Date post: | 08-Apr-2017 |
Category: |
Technology |
Upload: | alphorm |
View: | 1,044 times |
Download: | 10 times |
Une formation
Seyfallah TAGREROUT
Formation Microsoft ATA
Installation et Configuration
Cursus Enterprise Mobility et Security
Azure Information Protection
Protect your data, everywhere
Detect threats early with
visibility and threat analytics
Advanced Threat Analytics
Microsoft Cloud App Security
Extend enterprise-grade security to your cloud and SaaS apps
Intune
Protect your users, devices, and apps
Azure Active Directory
Manage identity with hybrid integration to protect application
access from identity attacks
Une formation
Cursus formation EMS
MS Azure Information Protection
MS Cloud App Security
MS Intune
MS Azure Active Directory
MS ATA
Une formation
Publique concerné
Ingénieur IT
Consultant IT
Geek de la sécurité AD et autres …
Personnes qui souhaitent apprendre comment protéger son environnement avec les outils de sécurité Microsoft
Une formation
Objectif de la formation
Sécuriser votre système d’information
Apprendre de nouvelles technologies MS
Prendre le train en marche vers la sécurité des systèmes d’information
Apprendre de nouveaux outils « Microsoft ATA »
Une formation
Prérequis
Bonnes connaissances des concepts de sécurité (types d’attaques etc)
Bonne connaissances active Directory
Bonne connaissances réseaux en générale
Connaissance Windows Server et Hyper-V
Une formation
Déroulement
Inscription à la démo de la suite
EMS
Apprendre la solution
Microsoft ATA
Installation et mise en situation
réelle
Une formation
Ressources
Ma présentation de Microsoft ATA lors du Ms Cloud Summit :
http://fr.slideshare.net/SeyfallahTagrerout/prsentation-microsoft-advanced-threat-analytics-deepdive-mscloud-summit-2017
La documentation officielle :
https://docs.microsoft.com/en-us/advanced-threat-analytics/
A vous de jouer !
Une formation
Seyfallah TAGREROUT
Présentation de Microsoft ATA
Une formation
Plan
Introduction
Microsoft ATA
• Ce que propose ATA
• Avantages d’ATA
• Comment fonctionne ATA
• Architecture
• Dernière version 1.7
Une formation
Introduction
Microsoft ATA = Microsoft Advanced Threat Analytics
IDS Microsoft pour protéger une organisation contre les attaques informatique, menaces, etc.
Il se base sur du Machine Learning avec des algorithmes très puissants au niveau de l’analyse comportementale
Une formation
Introduction
243Le nombre de jours
moyen pour détecter une intrusion
500 Milliards coût total contre la cybercriminalité
dans l’économie
76 % D’attaques son dues a
des crédentials corrompus
3.5 Millions budget moyen d’une entreprise
pour la sécurité
Une formation
Microsoft ATA
Chaîne classique d’une cyber attaque :
• Reconnaissance
• Mouvement latérale
• Domain Dominance (Persistance)
Microsoft ATA cible les types d’attaques suivantes :
• Attaques Malveillantes
• Comportement anormal
• Risques plus au moins élevés
Une formation
Les attaques détectables
Golden Ticket
Reconnaissance
Brute Force
Exécution à distance des commandes etc
OverPAss-The-Hash
Pass-The-Ticket
Pass-The-Hash
Une formation
Machine Learning
Connexions anormales sur des ressources
Connexions avec des utilisateurs qui ne doivent pas avoir de l'activité
Partage de mots de passe
Mouvement latéral
Menaces de tout type
Une formation
Risques de sécurité
Vulnérabilités des protocoles connues
Protocoles faibles au niveau sécurité
Relation de confiance
Une formation
Avantages d’ATA
Etre toujours alerté d’un comportement anormal au sein de son organisation
L’infrastructure Active Directory protégée qu’elle que soit le type d’architecture
Etre alerté en temps réel lors d’un risque ou une activité anormale de la part d’un utilisateur ou une machine
Trackage
Renforcer la sécurité de son système d’information
Une formation
Fonctionnement de MS ATA
Moteur propriétaire pour capturer et analyser plusieurs types de trafic :
• DNS
• RPC
• Kerberos etc ….
