Microsoft Advanced Threat Analytics (ATA) : La cybersécurité made-in Microsoft pour protéger Active Directory [3/5]

Dans le premier article de notre série consacrée à ATA nous avons évoqué les fonctions globales du produit, dans la deuxième partie nous avons parcouru toutes les étapes nécessaires à l’installation du produit, maintenant explorons les différents paramétrages et quelques fonctions de cette solution.

Paramétrage de Microsoft ATA

Tableau de bord et menu rapide vers les fonctions principales

Vous pouvez lancer la console web de gestion de Microsoft ATA en utilisant l’icône sur le bureau :

La console web se lance sur la page principale de la solution ATA qui est une espèce de tableau de bord des différentes alertes :

Les trois petits points verticaux en haut en droite de la page permettent d’accéder au menu rapide avec les raccourcis vers les différentes fonctions d’ATA :

  • Timeline : page de Dashboard s’affichant par défaut au lancement d’ATA
  • Reports : page permettant de télécharger des rapports sur les activités au format Excel et de programmer l’envoi de ces mêmes rapports à des responsable sécurité
  • Health : page du Health Center permettant de visualiser et fermer les incidents
  • Configuration : c’est ici que l’on peut paramétrer les différentes options d’ATA
  • Language : c’est ici que l’on peut basculer l’interface en Français, un bon conseil, garder l’interface en Anglais…

Configuration globale – La page de « Configuration »

Pour accéder à la page de configuration globale, utiliser le menu rapide qui est en haut à droite de la page principale :

System / Center

Cette page permet de visualiser ou d’ajouter des URLs permettant d’accéder à la page web ATA pour un administrateur :

System / Gateways

Cette page permet de visualiser les différentes Gateway sur le réseau (= les agents) installées sur les contrôleurs de domaine Active Directory (mode Light Gateway) ou les Gateway classiques ATA – Cette page permet aussi de récupérer le package d’installation d’une Gateway :

System / Updates

Cette page permet d’activer ou désactiver les updates de package pour les Gateway déployées. Imaginons que nous réalisions une mise à jour du package central ATA, avec une mise à disposition d’une nouvelle version de package pour les Gateway, il serait possible d’activer une mise à jour automatique sur les Gateway actuellement déployées :

En production, je ne suis pas certain que le paramètre d’auto-update soit une excellente idée…

Data Sources / Directory Services

Cette page permet de paramétrer le domaine Active Directory qui fournira des informations à ATA ainsi que le compte de service de connexion (si vous ne savez pas ce qu’est un Single label domain, consultez cette page : https://support.microsoft.com/en-us/help/2269810/microsoft-support-for-single-label-domains)

Data Sources / SIEM

Cette page permet d’utiliser une source de données provenant d’un SIEM pour obtenir les évènements depuis les contrôleurs de domaine, de manière indirecte. Si vous pouvez déployer des passerelle Light sur les contrôleurs de domaine, il n’y a à mon avis pas grand intérêt à récupérer en plus des logs provenant d’un SIEM. Par contre, cette fonction est très utile si :

  • Vous avez déjà un SIEM en place
  • Le SIEM actuellement en place réalise la collecte des évènements de vos contrôleurs de domaine (quel que soit le mode, agent, Event Forwarding, etc.)
  • Votre société interdit l’installation d’agent supplémentaire sur les contrôleurs de domaine

Les évènements du SIEM sont envoyés vers la passerelle ATA via Syslog, la passerelle ATA agissant comme serveur Syslog dans ce cas. Si vous voulez en savoir plus sur cette partie, veuillez consulter cette URL : https://docs.microsoft.com/fr-fr/advanced-threat-analytics/install-ata-step6

En fonction des retours que j’aurais sur ce post, il est possible que je réalise un autre post sur ce blog dans quelques semaines qui documentera l’usage de SPLUNK + ATA.

Data Sources / VPN

Non, votre serveur ATA n’est pas un serveur VPN ! Néanmoins il permet d’agréger les informations provenant d’une passerelle VPN afin d’améliorer la corrélation des différents évènements. L’idée est ici d’alimenter ATA avec les informations de connexions VPN entrantes pour les nomade (VPN PC à site). Pour ce, il faut paramétrer votre passerelle VPN pour envoyer des évènements via le protocole RADIUS à une de vos passerelles ATA.

