Nous allons parler aujourd'hui d'un sujet qui me tient à cœur, Microsoft ATA (Advanced Threat Analytics).
Pour l'avoir déployé chez un très grand compte avec plus de 80 DC dans le monde, ce fut le premier déploiement world wide en Europe.
On le sait tous, la sécurité au niveau des systèmes d'information est un enjeux majeur à tous les niveau, on a pu le voir récemment avec les ransomware ou encore la faille hardware sur les CPU intel.
et cela ne changera pas en 2018, la sécurité devient chaque jour de plus en plus importante, mais malheureusement plusieurs négligent cette sécurité afin de faire des économies ... mauvais calcule !! que ça soit le patch management ou encore les outils de sécurité, les décideurs IT devront investir afin de protéger l’intégrité de leur données, que ça soit on prem et même cloud (vu que nous connaissons une forte demande d'aller vers le cloud, que ça soit office 365 ou encore les application en mode Saas )
Ces chiffres de 2017 le prouvent :
- Les coûts des dommages liée à la cybercriminalité atteindront 6 000 milliards de dollars par an d'ici 2021, contre 3 000 en 2016.
- Les dépenses mondiales en cybercriminalité dépasseront 1 000 milliards de dollars de en 2021
- Le nombre individus susceptibles d’être attaqués atteindra 6 milliards d'ici 2022
- Les cout des dommages causés par les ransomware au plan mondial devraient dépasser 5 milliards de dollars en 2017
source: https://www.cio-online.com/actualites/lire-les-5-chiffres-cles-sur-la-cybersecurite-en-2017-9841.html
1- Introduction - Microsoft ATA :
Microsoft Advanced Threat Analytics est une solution Microsoft
qui fait partie de la suite EMS (Entreprise
Mobility + Security) qui va vous aider à protéger votre
système d'information dans sa globalité en se basant sur un élément
essentiel d’une organisation qui est l’annuaire active directory.
ATA se base essentiellement
sur le trafic active directory local de l’organisation pour fonctionner, mais
pas que, il est aussi capable de prendre plusieurs informations provenant de
plusieurs sources de données tels que les journaux d'evènement Windows, ou
depuis un SIEM par exemple.
En d’autres termes, Microsoft
ATA utilise un moteur d’analyse réseau propriétaire qui lui permet de capturer
et d’analyser le trafic réseau de plusieurs protocoles :
- Kerberos
- RPC, DNS
- NTLM,
- LDAP etc
Une fois le trafic capturé, il
est capable grâce à du machine Learning d’analyser le comportement des
utilisateurs, des machines et de toutes les entités qui consistent votre
système d’information pour vous alerter en cas d’attaques informatique.
Microsoft ATA est capable de
détecter toutes sortes d’attaque informatique connue de nos jours. Il est capable
de briser les chaines de cycber attaques
qui se compose en trois étapes :
- Reconnaissance : Générale, c’est la première
phase, ou l’attaquant essai d’avoir des informations sur votre environnement
interne (c’est-à-dire apprendre votre
architecture, voir les composants que vous possédez)
- Mouvement latéral : L’attaquant dans cette étape
va se propager et s’étendre sa surface d’attaques au sein du système
d’information
- Persistance : Cette phase permet à
l’attaquant de capturer toutes les informations prises au niveau du système
d’information et de capitaliser afin de reprendre son attaque différemment
Ces 3 étapes, sont importantes
et si elles sont réalisées, en générale elles font de gros dégâts au niveau des
systèmes d’information, de plus, se remettre d’une attaque informatique peut
être douloureux financièrement pour une entreprise.
ATA détecte et notifie les
trois principaux types d’attaques suivantes :
- Les attaques malveillantes
- Le comportement anormal
- Le risque et problème de
sécurité
Microsoft ATA permet de détecter les types
d’attaques les plus connues :
- Brute Force
- Exécution à distance
- Faux PAC (MS14 -068)
- Pass-the-Ticket
- Pass-the-Hash
- OverPass-The-Hash
- Golden ticket
- Reconnaissance
- Réplications anormales des
contrôleurs de domaines
Au niveau des comportements anormaux, il est
capable de détecter :
- Les partages de mots de
passe
- Le mouvement latéral
- Les connexions suspectes et
anormales
- Les Menaces inconnus
Pour finir, comme mentionné plus haut, il est
capable de détecter les risques et problème de sécurité :
- Vulnérabilité des
protocoles que vous utilisez par exemple (LDAP ou lieux de LDAPs , http au
lieux de HTTPs , etc ….)
- Les relations de confiance
rompues (par exemple entre une station de travail et son contrôleur de domaine)
2- Architecture
Microsoft ATA est une solution simple qui se
compose de plusieurs éléments logiciels et hardware, chaque élément est
important pour le bon fonctionnement de la solution.
