Les slides de ma session lors du #vacd2020 du 31 mars sur la détection d'attaques et traitements via Azure Log Analystics et Azure Sentinel. Pour le replay : https://www.youtube.com/watch?v=k3NQQzcQWxo
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
Reprenez le contrôle de vos souscriptions Azure avant qu'il ne soit trop tard !
L'avènement des plateformes de Cloud public tel qu'Azure ont apportées de nombreux bénéfices pour les utilisateurs finaux (accès direct à la plateforme, consommation au plus juste). Cependant, malgré les outils mis à disposition, la gouvernance d'une plateforme Azure peut s'avérer un exercice complexe.
Si Chartes de nommage, Resource groups, Tags, Management groups, BluePrints et Azure Policies sont votre quotidien, alors ce Meetup est fait pour vous.
Nous vous présenterons le travail mené ces dernières années sur les crises de sécurité, plus particulièrement sur le cœur de la sécurité et de l’identité : Active Directory Lors de cette session, nous discuterons : - Des constats par rapport au contexte actuel ; - Des scénarios de remédiation Active Directory et de ce qu’ils impliquent pour votre organisation - Des approches proactives à appliquer pour minimiser le risque de compromission - Des solutions que Microsoft peut vous apporter pour vous protéger Cette session aborde les points techniques de la remédiation tout en restant accessible par un public non spécialisé.
Speakers : Didier Pilon (Microsoft France), Florent Reynal de Saint Michel (Microsoft France), Mohammed Bakkali (Microsoft France)
Sujets abordés:
L’identité Microsoft : Comprendre l’identité chez Microsoft
L’identité hybride : Étendre mon identité en toute sécurité vers Azure Active Directory
Sécurité : Sécuriser mon identité qui se retrouve dans un annuaire Cloud Azure Active Directory en dehors de mon système d’information
Retour d’expérience
Audit de vulnérabilité automatisé et continu
IKare fournit aux organisations une console unique permettant de lancer et gérer la récurrence des scans de vulnérabilité. Le réseau est automatiquement découvert et les vulnérabilités sont remontées en quasi-temps réel et classées par ordre de criticité, selon les standards CVSS. IKare permet une récurrence de scan très élevée, garantissant ainsi l’intégrité et l’imperméabilité de votre réseau au jour le jour.
Les slides de ma session lors du #vacd2020 du 31 mars sur la détection d'attaques et traitements via Azure Log Analystics et Azure Sentinel. Pour le replay : https://www.youtube.com/watch?v=k3NQQzcQWxo
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
Reprenez le contrôle de vos souscriptions Azure avant qu'il ne soit trop tard !
L'avènement des plateformes de Cloud public tel qu'Azure ont apportées de nombreux bénéfices pour les utilisateurs finaux (accès direct à la plateforme, consommation au plus juste). Cependant, malgré les outils mis à disposition, la gouvernance d'une plateforme Azure peut s'avérer un exercice complexe.
Si Chartes de nommage, Resource groups, Tags, Management groups, BluePrints et Azure Policies sont votre quotidien, alors ce Meetup est fait pour vous.
Nous vous présenterons le travail mené ces dernières années sur les crises de sécurité, plus particulièrement sur le cœur de la sécurité et de l’identité : Active Directory Lors de cette session, nous discuterons : - Des constats par rapport au contexte actuel ; - Des scénarios de remédiation Active Directory et de ce qu’ils impliquent pour votre organisation - Des approches proactives à appliquer pour minimiser le risque de compromission - Des solutions que Microsoft peut vous apporter pour vous protéger Cette session aborde les points techniques de la remédiation tout en restant accessible par un public non spécialisé.