Il est à noter que dans ce cas, votre centre ATA doit pouvoir accéder à Internet et plus particulièrement à ti.ata.azure.com
avec HTTPS (port 443) pour définir les adresses IP externes utilisées. Dans ce cas vous pourrez collectez des données de ce type :

Si vous désirez en savoir plus sur cette fonction, merci de consulter cette URL : https://docs.microsoft.com/fr-fr/advanced-threat-analytics/vpn-integration-install-step

Detection / General

Cette page vous permet de paramétrer des « Honeytoken accounts » – personnellement j’adore cette fonction !

Le principe est ici de créer un compte dans votre annuaire Active Directory afin « d’attirer » des personnes réalisant une attaque vers ces comptes, qu’il s’agisse d’un mouvement latéral ou d’une tentative d’élévation de privilèges (mouvement en escalade). Le principe est de créer un ou plusieurs comptes Active Directory avec des noms évocateurs faisant croire à l’attaquant qu’il a intérêt à faire le focus dessus, si ces comptes sont utilisés ou si il y a des tentatives d’actions dessus, c’est qu’une attaque est en cours.

Si vous voulez en savoir plus sur ce type de comptes, je vous conseille la lecture de ce PDF : http://www.eurecom.fr/fr/publication/1275/download/ce-pougfa-030914b.pdf

Si vous désirez utiliser ces contremesures, je vous conseille d’essayer ce scripts PS permettant d’automatiser la création de ce type de comptes et bien plus : https://github.com/JavelinNetworks/HoneypotBuster

Detection / Exclusions

Quel que soit l’outil de détection, la réponse aux faux positifs est un problème récurrent, cette page vous permettra d’exclure des éléments par type d’attaque afin de ne pas réaliser du bruit sur vos détections d’attaque :

Notifications and Reports / Language

Cette page vous permet de choisir la langue pour les rapports et les notifications. A noter, le choix de cette langue n’affecte pas la langue de l’interface elle-même que nous avons évoqué plus haut :

Notifications and Reports / Notifications

Cette page vous permet de paramétrer deux éléments importants, les comptes ou DLs qui recevront éventuellement un email en cas d’activité suspecte et un serveur Syslog vers lequel envoyé les évènements suspects. A noter, ici ATA agit comme client Syslog, ceci n’a rien à voir avec le fait qu’une passerelle ATA reçoivent des événements au format Syslog pour les transmettre au centre ATA (dans le cas la passerelle ATA agit comme serveur Syslog)

A noter la configuration d’un serveur Syslog de destination nécessite le paramétrage préalable d’un serveur Syslog dans la partie « Syslog Server » que nous verrons plus loin dans Notifications and Reports / Syslog server – donc à ce stade la fonction est ici désactivée et n’est pas paramétrable :

Notifications and Reports / Scheduled reports

Cette page permet de paramétrer à qui doivent être envoyé les rapports d’activité :

A noter que l’usage de cette fonction nécessite d’avoir au préalable paramétrer un serveur de messagerie pour relayer les messages – paramétrage que nous avons dans la section suivante :

Notifications and Reports / Mail server

Cette page vous permet de paramétrer le serveur de messagerie de votre choix :

Notifications and Reports / Syslog server

Cette page vous permet donc de paramétrer un serveur Syslog vers lequel envoyé les éléments collectés par ATA. Si vous n’avez pas de serveur Syslog et que vous êtes sous Windows, je vous conseille Kiwi Server qui est ma référence en ce domaine depuis plus de 10 ans : https://www.solarwinds.com/free-tools/kiwi-free-syslog-server

Voilà ! notre troisième article sur Microsoft ATA est terminé – la prochaine fois nous allons explorer la base de données MongoDB qui se cache derrière ATA et nous réaliserons quelques attaques pour vérifier que notre installation ATA est bien capable de nous aider à combattre les envahisseurs !

Microsoft Advanced Threat Analytics (ATA) : La cybersécurité made-in Microsoft pour protéger Active Directory [2/5]

Dans le premier article de notre série consacrée à ATA nous avons évoqué les fonctions globales du produit, maintenant voyons comment réaliser une installation et comment réaliser une mise à jour avec des patchs ATA sur une version existante.

