Upload
seyfallah-tagrerout-mvp
View
261
Download
2
Embed Size (px)
Citation preview
Consultant infrastructure et cloud - Sogeti
Microsoft Advanced Threat AnalyticsSeyfallah Tagrerout
@Tseyf34
Présentation du conférencier
Consultant Infrastruc-ture & Cloud
Microsoft MVP Cloud et Datacenter Management
Communautés :aOS - CMDFormateur
Présentation du conférencier• Me contacter :
[email protected] https://fr.linkedin.com/in/seyfallahtagrerout Blog 1 : https://seyfallah-it.blogspot.fr Blog 2 : http://www.tech-mscloud.com
https://www.youtube.com/user/seyf34
https://channel9.msdn.com/Niners/Seyfallah
Prochaine session La gestion d’identité dans Azure : On fait le point
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
AgendaMicrosoft Advanced Theart Analytics
– Introduction– Présentation
Architecture – Overview– Présentation des
éléments
Planification– Planification– Questions avant
le déploiement
Déploiement– Prérequis– Bonnes
pratiques
Opérations– Utilisation– Gestion des logs– Gestion de la
BDD
Feedback– Déploiement
WorlWide (51 DCs)
1 2 3
4 5 6
MICROSOFT ADVANCED THEART ANALYTICSIntroduction
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Quelques chiffres clés• 81 % des entreprises
Françaises ont été visées par une cyberattaque en 2015
• 5 à 10 % du budget d’une entreprise d’après l’ANSSI
• 9 Semaines, c’est le temps qu’il faut pour retomber sur pattes …
• 35 % des incidents proviennent malgré eux des employés
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Quelques chiffres clés• 800 000 euros ! Pour
s’en remettre en moyenne
• Exemple TV5 Monde : 4.6 Millions d’euros
Source : http://ideas.microsoft.fr/cybersecurite-5-chiffres-cles-a-connaitre/#5iH5RxGrqvu1LzEK.97
MICROSOFT ADVANCED THEART ANALYTICSPrésentation
Azure Information Protection
Protect your data, everywhere
Microsoft Cloud App Security
Azure Active Directory
Detect threats early with
visibility and threat analytics
Advanced Threat Analytics
Extend enterprise-grade security to your cloud and SaaS apps
Intune
Protect your users, devices,
and apps
Manage identity with hybrid integration to protect
application access from identity attacks
Enterprise Mobility +SecurityComment se procurer Microsoft ATA ?
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATA
Machine learning Protection Anticipation Alerts
Achat par Microsoft : Start-up AORATO
Active Directo-ry
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATASinon, que permet Microsoft ATA ? Via une analyse du trafic des DCs …Chaine classique d’une cyber attaque:• Reconnaissance• Mouvement latérale• Persistance
Risques:• Vulnérabilité de
protocole connues• Protocoles faibles• Perte de relation de
confiance
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATATypes d’attaques:• Comportement
anormale • Attaques
malveillants
Types d’attaques malveillants:• Golden Ticket• Reconnaissance • Brut de force• Exécution à distance• OverPAss-The-Hash• Pass-The-Ticket• Pass-The-Hash• ….
Sinon, que permet Microsoft ATA ?
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATAÀ propos du machine Learning dans ATA :
• Connexion anormale sur des ressources
• Mouvement latérale• Menaces inconnues
#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS
Microsoft ATAApports au quotidien :
• Alertes• Robustesse• Protection de l’AD• Prévention
ARCHITECTUREOverview
Architecture
ArchitectureEléments d’architectures• ATA Center • ATA Gateway• ATA LightWeight Gateway• DataBase Mango DB• ATA center Web console• Port mirroring• Syslog , Splunk ..