Microsoft ATA est composée de trois éléments qui sont :
- L’ATA center
- L’ATA Gateway classique
- L’ATA LightWeight Gateway
Comme on peut le voir ci-dessous :
Comme on peut le voir ci-dessous :
L’ATA
Center :
L’ATA center est le cerveau de la solution,
il est là pour gérer dans la globalité l’architecture ATA, il traite les tâches
suivantes :
- Il gère les Gateway
classique ou LightWeight Gateway
- Il permet de mettre à jours
les Gateway
- Il détecte les alertes
- Il analyse les données
provenant des ATA Gateway
- Il fait une analyse
comportemental grâce à l’algorithme d’apprentissage
- Il notifie via la console
ou via par mail en cas d’attaque ou alertes détectée
- Il héberge la console Web ATA
Center
- Il notifie et gère les
alertes
L’infrastructure ATA permet de gérer une seule forêt Active directory à la fois, elle ne permet pas encore la gestion du
Multi-forêt Active Directory.
En revanche, ATA peut gérer le trafic qui
provient de plusieurs domaines qui sont issue d’une même forêt Active
directory.
Si l’on se réfère au schéma, l’ATA center
dispose de plusieurs composants :
Elément
|
Description
|
-
Entity Receiver
|
-
Ce composant permet de
recevoir les données analysées par les ATA Gateway
|
-
Network Activity
Processor
|
-
Traitement de toutes les
activités réseau à chaque lot reçu
|
-
Entity Profiler
|
-
Spécifie un profil sur les
entités unique en fonction du trafic et des
|
-
Detection engine
|
-
La détection ici, utilise
des algorithmes puissants de machine learning afin de faire de l’analyse
comportementale des utilisateurs et détecter les activités suspectes au sein
du réseau
|
-
Center DataCenter client
|
-
Gestion du processus d’écrire
des activités dans la base de données Mongo DB
|
-
DataBase
|
-
C’est la fameuse base de
données Mongo DB qui permet de stocker les activités, les événements, les
activités suspects. Elle stockage bien évidement la configuration de l’ATA
center
|
-
ATA center
|
-
Console Web qui permet
d’administrer la solution ATA mais pas que, elle permet également de
d’afficher les alertes et activités suspects relevés, elle permet également
d’afficher des alertes au niveau infrastructure ATA dans une time line
|
Les composant de Microsoft ATA center en image :
La
Gateway et la LightWeight Gateway :
La Gateway dans ATA est un
élément essentiel également dans l’architecture, puisqu'elle permet de
récupérer le Traffic du réseau de l’entreprise, entre autres celui des domaines
contrôleurs de la forêt Active Directory en question, et les envois à l’ATA center
pour analyse.
L’ATA Gateway permet de
traiter les taches suivantes :
-
Traitement et Transfert les données récupérer à
l’ATA Center
-
Réception des événements Windows via un SIEM ou un
Syslog comme indiqué plus haut
-
Réception des évènements Windows des contrôleurs de
domaine via l’event Log forward
-
Capture et inspection de tout le Traffic des contrôleurs
de domaine, soit via un port Mirroring dans le cas d’une Gateway classique ou
alors directement en local via une LightWeight Gateway, puisse que, celle-ci s’Install
directement sur les contrôleurs de domaine
-
Récupération des données et informations des
utilisateurs, ordinateurs dans l’active directory
-
Surveillance de l’état des Domaine contrôleurs
LightWeight Gateway:
Ceci est une ATA gateway, sauf qu'elle a la particularité d'être installée sur un DC, c'est à dire que ce n'est pas un serveur a part qui envoi le traffic AD à l'ATA center mais directement un DC sur le quel nous avons installé l'agent ATA qui envoi le traffic AD vers l'ATA center, c'est ce qu'on appelle une Passerelle légere en français. On verra mieux plus loin dans l'article la différence entre ces deux élements..
La base de donnée:
Microsoft utilise Mongo DB pour le stockage de plusieurs informations :
- Les activités réseaux
- La configuration de l’infrastructure ATA
- Les événements
- Les activités suspects
Pour plus d'information sur MongoDB : https://www.mongodb.com/fr
Quelques exemples d'alertes Microsoft ATA :
Nous allons voir de facon trés breve quelques notification d'alerte au niveau de plusieurs type d'intrusion comme :
- Remote Execution
- Replication AD malicieuse
- DNS reconnaisance
Quand ATA détecte du Remote exécution :
On peut voir la source de l’exécution à distance, sure quel machine, avec quel compte et surtout sur quel DC ..
Quand ATA détecte une réplication AD non normale :
Quand ATA détecte une reconnaissance DNS d'une machine qui n'est pas un serveur DNS :
On peut voir ici une tentative de lecture de la Zone AD avec une machine non DNS, ce qui est automatiquement alerté au niveau de la console ATA :
@Bientôt
Cordialement,
Seyfallah Tagrerouit