Installation de Microsoft ATA

Cet article est réalisé avec la version 1.8.6645 de Microsoft ATA disponible en téléchargement sur Microsoft MSDN. Nous réaliserons ensuite une mise à jour de la version disponible sur Microsoft MSDN.

Installation du centre ATA

La première étape consiste à installer l’ATA Center sur un serveur Windows Server dédié.

Copier le contenu de l’ISO dans un répertoire sur le disque dur local et ne pas exécuter l’installation directement depuis l’ISO monté dans le système.

Lancer l’installation en lançant l’application « Microsoft ATA Center Setup ».

Je vous conseille de réaliser l’installation en langue Anglaise et de réaliser une installation sur un OS en Anglais – Microsoft ATA est supporté sur les OS Français et propose une interface applicative en Français, mais comme d’habitude, il est au final plus simple de consulter les différentes documentation en langue Anglaise :

Je vous conseille de choisir le mode où ATA se mettra à jour automatiquement, un message vous indiquera alors dans l’interface les mises à jour disponible, très utile en cas de nouvelle attaque qu’il faut détecter au plus vite :

Par défaut l’installation du programme est réalisée dans le répertoire « C:\Program Files\Microsoft Advanced Threat Analytics\Center » et l’installation de la base de données (MongoDB) dans le répertoire « C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin\data ».

A l’installation, ATA génère des certificats autosignés (pour SSL) qui pourront ensuite être remplacés par des certificats émis de l’autorité de certification de l’organisation. Pour l’installation, je vous conseille fortement de laisser la génération du certificat autosigné.

Cliquer sur le bouton « Install » afin de lancer l’installation :

A la fin de l’installation, cliquer sur le bouton « Launch » :

Comme le certificat autosigné n’est pas reconnu par le navigateur, un message vous avertira sur ce point, prendre l’option « Continue to this website (not recommended) »

La console ATA se lance alors au travers d’un navigateur web :

Il va falloir indiquer quel est le compte de service qui sera utilisé pour se connecter au service d’annuaire. Ce compte de service n’a besoin que d’un accès en lecture seule sur les partitions Active Directory. Indiquer ici Username / Password / Domaine (attention ici il faut préciser le nom FQDN du domaine où se trouve le compte de service, il ne s’agit pas ici du nom du domaine que vous désirez auditer) – Par exemple :

Cliquer sur « Test connection » pour s’assurer que les éléments sont corrects – Il faut obtenir le message suivant en retour « Connection succeeded » tel que :

Puis cliquer sur le bouton « Save » :

Installation de la passerelle ATA

Ensuite l’assistant propose un lien pour télécharger la passerelle ATA – cliquer sur « Download Gateway Setup » :

Puis cliquer sur le bouton « Gateway Setup » pour télécharger la passerelle (Il faut l’enregistrer quelque part sur le disque avant de transférer l’installeur sur le serveur qui servira de passerelle ATA) :

Il y a deux moyens et deux architectures afin d’utiliser la passerelle :

  • La passerelle ATA
  • La passerelle légère ATA

Je vous conseille la lecture de cet article pour bien comprendre la différence entre une « passerelle ATA » et « une passerelle légère ATA » : https://docs.microsoft.com/fr-fr/advanced-threat-analytics/ata-architecture

Dans la suite de cet article nous utiliserons dans un premier temps le mode avec la passerelle légère ATA, qui devra être installée sur les contrôleurs de domaine du domaine Active Directory.

Copier le package « Microsoft ATA Gateway Setup.zip » sur un contrôleur de domaine et décompresser l’archive – L’archive contient le programme d’installation de la passerelle ainsi que les fichiers de paramètres de configuration contenant les informations requises pour se connecter au centre ATA :

Exemple de contenu pour le fichier Json de configuration :

Lancer l’installation de la passerelle légère sur le contrôleur de domaine en exécutant « Microsoft ATA Gateway Setup.exe »:

Si les prérequis matériels en termes de puissance machine ne sont pas présents, il y aura un message d’avertissement mais il est tout de même possible d’ignorer ces messages et de réaliser l’installation en cliquant sur le bouton « Next » :

