DC + Sensor
Architecture Identity Days 2019 AATP Sensor • Windows events: • Authentification NTLM • Modification des groupes sensitifs • Création de services suspects • Les IDs concernés : • 4776,4732,4733,4728,4729,4756,4757,7045, 8004 • Automatique - à condition GPO audit : • Audit Credential Validation • Audit Security Group Management • NTLM - 8004 : • Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers = Audit All • Network security: Restrict NTLM: Audit NTLM authentication in this domain = Enable all • Network security: Restrict NTLM: Audit Incoming NTLM Traffic = Enable auditing for all accounts
Architecture Identity Days 2019 AATP Sensor – Standalone • Fonctionnement avec du port mirroring • Capture et inspection du trafic réseau des contrôleurs de domaine AD • Capture des Windows évents logs depuis les contrôleurs de domaine AD • Récupère les données utilisateurs et computers depuis l’AD • Transfert vers l’Azure ATP Cloud Service • Protection du DC: • Composant qui analyse le CPU + RAM du DC sur le quel il est installé: – Fréquence d’analyse : toutes les 10 secondes – Minimum 15 % de ressources …. – Un espace est dédié pour l'état de santé des DC + Sensor
Architecture Identity Days 2019 AATP Sensor vs AATP Sensor Standalone Sensor type Benefits Cost Deployment topology Domain controller use Azure ATP sensor Installation sur le DC, pas besoin de port mirroring ni de serveur intermédiaire Lower Installation sur les DC Support jusqu’à 100,000 packets/s Azure ATP standalone sensor Complique la tâche aux attaquants Higher Installation sur un serveur intermédiaire et fonctionnement avec du port Mirroring Support jusqu’à 100,000 packets/s
32 Démo
33 Planification
Planification – capacity planning Identity Days 2019 Définir les besoins en ressources matériels Outils de dimensionnement : • Azure Advanced Threat Protection Sizing Tool - Version 1.3.0.0 • https://gallery.technet.microsoft.com/Azure-Advanced-Threat-a11343c4 • Scan tout le trafic au niveau des DCs et aide à : • Quantité de mémoire RAM • CPU • Stockage Data base • ATA Gateway & LightWeight Gateway
Planification – capacity planning Identity Days 2019 Définir les besoins en ressources matériels
Planification – capacity planning Identity Days 2019 Définir les besoins en ressources matériels Questions: • ATA ou AATP ? • Si AATP • AATP Sensor ou Standalone ? • Mode de déploiement • Silent mode : "Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>" • Mélange des deux ? • Envoi des alertes au SIEM ?
37 Deployment
Prérequis Identity Days 2019 • EMS E5 ou licence standalone AATP • Vérifier la connectivité internet sur les DC • Si proxy _ autorisation des URLs ( Europe par exemple) triprd1wceun1sensorapi.atp.azure.com triprd1wceuw1sensorapi.atp.azure.com • VM vMware – désactiver IPv4 TSO Offload
Prérequis Identity Days 2019
Prérequis Identity Days 2019 • Name Network Resolution:
Prérequis Identity Days 2019 • ATP Sensor : • Dc sous : Windows Server 2008 R2 SP1, 2012, 2012 R2, 2016 2019 • Si 2019 – installez la KB4487044 • .Net framework 4.7 • RODC supporté • Communication du Dc vers le Azure ATP service – ouvrir le 443 et autoriser l’url *.atp.azure.com • Reste des prérequis : • https://docs.microsoft.com/en-us/azure-advanced-threat-protection/atp-prerequisites
42 Administration
Administration Identity Days 2019 24 octobre 2019 - PARIS • RBAC Role
44 Conclusion
Identity Days 2019On-premises
Identity Days 2019 SecOps identity investigation experience Azure ATP Analyse complète de l’identité dans un monde hybride ( Cloud et On-Prem) Analyse Comportements des identité sur les apps cloud Analyse risky sign-ins & User Risk Microsoft Cloud app security Azure AD Identity Protection Analyse Comportements des identité on-prem
Identity Days 2019 SecOps identity investigation experience Azure ATP Microsoft Cloud app security Azure AD Identity Protection
48 Merci !

