Microsoft Advanced Threat Analytics (ATA) : La cybersécurité made-in Microsoft pour protéger Active Directory [2/5]

Dans le premier article de notre série consacrée à ATA nous avons évoqué les fonctions globales du produit, maintenant voyons comment réaliser une installation et comment réaliser une mise à jour avec des patchs ATA sur une version existante.

Installation de Microsoft ATA

Cet article est réalisé avec la version 1.8.6645 de Microsoft ATA disponible en téléchargement sur Microsoft MSDN. Nous réaliserons ensuite une mise à jour de la version disponible sur Microsoft MSDN.

Installation du centre ATA

La première étape consiste à installer l’ATA Center sur un serveur Windows Server dédié.

Copier le contenu de l’ISO dans un répertoire sur le disque dur local et ne pas exécuter l’installation directement depuis l’ISO monté dans le système.

Lancer l’installation en lançant l’application « Microsoft ATA Center Setup ».

Je vous conseille de réaliser l’installation en langue Anglaise et de réaliser une installation sur un OS en Anglais – Microsoft ATA est supporté sur les OS Français et propose une interface applicative en Français, mais comme d’habitude, il est au final plus simple de consulter les différentes documentation en langue Anglaise :

Je vous conseille de choisir le mode où ATA se mettra à jour automatiquement, un message vous indiquera alors dans l’interface les mises à jour disponible, très utile en cas de nouvelle attaque qu’il faut détecter au plus vite :

Par défaut l’installation du programme est réalisée dans le répertoire « C:\Program Files\Microsoft Advanced Threat Analytics\Center » et l’installation de la base de données (MongoDB) dans le répertoire « C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin\data ».

A l’installation, ATA génère des certificats autosignés (pour SSL) qui pourront ensuite être remplacés par des certificats émis de l’autorité de certification de l’organisation. Pour l’installation, je vous conseille fortement de laisser la génération du certificat autosigné.

Cliquer sur le bouton « Install » afin de lancer l’installation :

A la fin de l’installation, cliquer sur le bouton « Launch » :

Comme le certificat autosigné n’est pas reconnu par le navigateur, un message vous avertira sur ce point, prendre l’option « Continue to this website (not recommended) »

La console ATA se lance alors au travers d’un navigateur web :

Il va falloir indiquer quel est le compte de service qui sera utilisé pour se connecter au service d’annuaire. Ce compte de service n’a besoin que d’un accès en lecture seule sur les partitions Active Directory. Indiquer ici Username / Password / Domaine (attention ici il faut préciser le nom FQDN du domaine où se trouve le compte de service, il ne s’agit pas ici du nom du domaine que vous désirez auditer) – Par exemple :

Cliquer sur « Test connection » pour s’assurer que les éléments sont corrects – Il faut obtenir le message suivant en retour « Connection succeeded » tel que :

Puis cliquer sur le bouton « Save » :

Installation de la passerelle ATA

Ensuite l’assistant propose un lien pour télécharger la passerelle ATA – cliquer sur « Download Gateway Setup » :

Puis cliquer sur le bouton « Gateway Setup » pour télécharger la passerelle (Il faut l’enregistrer quelque part sur le disque avant de transférer l’installeur sur le serveur qui servira de passerelle ATA) :

Il y a deux moyens et deux architectures afin d’utiliser la passerelle :

  • La passerelle ATA
  • La passerelle légère ATA

Je vous conseille la lecture de cet article pour bien comprendre la différence entre une « passerelle ATA » et « une passerelle légère ATA » : https://docs.microsoft.com/fr-fr/advanced-threat-analytics/ata-architecture

Dans la suite de cet article nous utiliserons dans un premier temps le mode avec la passerelle légère ATA, qui devra être installée sur les contrôleurs de domaine du domaine Active Directory.