Choisir l’emplacement de l’installation de la passerelle légère (par défaut dans le chemin « C:\Program Files\Microsoft Advanced Threat Analytics\Gateway ») et cliquer sur le bouton « Install » :

Pour information, lors du déploiement de la passerelle légère ATA, il ne faut pas fournir des informations d’authentification supplémentaires – mais si l’installation de la passerelle ATA ne parvient pas à récupérer les informations d’authentification à l’aide de l’authentification unique (par exemple, cela peut se produire si le serveur hébergeant le centre ATA n’est pas dans le même domaine) alors il faut fournir les informations d’authentification telles que :

L’installation se déroule :

Cliquer sur le bouton « Finish » à la fin de l’installation :

Deux services ont été installé sur le contrôleur de domaine :

Au niveau de la console ATA, la passerelle légère est maintenant visible :

Cliquer sur le nom de la passerelle (ici WINDC01) pour la configurer :

Dans le cadre d’une passerelle légère, l’option « Contrôleurs de domaine de port d’écoute » n’est pas disponible.

Il est possible de rajouter une description facultative dans le champs « Description ».

Le nom FQDN du contrôleur de domaine n’est pas modifiable dans le champs « Domain Controller (FQDN) ».

Il est possible de sélectionner les adaptateurs réseau de la passerelle légère dans le champs « Capture network adapters » – ici il faut impérativement sélectionner toutes les cartes qui sont susceptibles de communiquer avec le réseau d’entreprise depuis et vers le contrôleur de domaine, sous peine de ne pas voir une partie du trafic et donc de louper des activités malicieuses.

L’option « Domain synchroniser candidate » permet de définir si la passerelle légère sera responsable ou non de la synchronisation entre ATA et le domaine Active Directory, cette action permet à ATA de recueillir des informations sur l’environnement Active Directory. Toute passerelle ATA peut être définie comme candidat synchronisateur de domaine, néanmoins si le contrôleur de domaine est un RODC (lecture seule de la base de données Active Directory) il ne faut pas le définir comme candidat synchronisateur de domaine.

A la fin des choix d’options, cliquer sur le bouton « Save ».

Le statut de la passerelle apparaitra alors comme tel :

Mise à jour des composants ATA

Dans la section « Update » il est possible de définir si les passerelles légères se mettent à jour automatiquement et si le contrôleur de domaine doit être redémarré automatiquement après une mise à jour de la passerelle légère. Ces deux paramètres sont soit globaux (appliqués à toutes les passerelles ATA légères) soit gérés passerelle par passerelle :

Régulièrement, le centre ATA va obtenir des informations envoyées par la passerelle légère et enrichir petit à petit la découverte de l’environnement :

En sélectionnant la flèche bleue qui est en haut à droite, on peut vérifier s’il y a des mises à jour pour Microsoft ATA :

Par exemple, l’update 1 pour Microsoft ATA v.1.8 est disponible ici : https://www.microsoft.com/en-us/download/details.aspx?id=55536 et des explications sur les nouveautés sont consultables ici : https://support.microsoft.com/en-us/help/4032180/description-of-microsoft-advanced-threat-analytics-v1-8-including

Lancer l’installation :

Généralement, si l’espace disque le permet, l’idéal est de migrer l’intégralité de la base de données, pendant la mise à jour, le service ATA sera indisponible et ne recevra pas les informations provenant des passerelles légères ou passerelles ATA :

En cliquant sur le bouton « Update », la mise à jour se lance :

A la fin du processus de mise à jour, il est possible de relancer le centre ATA en cliquant sur le bouton « Launch » :

Il est possible d’installer localement le certificat auto-signé du centre ATA afin de ne plus avoir de message d’avertissement de la part du navigateur web – cliquer sur le certificat dans la barre du navigateur, puis sur « View certificates » :
Cliquer ensuite sur le bouton « Install Certificate… »

Microsoft ATA est maintenant installé et à jour. Dans notre prochain article, nous évoquerons la partie paramétrage de Microsoft ATA.