Speakers : Didier Pilon (Microsoft France), Florent Reynal de Saint Michel (Microsoft France), Mohammed Bakkali (Microsoft France)
Sujets abordés:
L’identité Microsoft : Comprendre l’identité chez Microsoft
L’identité hybride : Étendre mon identité en toute sécurité vers Azure Active Directory
Sécurité : Sécuriser mon identité qui se retrouve dans un annuaire Cloud Azure Active Directory en dehors de mon système d’information
Retour d’expérience
Audit de vulnérabilité automatisé et continu
IKare fournit aux organisations une console unique permettant de lancer et gérer la récurrence des scans de vulnérabilité. Le réseau est automatiquement découvert et les vulnérabilités sont remontées en quasi-temps réel et classées par ordre de criticité, selon les standards CVSS. IKare permet une récurrence de scan très élevée, garantissant ainsi l’intégrité et l’imperméabilité de votre réseau au jour le jour.
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...Maxime Rastello
Sécurisez l'accès à vos différents services Office 365 en utilisant les fonctionnalités Premium d'Azure Active Directory et d'Office 365 Advanced Security Management (O365 E5).
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Décideurs IT
Cette session est destinée à vous présenter des retours d’expériences de solutions cloud pour rendre votre IT plus agile. Cette session animée et interactive vous permettra de découvrir plusieurs solutions que vous pourrez intégrer progressivement.
Donnez de l'agilité à votre système d'information avec AzureSamir Arezki ☁
Le Cloud révolutionne la manière de concevoir, de gérer et d'utiliser le système d'information. Il offre des bénéfices déterminants pour répondre aux enjeux des entreprises : accélération des cycles d’innovation, maîtrise du time to market, gestion du risque disruptif, maîtrise des coûts, etc.
Durant ce Webinar, nous évoquerons les scénarios Azure pour répondre aux enjeux du SI.
Nous aborderons par la suite les nouveautés proposées par Azure pour répondre aux différentes problématiques SI.
Le Webinar sera accompagné par des retours d’expérience et des bonnes pratiques pour réussir votre transition vers Azure.
Webinar animé par AREZKI Samir, Architecte Exakis et MVP Azure.
Comment sécuriser l’accès aux données et aux applications d’entrepriseMicrosoft Décideurs IT
Les données sont aujourd’hui mobile et accédées depuis n’importe quel équipement. Cette session montre comment mettre en place une sécurisation d’accès et d’usage des données qui suit la donnée où qu’elle se trouve, avec beaucoup de démo…
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...Microsoft Décideurs IT
Besoin d'envoyer un e-mail ou document confidentiel ? Besoin de protéger vos informations ? Pas de panique, Office 365 est là ! Découvrez les nouveautés Exchange Online et la variété des fonctionnalités de sécurité telle qu’Office 365 Message Encryption, la gestion des appareils mobiles ou bien la solution moderne de signature électronique DocuSign. Cette session sera ponctuée de démonstrations. Nous vous montrerons comment Office 365 peut être utilisé pour conserver et échanger vos données en toute sécurité.
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMJulien SIMON
Webinaire 19/12/2016
Chiffrement et gestion des clés
Comment AWS protège vos données avec le chiffrement
Comment AWS KMS simplifie le chiffrement
Alternatives à AWS KMS : AWS CloudHSM et solutions partenaires
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...Microsoft Décideurs IT
Découvrez comment tirer profit d’Azure Automation et Orchestrator pour automatiser et piloter toutes vos opérations de management IT aussi bien en local que dans Azure. Profitez de Service Manager pour offrir un catalogue de services à la demande à vos utilisateurs et réduire les délais de réalisation sans vous rajouter de travail ! Au travers de cas d’usage concrets, nous passerons en revue les points de passage type de chaque projet ainsi que les aspects techniques tels que les modules PowerShell d’Azure Automation. Enfin, nous vous présenterons comment faciliter l’accès à vos services au travers d’interfaces tactiles à vos utilisateurs sans changer vos traitements de back office déjà orchestrés. Des scénarios de management d’infrastructures, de gestion d’opérations, quotidiennes ou à la demande, viendront illustrer l’ensemble.
La simplicité et la rapidité de mise en œuvre encourage la migration de ses environnements sur le cloud. Néanmoins, la supervision reste un élément à ne pas négliger et le cloud provider n’est pas responsable de la supervision de l’ensemble de votre environnement.
