« L’expérience est une lanterne que l’on porte sur le dos et qui n’éclaire jamais que le chemin parcouru. »
Microsoft ATA est un produit permettant de détecter les attaques en profondeur et d'avertir le personnel en cas d'attaque. Il est constaté qu'une attaque en cours peut être mené durant plus de 200 jours avant d'être détecter!!! Microsoft ATA effectu une analyse comportementale des comptes sur le réseau. Pour cela, il a besoin de trois semaines d'analyse avant d'être pleinement opérationnel.
Ses atouts sont principalement:
La première chose a éffectuer avant tout oubli et de mettre en miroir les ports sur les contrôleurs de domaine en concordance avec le serveur ATA.
La machine Microsoft ATA devra necessairement avoir 2 cartes réseaux
Editez les paramètres de la VM ATA et sur la carte réseau effectuant la capture, allez dans les fonctionnalités avancées de la dite carte et définissez le mode de mise en mirroir sur "Destination".
Editez les paramètres de la VM contrôleur de domaine et sur la carte réseau effectuant la capture, allez dans les fonctionnalités avancées de la dite carte et définissez le mode de mise en mirroir sur "Source".
Avant de procéder à l'installation proprement dite, Microsoft recommande de mettre à jour le serveur et notament d'installer la mise à jour KB2934520 sur les serveurs ATA, faute de quoi un redémarrage sera requi lors de l'installation de Microsoft Advanced Threat Analytics.
Une fois téléchargé dans le centre d'évaluation technet,Lancez l'installation...
L'assistant d'installation installe et paramètre les éléments suivants:
Si jamais vous rencontrez un problème lors de l'installation, le journal ce trouve dans %programfiles%\Microsoft Advanced Threat Analytics\Center\Logs.
Le poste microsoft ATA dispose de deux IPs fixe, 192.168.2.11 et 192.168.2.12
L'installation de Microsoft Advanced Threat Analytics devra s'effectuer avec un compte d'utilisateur de domaine classique ayant les droits d'administration locale du serveur Microsoft ATA. Dans mon cas, ce compte est nommé "analytic"
Lancez l'installation
Acceptez le contrat
Soit vous avez déployer un certificat SSL comme moi et vous pourrez le récupérer.
Soit vous sélectionnerez l'option "Créer un certificat auto-signé"
L'installation ne prend que 5 minutes, vous pouvez vous loguez avec le compte "analytic"
A présent, vous allez devoir installer la passerelle ATA dont son rôle est de faire la liaison entre votre domaine et Microsoft ATA.
Avant de procéder à l'installation de la passerelle ATA, assurez-vous de la présence de la mise à jour kb2919355 à l'aide de la commande powershell suivante:
Get-HotFix -Id kb2919355
Lassistant d'installation va paramétrer les éléments suivants:
Vérifiez que :
Après avoir cliqué sur le lien de téléchargement, dézippez le fichier est lancez l'installation de la passerelle.
L'assistant vous guide
Renseignez la partie certificat et login
Maintenant que la passerelle est installée, il reste à la configurée.
Renseignez les différents contrôleurs de domaines ainsi que la carte réseau pour laquelle vous avez configuré la mise en miroir des ports. Ici, ma carte réseau à deux IPs...
Une fois la passerelle ATA paramétrée, cette dernière va se synchoniser avec votre Active Directory. Cela peut prendre quelques minutes.
Retrouvez vos paramétrages
Indiquez ici les cas spécifiques ou exeptions
La possibilitée de renseigner les paramètres de messagerie
Voir d'un serveur syslog
Vous pouvez analyser l'état de "santé" des comptes Active Directory
Et vérifier si besoin les activités suspectes lié à ce compte.
Voici le genre de rapport qui peut être générer lors d'une attaque de type DNS
La possibilité d'y insérer un commentaire
Le fait d'enregistrer valide ou pas si l'origine de l'attaque est "normal" ou pas
Vous avez la possibilité de visualiser les détails
Voici la commande lancé à partir de KALI
La tentative détectée