Microsoft Advanced Threat Analytics (ATA) : La cybersécurité made-in Microsoft pour protéger Active Directory [1/5]

Je commence ici une série d’articles sur Microsoft ATA. Nous allons découvrir ensemble rapidement quels sont les objectifs de Microsoft ATA, décrire l’installation et le paramétrage de base. Nous verrons ensuite comment paramétrer certaines fonctions plus avancées puis nous réaliserons des attaques de tests pour vérifier le bon fonctionnement.

Présentation de Microsoft Advanced Threat Analytics (ATA)

Microsoft Advanced Threat Analytics (ATA) est une plateforme locale qui aide à protéger votre entreprise contre plusieurs types d’attaques informatiques ciblées et de menaces internes avancées.

Microsoft ATA fournit des fonctionnalités de détection pour les différentes phases d’une attaque avancée : reconnaissance, compromission des informations d’authentification, mouvement latéral, élévation des privilèges, contrôle du domaine, etc. Les attaques avancées et les menaces internes peuvent ainsi être détectées avant de pouvoir causer des dommages dans l’organisation. Chaque type de détection correspond à un ensemble d’activités suspectes liées à la phase en question, chacune de ces activités correspondant elle-même à différents types d’attaques possibles. Les phases de la « kill-chain » où ATA fournit une détection sont mises en surbrillance dans l’image suivante :

Ce que fait Microsoft ATA

ATA s’appuie sur un moteur d’analyse réseau propriétaire pour capturer et analyser le trafic réseau de plusieurs protocoles (comme Kerberos, DNS, RPC, NTLM et d’autres) pour l’authentification, l’autorisation et la collecte d’informations. Ces informations sont collectées par ATA via :

  • La mise en miroir des ports des contrôleurs de domaine et des serveurs DNS vers la passerelle ATA et/ou
  • Le déploiement d’une passerelle légère ATA directement sur les contrôleurs de domaine

ATA prend les informations de plusieurs sources de données, comme les journaux et les événements du réseau, pour apprendre le comportement des utilisateurs et autres entités de l’organisation, puis générer ainsi un profil de leur comportement. ATA peut recevoir des événements et des journaux des éléments suivants :

  • Intégration SIEM
  • Windows Event Forwarding (WEF)
  • Directement depuis le collecteur d’événements Windows (pour la passerelle légère)

La technologie ATA détecte plusieurs activités suspectes, en se focalisant sur différentes phases de la chaîne de cyber-attaque, notamment :

  • Les différentes ressources de reconnaissance, au cours de laquelle des personnes malveillantes recueillir des informations sur la façon dont l’environnement est construit, sont, et les entités qui existent. Elles élaborent généralement leur plan pour les prochaines étapes de l’attaque.
  • Cycle de mouvement latéral, pendant lequel un attaquant investit temps et efforts dans la propagation de sa surface d’attaque au sein de votre réseau.
  • Dominance (persistance) de domaine, pendant laquelle un attaquant capture les informations lui permettant de reprendre sa campagne à l’aide de différents ensembles de points d’entrée, d’informations d’identification et de techniques.

Ces phases d’une cyber-attaque sont similaires et prévisibles, quel que soit le type de société visé ou le type d’informations ciblé. ATA recherche trois principaux types d’attaques : les attaques malveillantes, le comportement anormal, et les risques et problèmes de sécurité.

Les attaques malveillantes sont détectées de manière déterministe, en recherchant la liste complète des types d’attaques connus, notamment :

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Faux PAC (MS14-068)
  • Golden Ticket
  • Réplications malveillantes
  • Reconnaissance
  • Force brute
  • Exécution à distance

Via une interface web bien organisée, ATA vous fournit un diagnostic très clair des différentes attaques détectées via une représentation graphique de l’attaque – voici quelques exemples d’écrans liés à une détection d’activité suspecte :

Architecture et prérequis pour Microsoft ATA

Pour obtenir des informations sur l’architecture de Microsoft ATA, je vous conseille la lecture de cet article : https://docs.microsoft.com/fr-fr/advanced-threat-analytics/ata-architecture

Pour obtenir des informations sur les prérequis liés à Microsoft ATA, je vous conseille la lecture de cet article :

https://docs.microsoft.com/fr-fr/advanced-threat-analytics/ata-prerequisites

Lors du prochain article nous verrons ensemble comment installer Microsoft ATA.