Recommandé

Virtual Azure Community Day 2020 : Azure Sentinel
Virtual Azure Community Day 2020 : Azure SentinelVirtual Azure Community Day 2020 : Azure Sentinel
Virtual Azure Community Day 2020 : Azure Sentinel
Jean-François BERENGUER
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Décideurs IT
 
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Community
 
Gouvernance Azure - La charte de nommage
Gouvernance Azure - La charte de nommageGouvernance Azure - La charte de nommage
Gouvernance Azure - La charte de nommage
Cellenza
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
Microsoft Technet France
 
Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)
☁️Seyfallah Tagrerout☁ [MVP]
 
Amazon Inspector
Amazon InspectorAmazon Inspector
Amazon Inspector
Julien SIMON
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
ITrust - Cybersecurity as a Service
 

Recommandé

Virtual Azure Community Day 2020 : Azure Sentinel
Virtual Azure Community Day 2020 : Azure SentinelVirtual Azure Community Day 2020 : Azure Sentinel
Virtual Azure Community Day 2020 : Azure Sentinel
Jean-François BERENGUER
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Décideurs IT
 
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Monaco 2019 - A6 - Sécurisez votre SI et vos services Office 365 partie 1...
aOS Community
 
Gouvernance Azure - La charte de nommage
Gouvernance Azure - La charte de nommageGouvernance Azure - La charte de nommage
Gouvernance Azure - La charte de nommage
Cellenza
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
Microsoft Technet France
 
Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)
☁️Seyfallah Tagrerout☁ [MVP]
 
Amazon Inspector
Amazon InspectorAmazon Inspector
Amazon Inspector
Julien SIMON
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
ITrust - Cybersecurity as a Service
 
Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir ArezkiGab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
Samir Arezki ☁
 
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
Maxime Rastello
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
☁️Seyfallah Tagrerout☁ [MVP]
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Microsoft Décideurs IT
 
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
Modern Workplace Conference Paris
 
aMS Strasbourg CyberSec et M365 en action
aMS Strasbourg CyberSec et M365 en actionaMS Strasbourg CyberSec et M365 en action
aMS Strasbourg CyberSec et M365 en action
Clément SERAFIN
 
Donnez de l'agilité à votre système d'information avec Azure
Donnez de l'agilité à votre système d'information avec AzureDonnez de l'agilité à votre système d'information avec Azure
Donnez de l'agilité à votre système d'information avec Azure
Samir Arezki ☁
 
Comment sécuriser l’accès aux données et aux applications d’entreprise
Comment sécuriser l’accès aux données et aux applications d’entrepriseComment sécuriser l’accès aux données et aux applications d’entreprise
Comment sécuriser l’accès aux données et aux applications d’entreprise
Microsoft Décideurs IT
 
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Microsoft Décideurs IT
 
Reseaux grande enterprise- Architecture de réseau numérique de cisco – pré...
Reseaux grande enterprise- Architecture de réseau numérique de cisco – pré...Reseaux grande enterprise- Architecture de réseau numérique de cisco – pré...
Reseaux grande enterprise- Architecture de réseau numérique de cisco – pré...
Cisco Canada
 
Concevoir ses premiers objets connectés avec azure
Concevoir ses premiers objets connectés avec azureConcevoir ses premiers objets connectés avec azure
Concevoir ses premiers objets connectés avec azure
Aymeric Weinbach
 
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMChiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
Julien SIMON
 
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
Microsoft Décideurs IT
 
Microsoft azure boot camp Keynote
Microsoft azure boot camp Keynote Microsoft azure boot camp Keynote
Microsoft azure boot camp Keynote
Aymeric Weinbach
 
Continuous monitoring : Dev to Ops
Continuous monitoring : Dev to OpsContinuous monitoring : Dev to Ops
Continuous monitoring : Dev to Ops
Cellenza
 
MS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure StackMS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure Stack
Benoît SAUTIERE
 
Le datacenter élastique d'avanade, gestion unifiée du cloud privé et refactur...
Le datacenter élastique d'avanade, gestion unifiée du cloud privé et refactur...Le datacenter élastique d'avanade, gestion unifiée du cloud privé et refactur...
Le datacenter élastique d'avanade, gestion unifiée du cloud privé et refactur...Microsoft Technet France
 
