[EMS] Découverte de Advanced Threat Analytics

Cet article est le premier d’une série sur l’offre EMS (Enterprise Mobility + Security). Pour rappel, cette offre regroupe différents outils et technologies liées à la gestion de l’environnement utilisateur que ce soit en environnement cloud, on-premise ou hybride.

Etant donné les évolutions qui ont eu lieu et qui continuent d’arriver sur la gestion des utilisateurs (nomadisme, appareils multiples, arrivée du cloud, mode du « as a service ») il devient plus que pertinent et urgent de se pencher sur les technologies qui permettent d’aborder ces thématiques et d’y répondre de manière intelligente.

Nous allons ici aborder EMS en douceur puisque Advanced Threat Analytics est un produit on-premise. Car oui, EMS ce n’est pas que du cloud.

Présentation d’Advanced Threat Analytics

Advanced Threat Analytics (ATA) qui est devenu en Aout l’un des composants de la suite EMS est un outil (on-premise donc) qui offre une surveillance de la sécurité autour des identités et d’Active Directory.

ATA vient ainsi en complément des traditionnels moyens de défense périmétriques et se positionne ainsi comme une couche de sécurité supplémentaire contre les attaquants qui auraient déjà dérobe des identités ou qui chercheraient à en dérober. Pour faire cela, ATA va s’appuyer sur trois piliers :

  • Analyse comportementale. Grace au machine learning, ATA apprend de vos utilisateurs et de leurs habitudes et vous alertera en cas d’usage suspect (connexion à l’autre bout du monde, accès à des ressources inhabituelles, connexion à des heures inhabituelles…)
  • Analyse d’attaques connue. Grace à des règles de détection ATA peut détecter des attaques classiques liées à AD :
    • Pass the Hash
    • DNS Discovery
    • Brute Force
    • Pass the ticket
  • Analyse de best practices. ATA pourra vous alerter en cas d’usage de protocoles non fiables ou si votre politique de mots de passe est trop faible.

L’une des forces de ATA est ensuite de traiter ces données afin d’éliminer un maximum de faux positifs et ensuite présenter ces données et alertes sous une forme facilement lisible tout en proposant des plans d’actions.

Architecture

En termes d’architecture ATA est relativement simple. L’outil est constitué de deux composants :

  • ATA Center qui centralise, et présente les données
  • ATA Gateway qui collecte les données

Il suffit ensuite de savoir qu’il existe deux types de gateway :

  • La gateway normale, qui écoute le traffic LDAP d’un DC en faisant du port mirroring
  • La gateway légère, qui s’installe directement sur un DC, plus simple à mettre en œuvre mais qui tolère une moins grande charge

Microsoft fournit toutes les abaques concernant le choix du nombre de serveurs (et de leur taille) en fonction du trafic LDAP.

Les machines (Center et Gateway) sont à installer sur du 2012 R2 à minima, qu’il convient bien sûr de mettre à jour (la KB2919355) est importante pour ATA.

La machine ATA center doit avoir 2 interfaces réseau, une pour le service et une pour la console, la gateway doit aussi en avoir 2 : une pour la capture et une pour la connexion avec le center.

Installation

Prérequis

L’installation est plutôt très simple, je vais ici détailler les étapes que j’ai suivies pour mon setup de lab, pour la gestion du port mirroring dans de vrais environnements je vous laisse voir avec vos admins réseau J.

Je vais ici vous montrer comment mettre cela en place entre différentes machines hyper-v, en ayant fait le choix d’une passerelle normale car c’est le cas le plus complexe à mettre en place.

Port Mirroring

Etape

Résultat

Premièrement, activez la capture NDIS Microsoft sur le switch virtuel qui vous servira au port mirroring.

Dans les paramètres avancés de l’interface réseau du DC, définissez votre serveur en source pour le port mirroring.

Mon DC ici possède quatre interfaces car il agit comme routeur entre mes 3 réseaux internes et comme NAT pour l’accès au NET.