ARCHITECTUREPrésentation des éléments
ArchitectureL’ATA Center – l’élément centrale de l’architecture …
Architecture• Collecte les évènements • Analyse les évènement • Traitement des évènements• Alertes des activités suspects • Notification via Console + Mail• Console web (d’administration)• Update / opérations et administration• Service Windows :
– Microsoft Advanced Threat Analytics Center
L’ATA Center – l’élément centrale de l’architecture …
Pas de multi-forêts pour l’ATA center ! (pour l’instant …)
ArchitectureL’ATA Gateway – l’autre élément essentiel…
Architecture• .exe d’ATA Gateway installé sur un serveur • Collection du trafic des DCs via le port
mirroring• Récupération des données provenant des
utilisateurs du domaine• Evènements reçus via :
– DC / SIEM / Event Log (forward)• Un ou plusieurs DCs• Deux Services :
– Microsoft Advanced Thread Analytics Gateway – Microsoft Advanced Thread Analytics Gateway updater
L’ATA Gateway – l’autre élément essentiel…
ArchitectureATA LightWeight Gateway
Architecture• Même rôle qu’une Gateway
classique• À l’exception :
– Candidat Synchronisateur de domaine
– Limitation de ressources
L’ATA LightWeight Gateway – l’autre élément essentiel…
ArchitectureL’ATA LightWeight Gateway – l’autre élément essentiel…
Composant qui analyse le CPU + RAM du DCs sur le quel il est installé:– Fréquence d’analyse : toutes les 10 secondes– Minimum 15 % de ressources ….Intelligence au niveau du choix du Traffic a analyser :
ArchitectureData Base MangoDB :Stockage :• La configuration d’ATA• Les activités suspects• Les évènements • L’activité réseau C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin\data\
ArchitectureATA Center Web console – La console d’administration :
ArchitectureUn peu réseau Port Mirroring :
– Port source – Destination
Copie du trafic d’un ou plusieurs port vers un autre port du switch
DEMODécouverte de la Web Console de l’ATA Center PsExec - Honey token – Reconnaissance DNS
PLANIFICATIONCapacity planning
PlanificationDéfinir les besoins en ressources matériels
Outils de dimensionnement :
• Advanced Threat Analytics (ATA) Sizing tool (v2.6.2)– https://gallery.technet.microsoft.com/Advanced-Threat-An
alytics-7371c87f
• Scan tout le trafic au niveau des DCs et aide à :– Quantité de mémoire RAM– CPU – Stockage Data base – ATA Gateway & LightWeight Gateway
PlanificationATA Cen-ter:
ATA Gateway:
ATA LightWeight Ga-teway:
PLANIFICATIONQuestions avant le déploiement
DéploiementLes questions avant de déployer…
Question Choix1 L’ATA center Physique / virtuel
2 Type de passerelle Classique / légère
3 Certificate Via Pki / auto signé
4 SIEM ou WEF SIEM ou WEF
5 WK ou domaine
Sécurité ou management .. ?
DéploiementGateway classique ou LightWeight Gateway ?