Modèle de sécurité AWS
Modèle de sécurité AWSModèle de sécurité AWS
Modèle de sécurité AWS
Julien SIMON
 
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Identity Days
 
Alphorm.com Formation Azure Advanced Threat Protection
Alphorm.com Formation Azure Advanced Threat ProtectionAlphorm.com Formation Azure Advanced Threat Protection
Alphorm.com Formation Azure Advanced Threat Protection
Alphorm
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
☁️Seyfallah Tagrerout☁ [MVP]
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Technet France
 

Contenu connexe

Tendances

Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir ArezkiGab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
Samir Arezki ☁
 
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
Maxime Rastello
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
☁️Seyfallah Tagrerout☁ [MVP]
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Microsoft Décideurs IT
 
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
Modern Workplace Conference Paris
 
aMS Strasbourg CyberSec et M365 en action
aMS Strasbourg CyberSec et M365 en actionaMS Strasbourg CyberSec et M365 en action
aMS Strasbourg CyberSec et M365 en action
Clément SERAFIN
 
Donnez de l'agilité à votre système d'information avec Azure
Donnez de l'agilité à votre système d'information avec AzureDonnez de l'agilité à votre système d'information avec Azure
Donnez de l'agilité à votre système d'information avec Azure
Samir Arezki ☁
 
Comment sécuriser l’accès aux données et aux applications d’entreprise
Comment sécuriser l’accès aux données et aux applications d’entrepriseComment sécuriser l’accès aux données et aux applications d’entreprise
Comment sécuriser l’accès aux données et aux applications d’entreprise
Microsoft Décideurs IT
 
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Microsoft Décideurs IT
 
Reseaux grande enterprise- Architecture de réseau numérique de cisco – pré...
Reseaux grande enterprise- Architecture de réseau numérique de cisco – pré...Reseaux grande enterprise- Architecture de réseau numérique de cisco – pré...
Reseaux grande enterprise- Architecture de réseau numérique de cisco – pré...
Cisco Canada
 
Concevoir ses premiers objets connectés avec azure
Concevoir ses premiers objets connectés avec azureConcevoir ses premiers objets connectés avec azure
Concevoir ses premiers objets connectés avec azure
Aymeric Weinbach
 
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMChiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
Julien SIMON
 
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
Microsoft Décideurs IT
 
Microsoft azure boot camp Keynote
Microsoft azure boot camp Keynote Microsoft azure boot camp Keynote
Microsoft azure boot camp Keynote
Aymeric Weinbach
 
Continuous monitoring : Dev to Ops
Continuous monitoring : Dev to OpsContinuous monitoring : Dev to Ops
Continuous monitoring : Dev to Ops
Cellenza
 
MS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure StackMS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure Stack
Benoît SAUTIERE
 
Le datacenter élastique d'avanade, gestion unifiée du cloud privé et refactur...
Le datacenter élastique d'avanade, gestion unifiée du cloud privé et refactur...Le datacenter élastique d'avanade, gestion unifiée du cloud privé et refactur...
Le datacenter élastique d'avanade, gestion unifiée du cloud privé et refactur...Microsoft Technet France
 
Modèle de sécurité AWS
Modèle de sécurité AWSModèle de sécurité AWS
Modèle de sécurité AWS
Julien SIMON
 

Tendances (18)

Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir ArezkiGab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
 
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
 
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
 
aMS Strasbourg CyberSec et M365 en action
aMS Strasbourg CyberSec et M365 en actionaMS Strasbourg CyberSec et M365 en action
aMS Strasbourg CyberSec et M365 en action
 
Donnez de l'agilité à votre système d'information avec Azure
Donnez de l'agilité à votre système d'information avec AzureDonnez de l'agilité à votre système d'information avec Azure
Donnez de l'agilité à votre système d'information avec Azure
 
Comment sécuriser l’accès aux données et aux applications d’entreprise
Comment sécuriser l’accès aux données et aux applications d’entrepriseComment sécuriser l’accès aux données et aux applications d’entreprise
Comment sécuriser l’accès aux données et aux applications d’entreprise
 
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...
 
