Consultant infrastructure et cloud - Sogeti

Microsoft Advanced Threat AnalyticsSeyfallah Tagrerout

@Tseyf34

Présentation du conférencier

Consultant Infrastruc-ture & Cloud

Microsoft MVP Cloud et Datacenter Management

Communautés :aOS - CMDFormateur

Présentation du conférencier• Me contacter :

Seyfallah.t@gmail.com https://fr.linkedin.com/in/seyfallahtagrerout Blog 1 : https://seyfallah-it.blogspot.fr Blog 2 : http://www.tech-mscloud.com

https://www.youtube.com/user/seyf34

https://channel9.msdn.com/Niners/Seyfallah

Prochaine session La gestion d’identité dans Azure : On fait le point

#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS

AgendaMicrosoft Advanced Theart Analytics

– Introduction– Présentation

Architecture – Overview– Présentation des

éléments

Planification– Planification– Questions avant

le déploiement

Déploiement– Prérequis– Bonnes

pratiques

Opérations– Utilisation– Gestion des logs– Gestion de la

BDD

Feedback– Déploiement

WorlWide (51 DCs)

1 2 3

4 5 6

MICROSOFT ADVANCED THEART ANALYTICSIntroduction

#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS

Quelques chiffres clés• 81 % des entreprises

Françaises ont été visées par une cyberattaque en 2015

• 5 à 10 % du budget d’une entreprise d’après l’ANSSI

• 9 Semaines, c’est le temps qu’il faut pour retomber sur pattes …

• 35 % des incidents proviennent malgré eux des employés

#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS

Quelques chiffres clés• 800 000 euros ! Pour

s’en remettre en moyenne

• Exemple TV5 Monde : 4.6 Millions d’euros

Source : http://ideas.microsoft.fr/cybersecurite-5-chiffres-cles-a-connaitre/#5iH5RxGrqvu1LzEK.97

MICROSOFT ADVANCED THEART ANALYTICSPrésentation

Azure Information Protection

Protect your data, everywhere

Microsoft Cloud App Security

Azure Active Directory

Detect threats early with

visibility and threat analytics

Advanced Threat Analytics

Extend enterprise-grade security to your cloud and SaaS apps

Intune

Protect your users, devices,

and apps

Manage identity with hybrid integration to protect

application access from identity attacks

Enterprise Mobility +SecurityComment se procurer Microsoft ATA ?

#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS

Microsoft ATA

Machine learning Protection Anticipation Alerts

Achat par Microsoft : Start-up AORATO

Active Directo-ry

#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS

Microsoft ATASinon, que permet Microsoft ATA ? Via une analyse du trafic des DCs …Chaine classique d’une cyber attaque:• Reconnaissance• Mouvement latérale• Persistance

Risques:• Vulnérabilité de

protocole connues• Protocoles faibles• Perte de relation de

confiance

#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS

Microsoft ATATypes d’attaques:• Comportement

anormale • Attaques

malveillants

Types d’attaques malveillants:• Golden Ticket• Reconnaissance • Brut de force• Exécution à distance• OverPAss-The-Hash• Pass-The-Ticket• Pass-The-Hash• ….

Sinon, que permet Microsoft ATA ?

#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS

Microsoft ATAÀ propos du machine Learning dans ATA :

• Connexion anormale sur des ressources

• Mouvement latérale• Menaces inconnues

#MSCloudSummit - MS Cloud Summit Paris 2017 Un événement proposé par Agile.Net, aOS, AZUG FR, CMD, GUSS

Microsoft ATAApports au quotidien :

• Alertes• Robustesse• Protection de l’AD• Prévention

ARCHITECTUREOverview

Architecture

ArchitectureEléments d’architectures• ATA Center • ATA Gateway• ATA LightWeight Gateway• DataBase Mango DB• ATA center Web console• Port mirroring• Syslog , Splunk ..