Utilisation des informations depuis plusieurs sources :
• Event Logs
Utilisation du trafic des DC pour analyser le trafic dans le réseau :
• Port Mirroring (précédemment )
• Avec les nouvelles versions directement dans les DC
Une formation
Architecture de Microsoft ATA
Seyfallah TagreroutFormation Alphorm
Microsoft ATAArchitecture générale
Une formation
Architecture de Microsoft ATA
Une formation
Version ATA 1.7 :
Support de Windows 2016 et Windows Core
Role-based Access control (RBAC)
Nouvelle détection
Amélioration de l’algorithme d’analyse comportementale
Merci
Une formation
Seyfallah TAGREROUT
Présentation du LAB
Une formation
Plan
Les prérequis
Présentation de l’infrastructure
Installation du LAB pas à pas :
• Création d’un abonnement de test EMS
• Installation des serveurs
• Installation d’Active Directory
• Vérification
Une formation
Les prérequis
Souscription à la suite EMS :
1. Téléchargement du produit Microsoft ATA
2. Au moins :
• Un serveur pour la partie ATA center
• Deux DCs
• Un DNS
• Un client Windows 7 / 8.1 / 10
Une formation
Présentation de l’infrastructure
Une formation
Installation du Lab pas à Pas
Installation de Server Windows 2016 sur les 3 serveurs
Installation de l’active directory
Installation du client Windows 10
Check du LAB
Merci
Une formation
Seyfallah TAGREROUT
Capacity planning
Une formation
Plan
Outil de dimensionnement
Dimensionnement de l’ATA Center
• De l’ATA Gateway
• De la LightWight Gateway
Une formation
Outils de dimensionnement
Advanced Threat Analytics (ATA) Sizing tool (v2.6.2)
https://gallery.technet.microsoft.com/Advanced-Threat-Analytics-7371c87f
Va scanner le trafic et nous aider à choisir :
• La quantité de mémoire pour l’ATA Center
• Le nombre de CPU
• Le stockage pour la base de données MangoDB de l’ATA Center
• Dimensionnement de le l’ATA Gateway et la light Gateway
Une formation
Merci
Une formation
Seyfallah TAGREROUT
Eléments d’architecture
Une formation
Plan
L’ATA Center
L’ATA Gateway classique
L’ATA LightWieght Gateway
Base de données MangoDB
Gestion des Ressources sur les DC par les LGTW
Bonnes pratiques pour les GTW classiques
L’ATA Console
Une formation
ATA Center
C’est le Serveur centrale de l’architecture
Il collectionne les activités des utilisateurs et ordinateurs du réseau provenant des ATA GTW
Il analyse le comportement des utilisateurs
Il alerte des activités suspectes
Il met à jour et configure l’environnement
Un centre ATA ne peut surveiller qu’une seule forêt Active Directory
Une formation
ATA Center
Une formation
ATA Gateway
Collectionne le trafic des DCs via le port mirroring
Récupère les données provenant des utilisateurs du domaine
Evènements reçus via : DC / SIEM / Event Log (forward)
Un ou plusieurs DCs
Deux Services :
1. Microsoft Advanced Thread Analytics Gateway
2. Microsoft Advanced Thread Analytics Gateway Updater
Une formation
ATA Gateway
Une formation
ATA LightWeight Gateway
Programme ATA Gateway Directement sur le Domaine Controller
Collectionne le trafic du DC sur le quel le programme est installé (trafic local)
Reçoit les évènements depuis les DC, SIEM / Syslog Server
Un serveur ATA GTW peut monitorer un ou plusieurs DCs
Candidate
Envoie le tout à l’ATA Center
Une formation
ATA LightWeight Gateway
Composant qui analyse le CPU + RAM du DCs sur lequel il est installé :
• Fréquence d’analyse : toutes les 10 secondes
• Minimum 15 % de ressources ….
Intelligence au niveau du choix du Traffic a analyser :
Une formation
ATA LightWeight Gateway
Une formation
Base de données MangoDB
Stocke les Events :
• Activités réseaux
• Evènements
• Activités suspects
• Configuration ATA
Chemin par défaut :
C:\Program Files\Microsoft Advanced ThreatAnalytics\Center\MongoDB\bin\data\
Une formation
L’ATA console
Une formation
Bonnes pratiques pour les GTW classiques
Gestion des évènements :
• ATA Center == Event 4776 (Pass-the-Hash, force brute et Honey Tokens)
Deux solutions :
1. Configuration de l’ATA GTW classe pour écouter le SIEM
2. Transfert de l’Event 4776 depuis les DC vers l’ATA GTW classique
Merci
Une formation
Seyfallah TAGREROUT
Choix d’architecture
Une formation
Plan
ATA Center avec des passerelle « ATA Gateway classique »
ATA Center avec des passerelles légères « ATA LightWight Gateway »
Mélange
Une formation
ATA Gateway Classique
Une formation
ATA Gateway Classique
Obligation d’avoir un serveur « passerelle » entre l’ATA Center et le contrôleur de domaine
Port-Mirroring du trafic du DC obligatoire
Possibilité de faire du One to One (une passerelle pour un DC)
Possibilité de faire (une passerelle pour plusieurs DC)
Une formation
ATA LightWight Gateway
Une formation
ATA LightWight Gateway
L’ATA Gateway s’installe directement sur le DC
Pas de serveur intermédiaire entre l’ATA Center et les DCs
Pas de configuration réseaux spécifique (port mirroring )
Une formation
Mélange
Merci
Une formation
Seyfallah TAGREROUT
Prérequis avant installation
Une formation
Compte de lecture de tous les objets du domainePrérequis du ATA CenterPrérequis du ATA GatewayPrérequis du LightWeight Gateway Prérequis du ATA Center Web console
Plan
Une formation
Rappel
Une formation
Compte de lecture
Une formation
Prérequis
https://docs.microsoft.com/fr-fr/advanced-threat-analytics/plan-design/ata-prerequisites
Merci
Une formation
Seyfallah TAGREROUT
Port Mirroring
Une formation
Plan
Port Mirroring
Sur Hyper-V
Vérification
Une formation
Port Mirroring
Le port Mirroring consiste à copier le trafic d’un ou plusieurs port d’un switch vers un autre port.