Copier le package « Microsoft ATA Gateway Setup.zip » sur un contrôleur de domaine et décompresser l’archive – L’archive contient le programme d’installation de la passerelle ainsi que les fichiers de paramètres de configuration contenant les informations requises pour se connecter au centre ATA :

Exemple de contenu pour le fichier Json de configuration :

Lancer l’installation de la passerelle légère sur le contrôleur de domaine en exécutant « Microsoft ATA Gateway Setup.exe »:

Si les prérequis matériels en termes de puissance machine ne sont pas présents, il y aura un message d’avertissement mais il est tout de même possible d’ignorer ces messages et de réaliser l’installation en cliquant sur le bouton « Next » :

Choisir l’emplacement de l’installation de la passerelle légère (par défaut dans le chemin « C:\Program Files\Microsoft Advanced Threat Analytics\Gateway ») et cliquer sur le bouton « Install » :

Pour information, lors du déploiement de la passerelle légère ATA, il ne faut pas fournir des informations d’authentification supplémentaires – mais si l’installation de la passerelle ATA ne parvient pas à récupérer les informations d’authentification à l’aide de l’authentification unique (par exemple, cela peut se produire si le serveur hébergeant le centre ATA n’est pas dans le même domaine) alors il faut fournir les informations d’authentification telles que :

L’installation se déroule :

Cliquer sur le bouton « Finish » à la fin de l’installation :

Deux services ont été installé sur le contrôleur de domaine :

Au niveau de la console ATA, la passerelle légère est maintenant visible :

Cliquer sur le nom de la passerelle (ici WINDC01) pour la configurer :

Dans le cadre d’une passerelle légère, l’option « Contrôleurs de domaine de port d’écoute » n’est pas disponible.

Il est possible de rajouter une description facultative dans le champs « Description ».

Le nom FQDN du contrôleur de domaine n’est pas modifiable dans le champs « Domain Controller (FQDN) ».

Il est possible de sélectionner les adaptateurs réseau de la passerelle légère dans le champs « Capture network adapters » – ici il faut impérativement sélectionner toutes les cartes qui sont susceptibles de communiquer avec le réseau d’entreprise depuis et vers le contrôleur de domaine, sous peine de ne pas voir une partie du trafic et donc de louper des activités malicieuses.

L’option « Domain synchroniser candidate » permet de définir si la passerelle légère sera responsable ou non de la synchronisation entre ATA et le domaine Active Directory, cette action permet à ATA de recueillir des informations sur l’environnement Active Directory. Toute passerelle ATA peut être définie comme candidat synchronisateur de domaine, néanmoins si le contrôleur de domaine est un RODC (lecture seule de la base de données Active Directory) il ne faut pas le définir comme candidat synchronisateur de domaine.

A la fin des choix d’options, cliquer sur le bouton « Save ».

Le statut de la passerelle apparaitra alors comme tel :

Mise à jour des composants ATA

Dans la section « Update » il est possible de définir si les passerelles légères se mettent à jour automatiquement et si le contrôleur de domaine doit être redémarré automatiquement après une mise à jour de la passerelle légère. Ces deux paramètres sont soit globaux (appliqués à toutes les passerelles ATA légères) soit gérés passerelle par passerelle :

Régulièrement, le centre ATA va obtenir des informations envoyées par la passerelle légère et enrichir petit à petit la découverte de l’environnement :

En sélectionnant la flèche bleue qui est en haut à droite, on peut vérifier s’il y a des mises à jour pour Microsoft ATA :

Par exemple, l’update 1 pour Microsoft ATA v.1.8 est disponible ici : https://www.microsoft.com/en-us/download/details.aspx?id=55536 et des explications sur les nouveautés sont consultables ici : https://support.microsoft.com/en-us/help/4032180/description-of-microsoft-advanced-threat-analytics-v1-8-including

Lancer l’installation :

Généralement, si l’espace disque le permet, l’idéal est de migrer l’intégralité de la base de données, pendant la mise à jour, le service ATA sera indisponible et ne recevra pas les informations provenant des passerelles légères ou passerelles ATA :

En cliquant sur le bouton « Update », la mise à jour se lance :

A la fin du processus de mise à jour, il est possible de relancer le centre ATA en cliquant sur le bouton « Launch » :

Il est possible d’installer localement le certificat auto-signé du centre ATA afin de ne plus avoir de message d’avertissement de la part du navigateur web – cliquer sur le certificat dans la barre du navigateur, puis sur « View certificates » :
Cliquer ensuite sur le bouton « Install Certificate… »

Microsoft ATA est maintenant installé et à jour. Dans notre prochain article, nous évoquerons la partie paramétrage de Microsoft ATA.