Découvrez ce qu'est l’implémentation d’une démarche de Continuous Monitoring :
• Configurer ses applications,
• Instrumenter son code,
• Industrialiser la configuration et le déploiement des différents éléments (outils de monitoring, alertes, dashboards, etc.),
• Récupérer les alertes pour les traiter.
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutIdentity Days
La sécurité comme on le sait tous est un enjeux très important pour les entreprises. Microsoft propose plusieurs outils afin de vous aider à vous protéger contres les attaques malveillantes, nous allons au travers de cette session découvrir l’outil Azure Advanced Threat Protection qui s’appuie sur le trafic réseau et journaux d’événements des contrôleurs de domaine Activé Directory pour vous protéger. Du design , de l’installation, configuration et simulation d’attaques seront au programme ! Venez nombreux !
Voici une vidéo complète de la formation Azure Advanced Threat Protection qui est en cours de préparation par Seyfallah TAGREROUT sur Alphorm.com
Plan de la vidéo:
Présentation de la formation
Avant Installation
Installation d’Azure ATP
Configuration Azure ATP Sensor
Gestion de l’environnement Azure ATP
Conclusion
Présentation et deep dive de Microsoft Advanced Threat Analytics
Cette présentation à était donnée par moi même lors du MS cloud Summit 2017 à Paris.
Cette présentation présente la solution, vous donne toute les bonne pratique pour l’aspect installation, design, déploiement et opérations.
Merci :)
Seyfallah Tagrerout
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
aOS/CMD Aix - Sécurisez vos services Office 365 avec Azure AD et Advanced Sec...Maxime Rastello
Sécurisez l'accès à vos différents services Office 365 en utilisant les fonctionnalités Premium d'Azure Active Directory et d'Office 365 Advanced Security Management (O365 E5).
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Décideurs IT
Cette session est destinée à vous présenter des retours d’expériences de solutions cloud pour rendre votre IT plus agile. Cette session animée et interactive vous permettra de découvrir plusieurs solutions que vous pourrez intégrer progressivement.
Donnez de l'agilité à votre système d'information avec AzureSamir Arezki ☁
Le Cloud révolutionne la manière de concevoir, de gérer et d'utiliser le système d'information. Il offre des bénéfices déterminants pour répondre aux enjeux des entreprises : accélération des cycles d’innovation, maîtrise du time to market, gestion du risque disruptif, maîtrise des coûts, etc.
Durant ce Webinar, nous évoquerons les scénarios Azure pour répondre aux enjeux du SI.
Nous aborderons par la suite les nouveautés proposées par Azure pour répondre aux différentes problématiques SI.
Le Webinar sera accompagné par des retours d’expérience et des bonnes pratiques pour réussir votre transition vers Azure.
Webinar animé par AREZKI Samir, Architecte Exakis et MVP Azure.
Comment sécuriser l’accès aux données et aux applications d’entrepriseMicrosoft Décideurs IT
Les données sont aujourd’hui mobile et accédées depuis n’importe quel équipement. Cette session montre comment mettre en place une sécurisation d’accès et d’usage des données qui suit la donnée où qu’elle se trouve, avec beaucoup de démo…
Exchange Online : tout ce qu'il faut savoir sur la sécurité de la messagerie ...Microsoft Décideurs IT
Besoin d'envoyer un e-mail ou document confidentiel ? Besoin de protéger vos informations ? Pas de panique, Office 365 est là ! Découvrez les nouveautés Exchange Online et la variété des fonctionnalités de sécurité telle qu’Office 365 Message Encryption, la gestion des appareils mobiles ou bien la solution moderne de signature électronique DocuSign. Cette session sera ponctuée de démonstrations. Nous vous montrerons comment Office 365 peut être utilisé pour conserver et échanger vos données en toute sécurité.