Deux notions :
1. Le port source : Port sur le quel on copie le trafic
2. Le port destination : Le port qui reçoit le trafic du port source
Une formation
Hyper-V
Une formation
Vérification
Téléchargez : Microsoft Network Monitor 3.4 : https://www.microsoft.com/en-us/download/details.aspx?id=4865
Merci
Une formation
Seyfallah TAGREROUT
Installation
Une formation
Plan
Téléchargement de l’exe ATA Center
Installation de l’ATA Center
Une formation
Téléchargement de l’exe ATA Center
https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics
Une formation
Merci
Une formation
Seyfallah TAGREROUT
Présentation de la console
Une formation
Microsoft ATA Web Console
Une formation
Merci
Une formation
Seyfallah TAGREROUT
Première configuration
Une formation
Plan
Première Configuration
Connexion à la forêt Active Directory
Création d’enregistrement DNS pour l’IP de l’ATA Center
Téléchargement de la Gateway Microsoft ATA
Une formation
Première configuration
Une formation
Merci
Une formation
Seyfallah TAGREROUT
Installation de la Gateway ATA
Une formation
Plan
Revoir le téléchargement de la Gateway ATA
Installation de la Gateway
Une formation
Téléchargement de l’ATA GTW
Une formation
Téléchargement de l’ATA GTW
Une formation
Merci
Une formation
Seyfallah TAGREROUT
Configuration de l’ATA Center
Une formation
Plan
Paramétrage et Configuration de l’ATA Center dans l’ensemble
Une formation
Paramétrage et configuration
La gestion des événements
La gestion de la licence
La détection :
• Paramétrage (Honey Token)
• Exclusions
Les notifications :
• Langue / Mail / ce qu’on souhaite notifier
• Gestion du syslog
Une formation
Merci
Une formation
Seyfallah TAGREROUT
Utilisation de la console d’ATA Center
Une formation
Plan
Utilisation de l’interface ATA
Gestion des évènements
Etat de santé de l’ATA center
Etat de santé des AtA Gateway
Une formation
Merci
Une formation
Seyfallah TAGREROUT
Délégation des utilisateurs
Une formation
RBAC
Trois rôles :
1. ATA Administrators
2. ATA Users
3. ATA Viewers
Une formation
RBAC
Une formation
Merci
Une formation
Seyfallah TAGREROUT
Gestion de la BDD MangoDB
Une formation
Mango DB Data Base
Répertoire par défaut :C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin\Data
Une formation
Merci
Une formation
Seyfallah TAGREROUT
Alertes
Une formation
Plan
Alertes:
- PsExec
- Reconnaissance DNS
Une formation
Merci
Une formation
Seyfallah TAGREROUT
Gestion des Log et des erreurs
Une formation
Plan
La gestion des Logs
• L’ATA Center
• L’ATA GTW
Les erreurs connues
Une formation
La gestion des Logs
L’ATA Center:
C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs
L’ATA GTW :
C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs
Une formation
Les erreurs connues
Allons sur ce lien ☺ ! https://docs.microsoft.com/en-us/advanced-threat-analytics/troubleshoot/troubleshooting-ata-known-errors
Une formation
Merci
Une formation
Seyfallah TAGREROUT
Conclusion
Une formation
Bilan
1. Solution ATA et LAB
2. Préparation de l’installation
3. Installation
4. Administration
5. Troubleshooting
Une formation
Ce que nous avons appris
1. Les concept de Microsoft ATA
2. Le design de Microsoft ATA
3. Sont déploiement
4. Son installation avec plusieurs scenarios
5. Sécuriser son environnement active directory et son système d’information
A vous de jouer !