Rechercher dans ce blog
Affichage des articles dont le libellé est Advanced Threat Analytics. Afficher tous les articles
Affichage des articles dont le libellé est Advanced Threat Analytics. Afficher tous les articles

mardi 12 mars 2019

Configuration de Microsoft Advanced Threat Analytics (ATA)


Bonjour à tous, suite au  premier article ou nous avions vu la découverte et l'installation de Microsoft Advanced Threat Analytics (ATA), aujourd'hui nous allons voir la configuration de celui ci.

Pour que Microsoft Advanced Threat Analytics (ATA) puisse recevoir et surveiller les informations du trafic nous avons la possibilité d'installer deux types de passerelle:

- Passerelle ATA (full gateway): Cette passerelle est installée sur un serveur dédié qui va s'intercaler entre les différents contrôleurs de domaine pour y capturer tout le trafic grâce à la mise en miroir de ports.

- Passerelle Lightweight: C'est une alternative à la Full Gateway, sauf que cette passerelle dite "légère" s'installe directement sur les contrôleurs de domaines et évite d'avoir un serveur dédié.

Même si je recommande un serveur dédié, pour ce laboratoire nous utiliserons la "Passerelle Lightweight".

Pour la configuration de Microsoft Advanced Threat Analytics (ATA) nous devrons avoir les éléments suivants:

- Un compte de service pour pouvoir connecter le centre "ATA" à l'Active Directory"
- Les sources d'installation de la passerelle "ATA Lightweight" (il suffit de les récupérer depuis la console "ATA").
- Nos deux contrôleurs de domaine.

Création d'un compte de service avec seulement des droits de lecture.
Pour l'article je l'ai nommé "ATA" par simplicité mais ce n'est pas une bonne pratique (voir article précédent).

Nous configurons le compte de service dans la gestion "ATA" et nous pouvons constater le bon fonctionnement.




Toujours sur la passerelle "ATA" nous allons récupérer le setup d'installation 










Nous allons maintenant nous connecter sur nos serveurs Active Directory en mode Core et y installer notre passerelle.

Lancer simplement le "setup.exe"






Il est possible aussi de l'installer à distance en winrm.





Sur le mode core l'installation se passe en arrière plan.

Comme on peut le constater ci-dessous, le résultat est concluant car nos serveurs remontent correctement dans le centre de gestion "ATA"







Sur nos deux contrôleurs nous les cochons comme "candidat synchroniseur de domaine", ce qui permet la synchronisation entre l'Active Directory et le centre "ATA" et de remonter tous les informations.




Point d'attention: 

- Ne cochez pas cette fonction pour tous les contrôleurs de domaine car cela peut amener des problèmes de performances.
- La passerelle ne doit en aucun cas être installée sur un RODC.
- Les informations synchronisées entre "ATA" et "Active Direcory" mettent un peu de temps à remonter donc patience.



Dans la partie "Mise à jour", nous aurons la possibilité de mettre automatique à jour nos passerelles.


Rappel: La documentation sur le produit pour voir en détails les différentes options: https://docs.microsoft.com/fr-fr/advanced-threat-analytics/

Une fois ces petites configurations terminées nous allons pouvoir faire des tests d'intrusions et vérifier la bonne remontée d'informations.

Nous allons tester un transfert de zone DNS.
nslookup
set q=all
ls -d labo.local

Je reçois un accès refusé.

 

Nous allons maintenant vérifier la tentative d'intrusion.
Dans le centre de gestion "ATA"  nous allons aller sur "intégrité"


Nous constatons les différentes attaques.




Dans cet article nous avons pu voir la configuration globale de "Microsoft Advanced Threat Analytics (ATA)"

Dans un prochain article de "Microsoft Advanced Threat Analytics (ATA)"  nous essaierons de faire une utilisation avancée du produit (Honeytoken accounts, SIEM, SYSLOG....).