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMJulien SIMON
Webinaire 19/12/2016
Chiffrement et gestion des clés
Comment AWS protège vos données avec le chiffrement
Comment AWS KMS simplifie le chiffrement
Alternatives à AWS KMS : AWS CloudHSM et solutions partenaires
Automatisez rapidement vos opérations IT, on-premise ou dans le Cloud avec Az...Microsoft Décideurs IT
Découvrez comment tirer profit d’Azure Automation et Orchestrator pour automatiser et piloter toutes vos opérations de management IT aussi bien en local que dans Azure. Profitez de Service Manager pour offrir un catalogue de services à la demande à vos utilisateurs et réduire les délais de réalisation sans vous rajouter de travail ! Au travers de cas d’usage concrets, nous passerons en revue les points de passage type de chaque projet ainsi que les aspects techniques tels que les modules PowerShell d’Azure Automation. Enfin, nous vous présenterons comment faciliter l’accès à vos services au travers d’interfaces tactiles à vos utilisateurs sans changer vos traitements de back office déjà orchestrés. Des scénarios de management d’infrastructures, de gestion d’opérations, quotidiennes ou à la demande, viendront illustrer l’ensemble.
La simplicité et la rapidité de mise en œuvre encourage la migration de ses environnements sur le cloud. Néanmoins, la supervision reste un élément à ne pas négliger et le cloud provider n’est pas responsable de la supervision de l’ensemble de votre environnement.
Découvrez ce qu'est l’implémentation d’une démarche de Continuous Monitoring :
• Configurer ses applications,
• Instrumenter son code,
• Industrialiser la configuration et le déploiement des différents éléments (outils de monitoring, alertes, dashboards, etc.),
• Récupérer les alertes pour les traiter.
Sécuriser votre système d’information avec AATP - Par Seyfallah TagreroutIdentity Days
La sécurité comme on le sait tous est un enjeux très important pour les entreprises. Microsoft propose plusieurs outils afin de vous aider à vous protéger contres les attaques malveillantes, nous allons au travers de cette session découvrir l’outil Azure Advanced Threat Protection qui s’appuie sur le trafic réseau et journaux d’événements des contrôleurs de domaine Activé Directory pour vous protéger. Du design , de l’installation, configuration et simulation d’attaques seront au programme ! Venez nombreux !
Voici une vidéo complète de la formation Azure Advanced Threat Protection qui est en cours de préparation par Seyfallah TAGREROUT sur Alphorm.com
Plan de la vidéo:
Présentation de la formation
Avant Installation
Installation d’Azure ATP
Configuration Azure ATP Sensor
Gestion de l’environnement Azure ATP
Conclusion
Présentation et deep dive de Microsoft Advanced Threat Analytics
Cette présentation à était donnée par moi même lors du MS cloud Summit 2017 à Paris.
Cette présentation présente la solution, vous donne toute les bonne pratique pour l’aspect installation, design, déploiement et opérations.
Merci :)
Seyfallah Tagrerout
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
3 Microsoft Advanced Threat Analytics - GenèveaOS Community
Session qui va décrire et présenter la technologie Azure Site Recovery. Ce service dans Azure propose un PRA pour les systèmes d'informations avec comme source plusieurs technologies ( Hyper-V , VMware) cette session va présenter ASR dans les moindres détails en passant par la phase design , déploiement et administration.
Cette session est destinée à vous présenter des retours d’expériences de solutions cloud pour rendre votre IT plus agile. Cette session animée et interactive vous permettra de découvrir plusieurs solutions que vous pourrez intégrer progressivement.
Alphorm.com Formation Microsoft ATA 2016 : Installation et ConfigurationAlphorm
Formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-microsoft-ata-2016-installation-et-configuration
Advanced Threat Analytics (ATA) est une plateforme locale qui aide à protéger votre entreprise contre plusieurs types d’attaques informatiques ciblées et menaces internes avancées.
Cette formation ATA a pour but de vous faire découvrir le produit Microsoft ATA, c'est à dire de la présentation du produit jusqu’à sa mise en œuvre en passant par les phases de design et réflexion.