Idem pour la gateway, ajoutez-lui une interface sur le même switch que le DC et mettez-la en destination de port mirroring.

Il ne sera pas la peine de donner une IP à cette interface, l’adresse APIPA fera l’affaire.

Et dernier point, sur toutes les interfaces attachées à ce switch (y compris sur d’autres machines) activez l’identification de VLAN.

Pour vérifier le fonctionnement, téléchargez network monitor, démarrez une capture sur l’interface qui va bien et appliquez le filtre « KerberosV5 OR LDAP » à la capture.

Avant d’installer la gateway, désinstallez tout outil de capture de trame (wireshark, network monitor…).

Prérequis AD

Etape

Résultat

Prévoyez deux comptes au moins dans AD.

Un compte « de service » qu’ATA va utiliser pour lire le domaine. Ce compte à besoin de droits de lecture sur l’ensemble de l’AD y compris si possible sur le conteneur « Deleted Objects »

Un compte « HoneyToken », qui fait office d’appât à pirate. Donnez donc lui un nom et des droits évocateurs de la toute-puissance de ce compte et donnez-lui un mot de passe long comme le botin. Tout usage de ce compte sera ensuite directement levé comme une alerte.

Déploiement

Etape

Résultat

Lancez d’abord le setup de votre ATA center.

Choisissez vos paramètres d’installation, pour mon lab j’opterais pour du certificat auto signé et je subirais donc les foudres de mon navigateur lorsque j’accèderais à la console web.

C’est à peu près tout pour l’installation du center.

Vous pouvez ensuite vous connectez à la console car c’est de la que vous allez générer le setup des gateways.

Un assistant nous propose de configurer les points principaux de notre infra.

Commencez par fournir le compte de lecture du domaine.

Si vous avez installé ATA sur des machines en workgroup n’oubliez pas d’ajouter le suffixe DNS de votre domaine dans les paramètres de vos cartes réseau.

La seconde étape consiste à télécharger le setup des passerelles.

Copiez le fichier obtenu sur la passerelle et lancez le setup.

Fournissez-la aussi les paramètres d’installation. Ici comme mes machines sont en workgroup je donne l’administrateur local du ATA center.

L’écran suivant que je n’ai pas capturé vous propose de choisir entre une passerelle normale et une passerelle légère.

Une fois le setup terminé, retournez sur la console web qui vous propose de la configurer.

Là encore la configuration est très simple, définissez le DC à écouter, l’interface d’écoute et choisissez le certificat qui sert à la communication entre la passerelle et le center.

Nous allons maintenant aller dans les paramètres de ATA afin de définir le SID de notre compte HoneyToken.

Je vous laisse ensuite explorer le reste des options, mais tout reste aussi simple dans l’idée (exclusions, notification SMTP…)

Utilisation

A partir ce cet instant la magie du machine learning se met en œuvre, la magie met par contre un bon mois avant de devenir pertinente.

Dans le cadre de mon lab et de sa poignée de comptes je ne suis pas prêt d’avoir quelque chose de probant coté apprentissage mais cela dit nous pouvons tester tout cela en déclenchant des attaques.

Premier test, je me connecte à mon serveur SCCM et je tente un transfert de zone DNS :

Dans la foulée apparait dans la timeline de ATA notre alerte. Comme vous le voyez ATA rend l’information lisible :

Second test, un run-as avec notre compte honeytoken, là aussi une alarme est levée.

Bonnes pratiques

Voici quelques bonnes pratiques liées à ATA :

  • Laissez le center et les gateway en workgroup
  • Ne donnez pas des noms évidents à vos serveur ATA pour ne pas alerter sur la présence du produit
  • Donnez un nom évident et attractif à votre ou vos comptes honeytoken, si ce compte possède réellement des privilèges élevés préparez-vous à être très réactif en cas d’alerte d’usage
  • Mettez à jour et sécurisez vos machines ATA
  • Coupez le site web par défaut IIS sur le Center

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s