Reseaux grande enterprise- Architecture de réseau numérique de cisco – pré...
Reseaux grande enterprise- Architecture de réseau numérique de cisco – pré...Reseaux grande enterprise- Architecture de réseau numérique de cisco – pré...
Reseaux grande enterprise- Architecture de réseau numérique de cisco – pré...
 
Concevoir ses premiers objets connectés avec azure
Concevoir ses premiers objets connectés avec azureConcevoir ses premiers objets connectés avec azure
Concevoir ses premiers objets connectés avec azure
 
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMChiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
 
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...
 
Microsoft azure boot camp Keynote
Microsoft azure boot camp Keynote Microsoft azure boot camp Keynote
Microsoft azure boot camp Keynote
 
Continuous monitoring : Dev to Ops
Continuous monitoring : Dev to OpsContinuous monitoring : Dev to Ops
Continuous monitoring : Dev to Ops
 
MS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure StackMS Cloud Summit Paris 2017 - Azure Stack
MS Cloud Summit Paris 2017 - Azure Stack
 
Le datacenter élastique d'avanade, gestion unifiée du cloud privé et refactur...
Le datacenter élastique d'avanade, gestion unifiée du cloud privé et refactur...Le datacenter élastique d'avanade, gestion unifiée du cloud privé et refactur...
Le datacenter élastique d'avanade, gestion unifiée du cloud privé et refactur...
 
Modèle de sécurité AWS
Modèle de sécurité AWSModèle de sécurité AWS
Modèle de sécurité AWS
 

Similaire à Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2

Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Identity Days
 
Alphorm.com Formation Azure Advanced Threat Protection
Alphorm.com Formation Azure Advanced Threat ProtectionAlphorm.com Formation Azure Advanced Threat Protection
Alphorm.com Formation Azure Advanced Threat Protection
Alphorm
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
☁️Seyfallah Tagrerout☁ [MVP]
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Technet France
 
3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève
aOS Community
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Microsoft Technet France
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
Identity Days
 
Alphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm.com Formation Microsoft ATA 2016 : Installation et ConfigurationAlphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm
 
Microsoft experiences azure et asp.net core
Microsoft experiences azure et asp.net coreMicrosoft experiences azure et asp.net core
Microsoft experiences azure et asp.net core
Sébastien Ollivier
 
Dev ops Monitoring
Dev ops MonitoringDev ops Monitoring
Dev ops Monitoring
Michel HUBERT
 
Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir ArezkiGab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
AZUG FR
 
Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !
Estelle Auberix
 
SharePoint et Azure premiers pas - SharePoint Days Casablanca
SharePoint et Azure premiers pas - SharePoint Days CasablancaSharePoint et Azure premiers pas - SharePoint Days Casablanca
SharePoint et Azure premiers pas - SharePoint Days Casablanca
Patrick Guimonet
 
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
AZUG FR
 
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
Amazon Web Services
 
Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2
Microsoft
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
jumeletArnaud
 
Biztalk summit - IOT
Biztalk summit - IOTBiztalk summit - IOT
Biztalk summit - IOT
Cellenza
 
Exadays cloud – Enjeux et Transformation du SI
Exadays cloud – Enjeux et Transformation du SIExadays cloud – Enjeux et Transformation du SI
Exadays cloud – Enjeux et Transformation du SI
Samir Arezki ☁
 
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
Marius Zaharia
 

Similaire à Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2 (20)

Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutSécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
 
Alphorm.com Formation Azure Advanced Threat Protection
Alphorm.com Formation Azure Advanced Threat ProtectionAlphorm.com Formation Azure Advanced Threat Protection
Alphorm.com Formation Azure Advanced Threat Protection
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève3 Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
Alphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm.com Formation Microsoft ATA 2016 : Installation et ConfigurationAlphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
Alphorm.com Formation Microsoft ATA 2016 : Installation et Configuration
 
Microsoft experiences azure et asp.net core
Microsoft experiences azure et asp.net coreMicrosoft experiences azure et asp.net core
Microsoft experiences azure et asp.net core
 
Dev ops Monitoring
Dev ops MonitoringDev ops Monitoring
Dev ops Monitoring
 
Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir ArezkiGab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
Gab 2017 Lyon - les strategies d'intégration avec Azure iPaaS - Samir Arezki
 
Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !Sécuriser votre site web azure, c’est simple maintenant !
Sécuriser votre site web azure, c’est simple maintenant !
 
