Bonjour à tous, suite au premier article ou nous avions vu la découverte et l'installation de Microsoft Advanced Threat Analytics (ATA), aujourd'hui nous allons voir la configuration de celui ci.
Pour que Microsoft Advanced Threat Analytics (ATA) puisse recevoir et surveiller les informations du trafic nous avons la possibilité d'installer deux types de passerelle:
- Passerelle ATA (full gateway): Cette passerelle est installée sur un serveur dédié qui va s'intercaler entre les différents contrôleurs de domaine pour y capturer tout le trafic grâce à la mise en miroir de ports.
- Passerelle Lightweight: C'est une alternative à la Full Gateway, sauf que cette passerelle dite "légère" s'installe directement sur les contrôleurs de domaines et évite d'avoir un serveur dédié.
Même si je recommande un serveur dédié, pour ce laboratoire nous utiliserons la "Passerelle Lightweight".
Pour la configuration de Microsoft Advanced Threat Analytics (ATA) nous devrons avoir les éléments suivants:
- Un compte de service pour pouvoir connecter le centre "ATA" à l'Active Directory"
- Les sources d'installation de la passerelle "ATA Lightweight" (il suffit de les récupérer depuis la console "ATA").
- Nos deux contrôleurs de domaine.
Création d'un compte de service avec seulement des droits de lecture.
Pour l'article je l'ai nommé "ATA" par simplicité mais ce n'est pas une bonne pratique (voir article précédent).
Nous configurons le compte de service dans la gestion "ATA" et nous pouvons constater le bon fonctionnement.
Toujours sur la passerelle "ATA" nous allons récupérer le setup d'installation
Lancer simplement le "setup.exe"
Il est possible aussi de l'installer à distance en winrm.
Sur le mode core l'installation se passe en arrière plan.
Comme on peut le constater ci-dessous, le résultat est concluant car nos serveurs remontent correctement dans le centre de gestion "ATA"
Sur nos deux contrôleurs nous les cochons comme "candidat synchroniseur de domaine", ce qui permet la synchronisation entre l'Active Directory et le centre "ATA" et de remonter tous les informations.
- Ne cochez pas cette fonction pour tous les contrôleurs de domaine car cela peut amener des problèmes de performances.
- La passerelle ne doit en aucun cas être installée sur un RODC.
- Les informations synchronisées entre "ATA" et "Active Direcory" mettent un peu de temps à remonter donc patience.
Dans la partie "Mise à jour", nous aurons la possibilité de mettre automatique à jour nos passerelles.
Rappel: La documentation sur le produit pour voir en détails les différentes options: https://docs.microsoft.com/fr-fr/advanced-threat-analytics/
Une fois ces petites configurations terminées nous allons pouvoir faire des tests d'intrusions et vérifier la bonne remontée d'informations.
Nous allons tester un transfert de zone DNS.
nslookup
set q=all
ls -d labo.local
Je reçois un accès refusé.
Nous allons maintenant vérifier la tentative d'intrusion.
Dans le centre de gestion "ATA" nous allons aller sur "intégrité"
Nous constatons les différentes attaques.
Dans cet article nous avons pu voir la configuration globale de "Microsoft Advanced Threat Analytics (ATA)"
Dans un prochain article de "Microsoft Advanced Threat Analytics (ATA)" nous essaierons de faire une utilisation avancée du produit (Honeytoken accounts, SIEM, SYSLOG....).
A bientôt. 😏
Aucun commentaire:
Enregistrer un commentaire