Cette formation ATA est basée sur un retour d'expérience terrain via un déploiement world wide de ce produit, ce qui permet au formateur de partager son expérience avec des cas pragmatiques rencontrés en entreprise.
A l'issue de cette formation ATA, vous serez capable de comprendre le fonctionnement de Microsoft ATA, de l’installer, de le paramétrer et de l'administrer. Le formateur met également l'accent sur l'aspect design avant l'installation, ce qui vous permettra de bien étudier votre existant avant d'installer Microsoft ATA.
La plateforme Microsoft Experiences repose sur un système en backoffice bâti sur les derniers produits et services Microsoft.
Dans cette session, vous découvrirez au travers d’un cas concret en production, les nouveautés et les bénéfices apportés par ASP.NET Core 1.0, les bonnes pratiques ainsi que les pièges à éviter pour le faire fonctionner de manière optimale dans Azure.
Seront également abordés les différentes possibilités offertes par ASP.NET et Azure pour rendre votre plateforme extensible en ouvrant de manière sécurisée l’accès à vos APIs.
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...AZUG FR
Après des chemins sinueux, les différents services Azure s’harmonisent enfin leurs stratégies de monitoring. Focus sur Azure Monitor et ses fonctionnalités, ainsi que les modalités d'intégration entre un service, Azure Monitor, et des briques analytiques en aval: Application Insights, ou Log Analytics
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...Amazon Web Services
Avec le cloud la vitesse, l’agilité et le coûts des projets informatiques ont radicalement évolué.
Pour les enterprises, la stratégie et la vitesse de migration sont capitales pour tirer des bénéfices rapidement, innover et se différencier des autres acteurs. Dans cette session, nous couvrirons les éléments clef de migration vers le Cloud AWS.
Migration des réseaux d agence : les apports de Windows Server 2012 R2Microsoft
Dans cette session, vous découvrirez comment Windows Server 2012 et 2012 R2 couplé à System Center 2012 R2 vous permet de gérer en central vos environnements d’agence. Nous aborderons en particulier les sujets de la virtualisation, orchestration, supervision, gestion de configuration, sauvegarde et le traitement des impressions en agence.
Speakers : Nicolas Escalas (Alfun), Jean-Marie Savin (Microsoft)
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...jumeletArnaud
Sans sécurité, pas d’innovation ! Pour faire fonctionner vos applications dans le cloud, vous devez avoir un haut degré de confiance envers votre fournisseur cloud. Lors de cette session, nous vous présenterons les dernières innovations sécurité de notre plateforme cloud Azure. Nos experts partageront également avec vous un best of de leurs conseils en matière de sécurité.
L’explosion des objets connectés dans notre quotidien oblige le modèle de l’intégration à s’adapter. Les problématiques ne sont plus les mêmes, on passe d’une intégration déclarative à prescriptive, capable d’observer des comportements selon différentes facettes. Quelles sont les réponses de Microsoft ?
Exadays cloud – Enjeux et Transformation du SISamir Arezki ☁
Le Cloud révolutionne la manière de concevoir, de gérer et d'utiliser le système d'information. En effet, il offre des bénéfices déterminants pour répondre aux enjeux des entreprises : maîtrise du Time to Market, accélération des cycles d’innovation, gestion du risque disruptif, maîtrise des coûts, ect.
Dans cette session, nous présenterons une démarche globale pour bâtir votre stratégie Coud. Ainsi que les différents modèles (cloud public / hybride) et technologies Microsoft Azure pour faciliter et réussir votre transition vers le Cloud.
Nous aborderons différents scénarios et retours d’expériences.
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...Marius Zaharia
Après des chemins sinueux, les différents services Azure s’harmonisent enfin leurs stratégies de monitoring. Focus sur Azure Monitor et ses fonctionnalités, ainsi que les modalités d'intégration entre un service, Azure Monitor, et des briques analytiques en aval: Application Insights, ou Log Analytics.