Microsoft Advanced Threat Analytics (ATA) : La cybersécurité made-in Microsoft pour protéger Active Directory [1/5]

Je commence ici une série d’articles sur Microsoft ATA. Nous allons découvrir ensemble rapidement quels sont les objectifs de Microsoft ATA, décrire l’installation et le paramétrage de base. Nous verrons ensuite comment paramétrer certaines fonctions plus avancées puis nous réaliserons des attaques de tests pour vérifier le bon fonctionnement.

Présentation de Microsoft Advanced Threat Analytics (ATA)

Microsoft Advanced Threat Analytics (ATA) est une plateforme locale qui aide à protéger votre entreprise contre plusieurs types d’attaques informatiques ciblées et de menaces internes avancées.

Microsoft ATA fournit des fonctionnalités de détection pour les différentes phases d’une attaque avancée : reconnaissance, compromission des informations d’authentification, mouvement latéral, élévation des privilèges, contrôle du domaine, etc. Les attaques avancées et les menaces internes peuvent ainsi être détectées avant de pouvoir causer des dommages dans l’organisation. Chaque type de détection correspond à un ensemble d’activités suspectes liées à la phase en question, chacune de ces activités correspondant elle-même à différents types d’attaques possibles. Les phases de la « kill-chain » où ATA fournit une détection sont mises en surbrillance dans l’image suivante :

Ce que fait Microsoft ATA

ATA s’appuie sur un moteur d’analyse réseau propriétaire pour capturer et analyser le trafic réseau de plusieurs protocoles (comme Kerberos, DNS, RPC, NTLM et d’autres) pour l’authentification, l’autorisation et la collecte d’informations. Ces informations sont collectées par ATA via :

  • La mise en miroir des ports des contrôleurs de domaine et des serveurs DNS vers la passerelle ATA et/ou
  • Le déploiement d’une passerelle légère ATA directement sur les contrôleurs de domaine

ATA prend les informations de plusieurs sources de données, comme les journaux et les événements du réseau, pour apprendre le comportement des utilisateurs et autres entités de l’organisation, puis générer ainsi un profil de leur comportement. ATA peut recevoir des événements et des journaux des éléments suivants :

  • Intégration SIEM
  • Windows Event Forwarding (WEF)
  • Directement depuis le collecteur d’événements Windows (pour la passerelle légère)

La technologie ATA détecte plusieurs activités suspectes, en se focalisant sur différentes phases de la chaîne de cyber-attaque, notamment :

  • Les différentes ressources de reconnaissance, au cours de laquelle des personnes malveillantes recueillir des informations sur la façon dont l’environnement est construit, sont, et les entités qui existent. Elles élaborent généralement leur plan pour les prochaines étapes de l’attaque.
  • Cycle de mouvement latéral, pendant lequel un attaquant investit temps et efforts dans la propagation de sa surface d’attaque au sein de votre réseau.
  • Dominance (persistance) de domaine, pendant laquelle un attaquant capture les informations lui permettant de reprendre sa campagne à l’aide de différents ensembles de points d’entrée, d’informations d’identification et de techniques.

Ces phases d’une cyber-attaque sont similaires et prévisibles, quel que soit le type de société visé ou le type d’informations ciblé. ATA recherche trois principaux types d’attaques : les attaques malveillantes, le comportement anormal, et les risques et problèmes de sécurité.

Les attaques malveillantes sont détectées de manière déterministe, en recherchant la liste complète des types d’attaques connus, notamment :

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Faux PAC (MS14-068)
  • Golden Ticket
  • Réplications malveillantes
  • Reconnaissance
  • Force brute
  • Exécution à distance

Via une interface web bien organisée, ATA vous fournit un diagnostic très clair des différentes attaques détectées via une représentation graphique de l’attaque – voici quelques exemples d’écrans liés à une détection d’activité suspecte :

Architecture et prérequis pour Microsoft ATA

Pour obtenir des informations sur l’architecture de Microsoft ATA, je vous conseille la lecture de cet article : https://docs.microsoft.com/fr-fr/advanced-threat-analytics/ata-architecture

Pour obtenir des informations sur les prérequis liés à Microsoft ATA, je vous conseille la lecture de cet article :

https://docs.microsoft.com/fr-fr/advanced-threat-analytics/ata-prerequisites

Lors du prochain article nous verrons ensemble comment installer Microsoft ATA.