SharePoint et Azure premiers pas - SharePoint Days Casablanca
SharePoint et Azure premiers pas - SharePoint Days CasablancaSharePoint et Azure premiers pas - SharePoint Days Casablanca
SharePoint et Azure premiers pas - SharePoint Days Casablanca
 
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...
 
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
 
Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
 
Biztalk summit - IOT
Biztalk summit - IOTBiztalk summit - IOT
Biztalk summit - IOT
 
Exadays cloud – Enjeux et Transformation du SI
Exadays cloud – Enjeux et Transformation du SIExadays cloud – Enjeux et Transformation du SI
Exadays cloud – Enjeux et Transformation du SI
 
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...
 

Plus de ☁️Seyfallah Tagrerout☁ [MVP]

Securiser son digital workplace avec Microsoft Threat Protection
Securiser son digital workplace avec Microsoft Threat ProtectionSecuriser son digital workplace avec Microsoft Threat Protection
Securiser son digital workplace avec Microsoft Threat Protection
☁️Seyfallah Tagrerout☁ [MVP]
 
Secure your Digital Workplace with Azure AD
Secure your Digital Workplace with Azure ADSecure your Digital Workplace with Azure AD
Secure your Digital Workplace with Azure AD
☁️Seyfallah Tagrerout☁ [MVP]
 
La gestion des identités hybrides
La gestion des identités hybridesLa gestion des identités hybrides
La gestion des identités hybrides
☁️Seyfallah Tagrerout☁ [MVP]
 
Windows Server2016 - Episode01 - NanoServer
Windows Server2016 - Episode01 - NanoServerWindows Server2016 - Episode01 - NanoServer
Windows Server2016 - Episode01 - NanoServer
☁️Seyfallah Tagrerout☁ [MVP]
 
Seyfallah a os-aix-en-provence
Seyfallah a os-aix-en-provenceSeyfallah a os-aix-en-provence
Seyfallah a os-aix-en-provence
☁️Seyfallah Tagrerout☁ [MVP]
 
Windows server2016 presentation
Windows server2016 presentation Windows server2016 presentation
Windows server2016 presentation
☁️Seyfallah Tagrerout☁ [MVP]
 
Windows Containers
Windows Containers Windows Containers
Windows Containers
☁️Seyfallah Tagrerout☁ [MVP]
 
Storage Replica
Storage ReplicaStorage Replica
Storage Replica
☁️Seyfallah Tagrerout☁ [MVP]
 

Plus de ☁️Seyfallah Tagrerout☁ [MVP] (8)

Securiser son digital workplace avec Microsoft Threat Protection
Securiser son digital workplace avec Microsoft Threat ProtectionSecuriser son digital workplace avec Microsoft Threat Protection
Securiser son digital workplace avec Microsoft Threat Protection
 
Secure your Digital Workplace with Azure AD
Secure your Digital Workplace with Azure ADSecure your Digital Workplace with Azure AD
Secure your Digital Workplace with Azure AD
 
La gestion des identités hybrides
La gestion des identités hybridesLa gestion des identités hybrides
La gestion des identités hybrides
 
Windows Server2016 - Episode01 - NanoServer
Windows Server2016 - Episode01 - NanoServerWindows Server2016 - Episode01 - NanoServer
Windows Server2016 - Episode01 - NanoServer
 
Seyfallah a os-aix-en-provence
Seyfallah a os-aix-en-provenceSeyfallah a os-aix-en-provence
Seyfallah a os-aix-en-provence
 
Windows server2016 presentation
Windows server2016 presentation Windows server2016 presentation
Windows server2016 presentation
 