Similaire à Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2 (20)
8. Microsoft Threat protection et ses produits
Azure Sentinel MDAATPAATP
Azure Security Center
Office 365 ATP Azure Active Directory Cloud app security
11. Identity Days 2019
User browses to a
website
Phishing
mail
Opens
attachment
Clicks on a URL
+
Exploitation
&
Installation
Command &
Control
Brute force account or
use stolen account credentials
User account
is
compromised
Attacker
attempts
lateral
movement
Privileged
account
compromised
Domain
compromised
Attacker
accesses
sensitive data
Exfiltrate
data
Maximize Detection
Azure AD Identity Protection
Identity protection &
conditional access
Cloud App Security
Azure ATP
Azure AD Identity Protection
Identity protection &
conditional access
Identity protection
Extends protection & conditional
access to other cloud apps
16. Azure Advanced Threat Protection
Sinon, que permet AATP ?
Chaine classique d’une cyber
attaque:
• Reconnaissance
• Mouvement latérale
• Persistance
Risques:
• Vulnérabilité de protocole connues
• Protocoles faibles
• Perte de relation de confiance
17. Azure Advanced Threat Protection
Identity Days 2019
Account enumeration
Users group membership enumeration
Users & IP address enumeration
Hosts & server name enumeration (DNS)
Pass-the-Ticket
Pass-the-Hash
Overpass-the-Hash
Reconnaissance
!
!
!
Compromised
Credential
Lateral
Movement
Domain
Dominance
Golden ticket attack
DCShadow
Skeleton Key
Remote code execution on DC
Service creation on DC
Brute force attempts
Suspicious VPN connection
Suspicious groups membership modifications
Honey Token account suspicious activities
19. Azure Advanced Threat Protection
Identity Days 2019
High Level
Azure
ATP
Intelligent Security Graph
Contrôleurs de domaine
AD
A NA LY Z E
US E R
BE H A RI OR
I N VE ST I GAT E
A ND RE SP O N D
M O N I TO R
AC TI V I T I ESU S E R S
D E V I C E S
D A T A
D E T E CT
& A LE RT
20. Identity Days 2019
ATA vs AATP
On premise
MS ATA
Azure ATP
DC
DC
AATP
ATA as a Service
Intégration Cloud
App et MDATP
Workspace – Cloud
Multi-forêts AD
DC Shadow
Evolution continue
ATA Sensor
ATA sensor
Standalone
EME E5
ATA
Architecture Prem
Server ATA Center
Une version majeur
par an
Pas de DC Shadow
ATA Gateway et light
gateway
EMS E 3
Microsoft ATA on Prem ou Cloud ?
21. ATA vs AATP
Identity Days 2019
ATA
DC
DC
ATA Center
ATA Gateway
ATA LightGateway
AATP Cloud
Service
AATP Sensor
AATP Sensor
Standalone
Azure ATP
26. Architecture
Identity Days 2019
Les composants AATP
• Azure Portal
• Azure ATP Senor
• Azure ATP Sensor Standalone
• Azure ATP Cloud Service
27. Architecture
Identity Days 2019
Azure Portal – tout commence ici …
• Création de l’instance AATP
• Administration des AATP Sensor
• Visualisation des alertes de sécurité
• Visualisation de l’etat de santé des
sensors
• Détection des activités suspicieuses
• Alertes email
• Reporting
• Administration
28. Architecture
Identity Days 2019
AATP Sensor
• Capture et inspection du trafic réseau des contrôleurs de domaine AD
• Capture des Windows évents logs depuis les contrôleurs de domaine AD
• Récupère les données utilisateurs et computers depuis l’AD
• Transfert vers l’Azure ATP Cloud Service
• Protection du DC:
• Composant qui analyse le CPU + RAM du DC sur le quel il est installé:
– Fréquence d’analyse : toutes les 10 secondes
– Minimum 15 % de ressources ….