A bientôt. 😏


Publié par à Aucun commentaire:
Libellés : ,

jeudi 7 mars 2019

Installation de Microsoft Advanced Threat Analytics (ATA)



Bonjour à tous, aujourd'hui nouvel article sur l'Installation de "Microsoft Advanced Threat Analytics (ATA)".

Pour commencer, petite présentation du produit.

Microsoft Advanced Threat Analytics (ATA) est une solution locale (On-premise) qui permet l'analyse et la protection contre les cyber-attaques.

Il est capable d'analyser: 

- Les protocoles (DNS, Kerberos...).
- Les authentifications.
- Les autorisations d'accès.
- Les comportements anormaux.
- Les attaques malveillantes ( golden ticket, man in the middle...).

Pour plus de précisions: https://docs.microsoft.com/fr-fr/advanced-threat-analytics/what-is-ata

Fonctionnement de  "Microsoft Advanced Threat Analytics (ATA)":

Ci-dessous le schéma expliquant le fonctionnement d'ATA.

Explications en détails sur le site de Microsoft.

Prérequis pour l'installation de "Microsoft Advanced Threat Analytics (ATA)":

Ports:

Le tableau ci-dessous énumère les ports minimums qui doivent être ouverts pour que l'ATA Center fonctionne correctement.
















Déploiement:

- Version d'évaluation (90 jours) de "Microsoft Advanced Threat Analytics (ATA)"
- Windows 2012 R2 Minimum (GUI ).
- La gestion principale ATA ne peut pas s'installer sur un serveur core (seulement la gateway)..
- Compatible virtualisation (la mémoire dynamique n'est pas supportée. 
- Si Windows 2012 R2 GUI, vérifier que la KB2919355 soit bien installé
- Si Windows 2012 R2 Core, vérifier que la KB3000850 soit bien installé.
- Navigateurs d'accès à la console: Internet Explorer 10 et versions ultérieurs, Microsoft Edge, Google Chrome 40 et versions ultérieurs


Bonnes pratiques d'installation:

Avant d'installer Microsoft Advanced Threat Analytics (ATA) en production il est nécessaire de mettre en place les bonnes pratiques ci-dessous recommandées par Microsoft:

- Le serveur ATA devra être à jour avec les derniers cummulatifs.
- L'idéale est de déployer la solution dans une forêt dédiée.
- Nommer les serveurs avec et les comptes de configuration avec un autre nom que "ATA"
- Le par-feu matériel de l'entreprise doit respecter seulement les ports décrits dans le tableau ci-dessus.
- Utiliser un certificat d'une autorité de certification publique.
- Installer principalement les passerelles complètes. 
- Configurer correctement votre antivirus (exclusions bases de données).
- Si vous utilisez le syslog, il faudra le configurer en TLS.
- Si vous utilisez la messagerie, il faudra le configurer en SSL.
-Limiter l'accès à la console ATA (scope ip).

Installation:

Le laboratoire ci-dessous sera utilisé:

- 1 serveur Microsoft Advanced Threat Analytics (ATA).
- 2 contrôleurs de domaine Windows 2019 Serveur Core avec les gateway ATA installées.
- 1 station Windows 10

Nous allons maintenant lancer l'installation de Microsoft Advanced Threat Analytics (ATA).

Lancer le setup ci-dessous



Choisir la langue


Très important, je recommande fortement d'utiliser Windows Update.




Choisir les répertoires d'installation et de base de données.
Choisir votre certificat ou utiliser le certificat auto-signé.




 Installation de la base de données "Mango DB"

 L'installation est maintenant terminée.



Vous pouvez lancer la console et vérifier le bon fonctionnement.













Dans cette première partie, nous avons pu voir l'installation de Microsoft Advanced Threat Analytics (ATA).

Dans le prochain article nous verrons la configuration du produit.

A bientôt.


Publié par à Aucun commentaire:
Libellés : ,
Inscription à : Articles (Atom)