Windows Containers
Windows Containers Windows Containers
Windows Containers
 
Storage Replica
Storage ReplicaStorage Replica
Storage Replica
 

Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2

  • 1. aOS Meetup 19/03/2020 Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2 Seyfallah Tagrerout - 16/04/2020
  • 4. Agenda Microsoft Threat Protection • Introduction • Présentation Azure ATP • Introduction • Identity Protection • ATA vs AATP Planification • Planification • Questions avant le déploiement Déploiement • Prérequis Administration • RBAC Conclusion 2 4 6 7 Architecture • Overview • Présentation des éléments • ATA vs AATP 3
  • 6. Microsoft Threat Protection 6 «Avec un modèle je vais pouvoir sécuriser mon système d’information sur tous les plans» Microsoft Threat Protection
  • 7. Microsoft Threat Protection Sans oublier : • AIP • Microsoft ATA et Azure ATP
  • 8. Microsoft Threat protection et ses produits Azure Sentinel MDAATPAATP Azure Security Center Office 365 ATP Azure Active Directory Cloud app security
  • 10. Modèle de sécurité – Microsoft 365
  • 11. Identity Days 2019 User browses to a website Phishing mail Opens attachment Clicks on a URL + Exploitation & Installation Command & Control Brute force account or use stolen account credentials User account is compromised Attacker attempts lateral movement Privileged account compromised Domain compromised Attacker accesses sensitive data Exfiltrate data Maximize Detection Azure AD Identity Protection Identity protection & conditional access Cloud App Security Azure ATP Azure AD Identity Protection Identity protection & conditional access Identity protection Extends protection & conditional access to other cloud apps
  • 13. Azure Identity Protection Détection des vulnérabilité Remédiations Action automatique en fonction des activités suspectes détectées
  • 15. AATP Machine learning Protection Anticipation Alerts
  • 16. Azure Advanced Threat Protection Sinon, que permet AATP ? Chaine classique d’une cyber attaque: • Reconnaissance • Mouvement latérale • Persistance Risques: • Vulnérabilité de protocole connues • Protocoles faibles • Perte de relation de confiance
  • 17. Azure Advanced Threat Protection Identity Days 2019 Account enumeration Users group membership enumeration Users & IP address enumeration Hosts & server name enumeration (DNS) Pass-the-Ticket Pass-the-Hash Overpass-the-Hash Reconnaissance ! ! ! Compromised Credential Lateral Movement Domain Dominance Golden ticket attack DCShadow Skeleton Key Remote code execution on DC Service creation on DC Brute force attempts Suspicious VPN connection Suspicious groups membership modifications Honey Token account suspicious activities
  • 18. Azure Advanced Threat Protection
  • 19. Azure Advanced Threat Protection Identity Days 2019 High Level Azure ATP Intelligent Security Graph Contrôleurs de domaine AD A NA LY Z E US E R BE H A RI OR I N VE ST I GAT E A ND RE SP O N D M O N I TO R AC TI V I T I ESU S E R S D E V I C E S D A T A D E T E CT & A LE RT
  • 20. Identity Days 2019 ATA vs AATP On premise MS ATA Azure ATP DC DC AATP ATA as a Service Intégration Cloud App et MDATP Workspace – Cloud Multi-forêts AD DC Shadow Evolution continue ATA Sensor ATA sensor Standalone EME E5 ATA Architecture Prem Server ATA Center Une version majeur par an Pas de DC Shadow ATA Gateway et light gateway EMS E 3 Microsoft ATA on Prem ou Cloud ?
  • 21. ATA vs AATP Identity Days 2019 ATA DC DC ATA Center ATA Gateway ATA LightGateway AATP Cloud Service AATP Sensor AATP Sensor Standalone Azure ATP
  • 26. Architecture Identity Days 2019 Les composants AATP • Azure Portal • Azure ATP Senor • Azure ATP Sensor Standalone • Azure ATP Cloud Service
  • 27. Architecture Identity Days 2019 Azure Portal – tout commence ici … • Création de l’instance AATP • Administration des AATP Sensor • Visualisation des alertes de sécurité • Visualisation de l’etat de santé des sensors • Détection des activités suspicieuses • Alertes email • Reporting • Administration