– Un espace est dédié pour l'état de santé des DC + Sensor
29. Architecture
Identity Days 2019
AATP Sensor
• Windows events:
• Authentification NTLM
• Modification des groupes sensitifs
• Création de services suspects
• Les IDs concernés :
• 4776,4732,4733,4728,4729,4756,4757,7045, 8004
• Automatique - à condition GPO audit :
• Audit Credential Validation
• Audit Security Group Management
• NTLM - 8004 :
• Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers = Audit All
• Network security: Restrict NTLM: Audit NTLM authentication in this domain = Enable all
• Network security: Restrict NTLM: Audit Incoming NTLM Traffic = Enable auditing for all
accounts
30. Architecture
Identity Days 2019
AATP Sensor – Standalone
• Fonctionnement avec du port mirroring
• Capture et inspection du trafic réseau des contrôleurs de domaine AD
• Capture des Windows évents logs depuis les contrôleurs de domaine AD
• Récupère les données utilisateurs et computers depuis l’AD
• Transfert vers l’Azure ATP Cloud Service
• Protection du DC:
• Composant qui analyse le CPU + RAM du DC sur le quel il est installé:
– Fréquence d’analyse : toutes les 10 secondes
– Minimum 15 % de ressources ….
– Un espace est dédié pour l'état de santé des DC + Sensor
31. Architecture
Identity Days 2019
AATP Sensor vs AATP Sensor Standalone
Sensor type Benefits Cost Deployment topology Domain
controller use
Azure ATP
sensor
Installation sur le DC, pas
besoin de port mirroring ni
de serveur intermédiaire
Lower Installation sur les DC Support jusqu’à
100,000
packets/s
Azure ATP
standalone
sensor
Complique la tâche aux
attaquants
Higher Installation sur un serveur
intermédiaire et
fonctionnement avec du
port Mirroring
Support jusqu’à
100,000
packets/s
34. Planification – capacity planning
Identity Days 2019
Définir les besoins en ressources matériels
Outils de dimensionnement :
• Azure Advanced Threat Protection Sizing Tool - Version 1.3.0.0
• https://gallery.technet.microsoft.com/Azure-Advanced-Threat-a11343c4
• Scan tout le trafic au niveau des DCs et aide à :
• Quantité de mémoire RAM
• CPU
• Stockage Data base
• ATA Gateway & LightWeight Gateway
35. Planification – capacity planning
Identity Days 2019
Définir les besoins en ressources matériels
36. Planification – capacity planning
Identity Days 2019
Définir les besoins en ressources matériels
Questions:
• ATA ou AATP ?
• Si AATP
• AATP Sensor ou Standalone ?
• Mode de déploiement
• Silent mode : "Azure ATP sensor Setup.exe" /quiet
NetFrameworkCommandLineArguments="/q" AccessKey="<Access
Key>"
• Mélange des deux ?
• Envoi des alertes au SIEM ?
38. Prérequis
Identity Days 2019
• EMS E5 ou licence standalone AATP
• Vérifier la connectivité internet sur les DC
• Si proxy _ autorisation des URLs ( Europe par exemple)
triprd1wceun1sensorapi.atp.azure.com
triprd1wceuw1sensorapi.atp.azure.com
• VM vMware – désactiver IPv4 TSO Offload
41. Prérequis
Identity Days 2019
• ATP Sensor :
• Dc sous : Windows Server 2008 R2 SP1, 2012, 2012 R2, 2016 2019
• Si 2019 – installez la KB4487044
• .Net framework 4.7
• RODC supporté
• Communication du Dc vers le Azure ATP service – ouvrir le 443 et autoriser l’url *.atp.azure.com
• Reste des prérequis :
• https://docs.microsoft.com/en-us/azure-advanced-threat-protection/atp-prerequisites
46. Identity Days 2019
SecOps identity investigation experience
Azure
ATP
Analyse complète de l’identité dans un monde hybride
( Cloud et On-Prem)
Analyse
Comportements des identité sur les apps
cloud
Analyse
risky sign-ins & User Risk
Microsoft
Cloud app
security
Azure AD
Identity
Protection
Analyse
Comportements des identité on-prem
47. Identity Days 2019
SecOps identity investigation experience
Azure
ATP
Microsoft
Cloud app
security
Azure AD
Identity
Protection