Print Friendly, PDF & Email
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

Microsoft Advanced Threat Analytics

Microsoft ATA est un produit permettant de détecter les attaques en profondeur et d'avertir le personnel en cas d'attaque. Il est constaté qu'une attaque en cours peut être mené durant plus de 200 jours avant d'être détecter!!! Microsoft ATA effectu une analyse comportementale des comptes sur le réseau. Pour cela, il a besoin de trois semaines d'analyse avant d'être pleinement opérationnel.

Ses atouts sont principalement:

  • Décèle les activité suspectes dans le système et établi des profils. Microsoft ATA est capable d'identifier les attaques avancées et connues.
  • Microsoft ATA apprend continuellement des utilisateurs et ressources et il s'adapte aux modifications de la société
  • Génère des rapports clairs en identifiant clairement qui a fait quoi où et comment. Il fournit des conseils face à la menace.
  • Microsoft ATA limite les fausses alertes en regroupant les activités suspectes de manière contextuelle pour vérifier leurs agissements.

Préparation

Préparation

La première chose a éffectuer avant tout oubli et de mettre en miroir les ports sur les contrôleurs de domaine en concordance avec le serveur ATA.

La machine Microsoft ATA devra necessairement avoir 2 cartes réseaux

Editez les paramètres de la VM ATA et sur la carte réseau effectuant la capture, allez dans les fonctionnalités avancées de la dite carte et définissez le mode de mise en mirroir sur "Destination".

ata26

Editez les paramètres de la VM contrôleur de domaine et sur la carte réseau effectuant la capture, allez dans les fonctionnalités avancées de la dite carte et définissez le mode de mise en mirroir sur "Source".

ata27

Installation

Installation

Avant de procéder à l'installation proprement dite, Microsoft recommande de mettre à jour le serveur et notament d'installer la mise à jour KB2934520 sur les serveurs ATA, faute de quoi un redémarrage sera requi lors de l'installation de Microsoft Advanced Threat Analytics.

Une fois téléchargé dans le centre d'évaluation technet,Lancez l'installation...

L'assistant d'installation installe et paramètre les éléments suivants:

  • Internet Information Services (IIS)
  • Une base de donnée MongoDB
  • Le centre de service ATA ainsi que la console de gestion IIS ATA
  • Les compteurs de performances ATA
  • Les certificats auto-signés si sélectionnés lors de l'installation

Si jamais vous rencontrez un problème lors de l'installation, le journal ce trouve dans %programfiles%\Microsoft Advanced Threat Analytics\Center\Logs.

Le poste microsoft ATA dispose de deux IPs fixe, 192.168.2.11 et 192.168.2.12

L'installation de Microsoft Advanced Threat Analytics devra s'effectuer avec un compte d'utilisateur de domaine classique ayant les droits d'administration locale du serveur Microsoft ATA. Dans mon cas, ce compte est nommé "analytic"

Lancez l'installation

ata19

ata20

Acceptez le contrat

ata21

Soit vous avez déployer un certificat SSL comme moi et vous pourrez le récupérer.

Soit vous sélectionnerez l'option "Créer un certificat auto-signé"

ata22

ata23

ata24

ata25

L'installation ne prend que 5 minutes, vous pouvez vous loguez avec le compte  "analytic"

ata1

Installation de la passerelle ATA

Installation de la passerelle ATA

A présent, vous allez devoir installer la passerelle ATA dont son rôle est de faire la liaison entre votre domaine et Microsoft ATA.

Avant de procéder à l'installation de la passerelle ATA, assurez-vous de la présence de la mise à jour kb2919355 à l'aide de la commande powershell suivante:

Get-HotFix -Id kb2919355

Lassistant d'installation va paramétrer les éléments suivants:

  • Le service passerell ATA
  • Microsoft Visual C++ 2013 Redistributable
  • Les compteurs de performances

Vérifiez que :

  • Le premier contrôleur de domaine ne soit pas un RODC. Les RODC ne doivent être ajoutés qu'a l'issue d'une première synchronisation réussie.
  • Au moins un des contrôleur de domaine présent dans la liste doit être un serveur de catalogue globale.
  • Renseignez un compte du domaine. Vous pouvez reprendre le compte créé précédement pour installer Microsoft ATA.
  • ata3

Après avoir cliqué sur le lien de téléchargement, dézippez le fichier est lancez l'installation de la passerelle.

ata4

ata5

ata6

L'assistant vous guide

ata7

Renseignez la partie certificat et login

ata8

ata9

Maintenant que la passerelle est installée, il reste à la configurée.

ata10

Renseignez les différents contrôleurs de domaines ainsi que la carte réseau pour laquelle vous avez configuré la mise en miroir des ports. Ici, ma carte réseau à deux IPs...

ata11

Une fois la passerelle ATA paramétrée, cette dernière va se synchoniser avec votre Active Directory. Cela peut prendre quelques minutes.

ata13

Réglages complémentaires

Réglages complémentaires

Centre ATA

Retrouvez vos paramétrages

ata14

Détection

Indiquez ici les cas spécifiques ou exeptions

ata34

Alertes

La possibilitée de renseigner les paramètres de messagerie

ata16

Voir d'un serveur syslog

ata17

Gestion des licences

ata18

Vérification

Vérification

Vous pouvez analyser l'état de "santé" des comptes Active Directory

ata30

ata 20

Et vérifier si besoin les activités suspectes lié à ce compte.

ata33

Détection d'attaque

Détection d'attaque

De type DNS

Voici le genre de rapport qui peut être générer lors d'une attaque de type DNS

ATA 1 1

La possibilité d'y insérer un commentaire

ATA 1 2

Le fait d'enregistrer valide ou pas si l'origine de l'attaque est "normal" ou pas

ATA 1 3

Vous avez la possibilité de visualiser les détails

ATA 1 4

ATA 1 5

ATA 1 6

De type Pass The Hash

Voici la commande lancé à partir de KALI

ATA 2 4

La tentative détectée

ATA 2 1

ATA 2 2

ATA 2 3

Print Friendly, PDF & Email