  • 28. Architecture Identity Days 2019 AATP Sensor • Capture et inspection du trafic réseau des contrôleurs de domaine AD • Capture des Windows évents logs depuis les contrôleurs de domaine AD • Récupère les données utilisateurs et computers depuis l’AD • Transfert vers l’Azure ATP Cloud Service • Protection du DC: • Composant qui analyse le CPU + RAM du DC sur le quel il est installé: – Fréquence d’analyse : toutes les 10 secondes – Minimum 15 % de ressources …. – Un espace est dédié pour l'état de santé des DC + Sensor
  • 29. Architecture Identity Days 2019 AATP Sensor • Windows events: • Authentification NTLM • Modification des groupes sensitifs • Création de services suspects • Les IDs concernés : • 4776,4732,4733,4728,4729,4756,4757,7045, 8004 • Automatique - à condition GPO audit : • Audit Credential Validation • Audit Security Group Management • NTLM - 8004 : • Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers = Audit All • Network security: Restrict NTLM: Audit NTLM authentication in this domain = Enable all • Network security: Restrict NTLM: Audit Incoming NTLM Traffic = Enable auditing for all accounts
  • 30. Architecture Identity Days 2019 AATP Sensor – Standalone • Fonctionnement avec du port mirroring • Capture et inspection du trafic réseau des contrôleurs de domaine AD • Capture des Windows évents logs depuis les contrôleurs de domaine AD • Récupère les données utilisateurs et computers depuis l’AD • Transfert vers l’Azure ATP Cloud Service • Protection du DC: • Composant qui analyse le CPU + RAM du DC sur le quel il est installé: – Fréquence d’analyse : toutes les 10 secondes – Minimum 15 % de ressources …. – Un espace est dédié pour l'état de santé des DC + Sensor
  • 31. Architecture Identity Days 2019 AATP Sensor vs AATP Sensor Standalone Sensor type Benefits Cost Deployment topology Domain controller use Azure ATP sensor Installation sur le DC, pas besoin de port mirroring ni de serveur intermédiaire Lower Installation sur les DC Support jusqu’à 100,000 packets/s Azure ATP standalone sensor Complique la tâche aux attaquants Higher Installation sur un serveur intermédiaire et fonctionnement avec du port Mirroring Support jusqu’à 100,000 packets/s
  • 34. Planification – capacity planning Identity Days 2019 Définir les besoins en ressources matériels Outils de dimensionnement : • Azure Advanced Threat Protection Sizing Tool - Version 1.3.0.0 • https://gallery.technet.microsoft.com/Azure-Advanced-Threat-a11343c4 • Scan tout le trafic au niveau des DCs et aide à : • Quantité de mémoire RAM • CPU • Stockage Data base • ATA Gateway & LightWeight Gateway
  • 35. Planification – capacity planning Identity Days 2019 Définir les besoins en ressources matériels
  • 36. Planification – capacity planning Identity Days 2019 Définir les besoins en ressources matériels Questions: • ATA ou AATP ? • Si AATP • AATP Sensor ou Standalone ? • Mode de déploiement • Silent mode : "Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>" • Mélange des deux ? • Envoi des alertes au SIEM ?
  • 38. Prérequis Identity Days 2019 • EMS E5 ou licence standalone AATP • Vérifier la connectivité internet sur les DC • Si proxy _ autorisation des URLs ( Europe par exemple) triprd1wceun1sensorapi.atp.azure.com triprd1wceuw1sensorapi.atp.azure.com • VM vMware – désactiver IPv4 TSO Offload
  • 40. Prérequis Identity Days 2019 • Name Network Resolution:
  • 41. Prérequis Identity Days 2019 • ATP Sensor : • Dc sous : Windows Server 2008 R2 SP1, 2012, 2012 R2, 2016 2019 • Si 2019 – installez la KB4487044 • .Net framework 4.7 • RODC supporté • Communication du Dc vers le Azure ATP service – ouvrir le 443 et autoriser l’url *.atp.azure.com • Reste des prérequis : • https://docs.microsoft.com/en-us/azure-advanced-threat-protection/atp-prerequisites
  • 43. Administration Identity Days 2019 24 octobre 2019 - PARIS • RBAC Role
  • 46. Identity Days 2019 SecOps identity investigation experience Azure ATP Analyse complète de l’identité dans un monde hybride ( Cloud et On-Prem) Analyse Comportements des identité sur les apps cloud Analyse risky sign-ins & User Risk Microsoft Cloud app security Azure AD Identity Protection Analyse Comportements des identité on-prem
  • 47. Identity Days 2019 SecOps identity investigation experience Azure ATP Microsoft Cloud app security Azure AD Identity Protection