ARCHITECTUREPrésentation des éléments

ArchitectureL’ATA Center – l’élément centrale de l’architecture …

Architecture• Collecte les évènements • Analyse les évènement • Traitement des évènements• Alertes des activités suspects • Notification via Console + Mail• Console web (d’administration)• Update / opérations et administration• Service Windows :

– Microsoft Advanced Threat Analytics Center

L’ATA Center – l’élément centrale de l’architecture …

Pas de multi-forêts pour l’ATA center ! (pour l’instant …)

ArchitectureL’ATA Gateway – l’autre élément essentiel…

Architecture• .exe d’ATA Gateway installé sur un serveur • Collection du trafic des DCs via le port

mirroring• Récupération des données provenant des

utilisateurs du domaine• Evènements reçus via :

– DC / SIEM / Event Log (forward)• Un ou plusieurs DCs• Deux Services :

– Microsoft Advanced Thread Analytics Gateway – Microsoft Advanced Thread Analytics Gateway updater

L’ATA Gateway – l’autre élément essentiel…

ArchitectureATA LightWeight Gateway

Architecture• Même rôle qu’une Gateway

classique• À l’exception :

– Candidat Synchronisateur de domaine

– Limitation de ressources

L’ATA LightWeight Gateway – l’autre élément essentiel…

ArchitectureL’ATA LightWeight Gateway – l’autre élément essentiel…

Composant qui analyse le CPU + RAM du DCs sur le quel il est installé:– Fréquence d’analyse : toutes les 10 secondes– Minimum 15 % de ressources ….Intelligence au niveau du choix du Traffic a analyser :

ArchitectureData Base MangoDB :Stockage :• La configuration d’ATA• Les activités suspects• Les évènements • L’activité réseau C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin\data\

ArchitectureATA Center Web console – La console d’administration :

ArchitectureUn peu réseau Port Mirroring :

– Port source – Destination

Copie du trafic d’un ou plusieurs port vers un autre port du switch

DEMODécouverte de la Web Console de l’ATA Center PsExec - Honey token – Reconnaissance DNS

PLANIFICATIONCapacity planning

PlanificationDéfinir les besoins en ressources matériels

Outils de dimensionnement :

• Advanced Threat Analytics (ATA) Sizing tool (v2.6.2)– https://gallery.technet.microsoft.com/Advanced-Threat-An

alytics-7371c87f

• Scan tout le trafic au niveau des DCs et aide à :– Quantité de mémoire RAM– CPU – Stockage Data base – ATA Gateway & LightWeight Gateway

PlanificationATA Cen-ter:

ATA Gateway:

ATA LightWeight Ga-teway:

PLANIFICATIONQuestions avant le déploiement

DéploiementLes questions avant de déployer…

Question Choix1 L’ATA center Physique / virtuel

2 Type de passerelle Classique / légère

3 Certificate Via Pki / auto signé

4 SIEM ou WEF SIEM ou WEF

5 WK ou domaine

Sécurité ou management .. ?

DéploiementGateway classique ou LightWeight Gateway ?

• ATA Gateway classique:– Port Mirroring– Prend plusieurs DCs– Plus difficile a détecter– Jusqu’à 50 000 paquet /s

• Scenarios :– Sur les DCs chargés en

trafic

• ATA LightWeight Gateway :– Pas Port Mirroring– Prend un DC à la fois– Facile à détecter sur le Dc– Jusqu’à 10 000 paquet /s

• Scenarios :– RODC– Site distant

DÉPLOIEMENTPrérequis

DéploiementPrérequis | ATA Center• Windows server 2012 R2 / 2016 • Physique ou Virtuel• Compte « accès lecture de

l’annuaire AD »• KB: 2919335• Horloge synchronisée avec les DCs• Au moins une carte réseaux (2 de

préférences)• Joint au domaine ou Workgroup• SSL pour la web console• Certificat auto-signé (installation

service ATA)