• ATA Gateway classique:– Port Mirroring– Prend plusieurs DCs– Plus difficile a détecter– Jusqu’à 50 000 paquet /s
• Scenarios :– Sur les DCs chargés en
trafic
• ATA LightWeight Gateway :– Pas Port Mirroring– Prend un DC à la fois– Facile à détecter sur le Dc– Jusqu’à 10 000 paquet /s
• Scenarios :– RODC– Site distant
DÉPLOIEMENTPrérequis
DéploiementPrérequis | ATA Center• Windows server 2012 R2 / 2016 • Physique ou Virtuel• Compte « accès lecture de
l’annuaire AD »• KB: 2919335• Horloge synchronisée avec les DCs• Au moins une carte réseaux (2 de
préférences)• Joint au domaine ou Workgroup• SSL pour la web console• Certificat auto-signé (installation
service ATA)
Prérequis | ATA Gateway• Windows server 2012 R2 /
2016 / server core• Physique ou Virtuel• KB: 2919335• Configuration Port mirroring
comme destination• Deux interfaces réseaux• Horloge synchronisée avec les
DCs• Domaine ou Workgroup• Pour le DC mini 8 GB de RAM
La RAM + CPU sont défini après l’analyse du trafic avec Advanced Threat Ana-lytics (ATA) Sizing tool
DéploiementPrérequis | ATA Gateway• Spécificité:
– Minimum 10 GB pour les Logs
– Deux cartes réseaux:• Gestion et LAN• Capture du trafic
– IP: 1.1.1.1 /32) no routable / Pas de DNS ni Gateway
DéploiementFlux – Firewall | ATA Center
Protocole Transport Port From Sens
SSL (communication ATA)
TCP 443 Gateway ATA Entrant (Service ATA center)
HTTP TCP 80 Réseau entreprise
Entrant (Web Console)
HTTPs TCP 443 Réseau entreprise
Entrant (Web Console)
SMTP TCP 25 Serveur SMTP Sortant
SMTPS TCP 465 Serveur SMTP Sortant
Syslog TCP 514 Serveur Syslog Sortant
DéploiementFlux – Firewall | ATA Gateway• LDAP en TCP / UDP port : 389 – Sortant• LDAPs en TCP port 636 - Sortant• LDAP vers CG en TCP port 3268 - Sortant• LDAPs vers CG en TCP port 3269 - Sortant• Kerberos en TCP / UDP port 88 - Sortant• NetLogon en TCP / UDP port 445 - Sortant• Horloge Windows en UDP port 123 - Sortant• DNS en TCP et UDP port 53 - Sortant• NTLM sur RPC en TCP port 135 - Sortant• NetBios en UDP port 137 - Sortant• SSL en TCP port 443 / ou custom – Sortant
(IP du service + Ip de la console)• Syslog (facultatif) en UDP port 512 - Sortant
DéploiementFlux – Firewall | ATA LightWeight Gateway
Protocole Transport Port Sens
DNS TCP et UDP 53 Sortant
NTLM sur RPC TCP 135 Sortant
NetBIOS UDP 137 Sortant
SSL TCP 443 Sortant
Syslog UDP 514 Entrant
DÉPLOIEMENTBonnes Pratiques
Déploiement• Pas de nom évident • Être à jours (Patch
management)• ATA center + ATA Gateway
en Workgroup• Utilisation mixte (Ata
Gateway + ATA LightWeight Gateway)
• Utilisation du Honey Token
Bonnes pratiques
DÉMOInstallation d’une passerelle ATA LightWeight Gateway
OPÉRATIONSRBAC | Gestion des Logs | Gestion de la BDD
OpérationsRBAC• 3 rôles:
– ATA administrators– ATA Users– ATA Viewers
Gestion des LogsAta Gateway Logs:• C:\Program Files\Microsoft Advanced Threat
Analytics\Gateway\Logs
ATA Center Log:• C:\Program Files\Microsoft Advanced Threat
Analytics\Center\Logs
OpérationsBDD MangoDB• Répertoire par défaut :C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin\Data
FEEDBACKDesign et déploiement d’une architecture ATA chez un client
FeedbackEnvironnements – Programme Private Preview
• 51 DCs– Un ATA Center (Production)
• 128 GB de RAM / 16 vCPU
• Au niveau des Gateway:• 18 Derrière des Gateway
classiques• 33 via des LightWeight Gateway
– Taille BDD plus de 450 GB– Passage Physique (in Progress…)
• 6 DCs– Un ATA Center (LAB)
• 2 Derrière des Gateway classiques
• 4 via des LightWeight Gateway
CONCLUSION
Conclusion• Sécurité• Anticipation • Facilité
Merci beaucoup à nos sponsors!
Thank you to all our spon-sors!
Join the conversation
#MSCloudSummit@MSCloudSummit
Merci Beaucoup! Thank you!
Join the conversation
#MSCloudSummit@MSCloudSummit