Prérequis | ATA Gateway• Windows server 2012 R2 /

2016 / server core• Physique ou Virtuel• KB: 2919335• Configuration Port mirroring

comme destination• Deux interfaces réseaux• Horloge synchronisée avec les

DCs• Domaine ou Workgroup• Pour le DC mini 8 GB de RAM

La RAM + CPU sont défini après l’analyse du trafic avec Advanced Threat Ana-lytics (ATA) Sizing tool

DéploiementPrérequis | ATA Gateway• Spécificité:

– Minimum 10 GB pour les Logs

– Deux cartes réseaux:• Gestion et LAN• Capture du trafic

– IP: 1.1.1.1 /32) no routable / Pas de DNS ni Gateway

DéploiementFlux – Firewall | ATA Center

Protocole Transport Port From Sens

SSL (communication ATA)

TCP 443 Gateway ATA Entrant (Service ATA center)

HTTP TCP 80 Réseau entreprise

Entrant (Web Console)

HTTPs TCP 443 Réseau entreprise

Entrant (Web Console)

SMTP TCP 25 Serveur SMTP Sortant

SMTPS TCP 465 Serveur SMTP Sortant

Syslog TCP 514 Serveur Syslog Sortant

DéploiementFlux – Firewall | ATA Gateway• LDAP en TCP / UDP port : 389 – Sortant• LDAPs en TCP port 636 - Sortant• LDAP vers CG en TCP port 3268 - Sortant• LDAPs vers CG en TCP port 3269 - Sortant• Kerberos en TCP / UDP port 88 - Sortant• NetLogon en TCP / UDP port 445 - Sortant• Horloge Windows en UDP port 123 - Sortant• DNS en TCP et UDP port 53 - Sortant• NTLM sur RPC en TCP port 135 - Sortant• NetBios en UDP port 137 - Sortant• SSL en TCP port 443 / ou custom – Sortant

(IP du service + Ip de la console)• Syslog (facultatif) en UDP port 512 - Sortant

DéploiementFlux – Firewall | ATA LightWeight Gateway

Protocole Transport Port Sens

DNS TCP et UDP 53 Sortant

NTLM sur RPC TCP 135 Sortant

NetBIOS UDP 137 Sortant

SSL TCP 443 Sortant

Syslog UDP 514 Entrant

DÉPLOIEMENTBonnes Pratiques

Déploiement• Pas de nom évident • Être à jours (Patch

management)• ATA center + ATA Gateway

en Workgroup• Utilisation mixte (Ata

Gateway + ATA LightWeight Gateway)

• Utilisation du Honey Token

Bonnes pratiques

DÉMOInstallation d’une passerelle ATA LightWeight Gateway

OPÉRATIONSRBAC | Gestion des Logs | Gestion de la BDD

OpérationsRBAC• 3 rôles:

– ATA administrators– ATA Users– ATA Viewers

Gestion des LogsAta Gateway Logs:• C:\Program Files\Microsoft Advanced Threat

Analytics\Gateway\Logs

ATA Center Log:• C:\Program Files\Microsoft Advanced Threat

Analytics\Center\Logs

OpérationsBDD MangoDB• Répertoire par défaut :C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin\Data

FEEDBACKDesign et déploiement d’une architecture ATA chez un client

FeedbackEnvironnements – Programme Private Preview

• 51 DCs– Un ATA Center (Production)

• 128 GB de RAM / 16 vCPU

• Au niveau des Gateway:• 18 Derrière des Gateway

classiques• 33 via des LightWeight Gateway

– Taille BDD plus de 450 GB– Passage Physique (in Progress…)

• 6 DCs– Un ATA Center (LAB)

• 2 Derrière des Gateway classiques

• 4 via des LightWeight Gateway

CONCLUSION

Conclusion• Sécurité• Anticipation • Facilité

Merci beaucoup à nos sponsors!

Thank you to all our spon-sors!

Join the conversation

#MSCloudSummit@MSCloudSummit

Merci Beaucoup! Thank you!

Join the conversation

#MSCloudSummit@MSCloudSummit