La sécurité comme on le sait tous est un enjeux très important pour les entreprises. Microsoft propose plusieurs outils afin de vous aider à vous protéger contres les attaques malveillantes, nous allons au travers de cette session découvrir l’outil Azure Advanced Threat Protection qui s’appuie sur le trafic réseau et journaux d’événements des contrôleurs de domaine Activé Directory pour vous protéger. Du design , de l’installation, configuration et simulation d’attaques seront au programme ! Venez nombreux !
Récupération d’un Active Directory: comment repartir en confiance après une c...
Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout
1. Sécuriser son système d’information
avec Azure ATP
Seyfallah Tagrerout
24 octobre 2019 - PARIS
Identity Days 2019
2. 24 octobre 2019 - PARIS
Identity Days 2019
Blog
https://seyfallah-it.blogspot.com
AiM Services
Architect Team
Lead
3. 24 octobre 2019 - PARIS
Identity Days 2019
Microsoft Threat
Protection
• Introduction
• Présentation
Azure ATP
• Introduction
• ATA vs AATP
Planification
• Planification
• Questions avant le
déploiement
Déploiement
• Prérequis
Administration
• RBAC
Conclusion
1 2 4
5 6 7
Architecture
• Overview
• Présentation des
éléments
• ATA vs AATP
3
5. Microsoft Threat Protection
Identity Days 2019
24 octobre 2019 - PARIS
Identities Endpoints User Data Cloud Apps Infrastructure
Users and Admins Devices and Sensors Email messages and
documents
SaaS Applications and
Data Stores
Servers, Virtual
Machines, Databases,
Networks
9. Identity Days 2019
24 octobre 2019 - PARIS
User browses to a
website
Phishing
mail
Opens
attachment
Clicks on a URL
+
Exploitation
& Installation
Command &
Control
Brute force account or
use stolen account credentials
User account
is compromised
Attacker
attempts lateral
movement
Privileged
account
compromised
Domain
compromised
Attacker accesses
sensitive data
Exfiltrate data
Maximize Detection
Azure AD Identity Protection
Identity protection &
conditional access
Cloud App Security
Azure ATP
Azure AD Identity Protection
Identity protection &
conditional access
Identity protection
Extends protection & conditional
access to other cloud apps
11. Azure Advanced Threat Protection
Identity Days 2019
24 octobre 2019 - PARIS
Machine learning Protection Anticipation Alerts
12. Azure Advanced Threat Protection
Identity Days 2019
24 octobre 2019 - PARIS
Sinon, que permet AATP ?
Chaine classique d’une cyber attaque:
• Reconnaissance
• Mouvement latérale
• Persistance
Risques:
• Vulnérabilité de protocole
connues
• Protocoles faibles
• Perte de relation de
confiance
13. Azure Advanced Threat Protection
Identity Days 2019
24 octobre 2019 - PARIS
Account enumeration
Users group membership enumeration
Users & IP address enumeration
Hosts & server name enumeration (DNS)
Pass-the-Ticket
Pass-the-Hash
Overpass-the-Hash
Reconnaissance
!
!
!
Compromised
Credential
Lateral
Movement
Domain
Dominance
Golden ticket attack
DCShadow
Skeleton Key
Remote code execution on DC
Service creation on DC
Brute force attempts
Suspicious VPN connection
Suspicious groups membership modifications
Honey Token account suspicious activities
15. Azure Advanced Threat Protection
Identity Days 2019
24 octobre 2019 - PARIS
High Level
Azure
ATP
Intelligent Security Graph
Contrôleurs de domaine
AD
ANALYZE
US ER
BEHARIO R
INVES TIGATE
AND RES P OND
MO NITO R
ACTIVITIESU S E R S
D E V I C E S
D A T A
DE TECT
& ALERT
16. Identity Days 2019
24 octobre 2019 - PARIS
ATA vs AATP
On premise
MS ATA
Azure ATP
DC
DC
AATP
ATA as a Service
Intégration Cloud App
et MDATP
Workspace – Cloud
Multi-forêts AD
DC Shadow
Evolution continue
ATA Sensor
ATA sensor Standalone
EME E5
ATA
Architecture Prem
Server ATA Center
Une version majeur
par an
Pas de DC Shadow
ATA Gateway et light
gateway
EMS E 3
Microsoft ATA on Prem ou Cloud ?
17. ATA vs AATP
Identity Days 2019
24 octobre 2019 - PARIS
ATA
DC
DC
ATA Center
ATA Gateway
ATA LightGateway
AATP Cloud Service
AATP Sensor
AATP Sensor
Standalone
Azure ATP
22. Architecture
Identity Days 2019
24 octobre 2019 - PARIS
Les composants AATP
• Azure Portal
• Azure ATP Senor
• Azure ATP Sensor Standalone
• Azure ATP Cloud Service
23. Architecture
Identity Days 2019
24 octobre 2019 - PARIS
Azure Portal – tout commence ici …
• Création de l’instance AATP
• Administration des AATP Sensor
• Visualisation des alertes de sécurité
• Visualisation de l’etat de santé des
sensors
• Détection des activités suspicieuses
• Alertes email
• Reporting
• Administration
24. Architecture
Identity Days 2019
24 octobre 2019 - PARIS
AATP Sensor
• Capture et inspection du trafic réseau des contrôleur de domaine AD
• Capture des Windows évents logs depuis les contrôleurs de domaine AD
• Récupère les données utilisateurs et computers depuis l’AD
• Transfert vers l’Azure ATP Cloud Service
• Protection du DC:
• Composant qui analyse le CPU + RAM du DC sur le quel il est installé:
– Fréquence d’analyse : toutes les 10 secondes
– Minimum 15 % de ressources ….
– Un espace est dédié pour l'état de santé des DC + Sensor
25. Architecture
Identity Days 2019
24 octobre 2019 - PARIS
AATP Sensor
• Windows events:
• Authentification NTLM
• Modification des groupes senstifs
• Création de services suspects
• Les IDs concernés :
• 4776,4732,4733,4728,4729,4756,4757,7045, 8004
• Automatique - à condition GPO audit :
• Audit Credential Validation
• Audit Security Group Management
• NTLM - 8004 :
• Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers = Audit All
• Network security: Restrict NTLM: Audit NTLM authentication in this domain = Enable all
• Network security: Restrict NTLM: Audit Incoming NTLM Traffic = Enable auditing for all
accounts
26. Architecture
Identity Days 2019
24 octobre 2019 - PARIS
AATP Sensor – Standalone
• Fonctionnement avec du port mirroring
• Capture et inspection du trafic réseau des contrôleur de domaine AD
• Capture des Windows évents logs depuis les contrôleurs de domaine AD
• Récupère les données utilisateurs et computers depuis l’AD
• Transfert vers l’Azure ATP Cloud Service
• Protection du DC:
• Composant qui analyse le CPU + RAM du DC sur le quel il est installé:
– Fréquence d’analyse : toutes les 10 secondes
– Minimum 15 % de ressources ….
– Un espace est dédié pour l'état de santé des DC + Sensor
27. Architecture
Identity Days 2019
24 octobre 2019 - PARIS
AATP Sensor vs AATP Sensor Standalone
Sensor type Benefits Cost Deployment topology Domain controller
use
Azure ATP
sensor
Installation sur le DC, pas
besoin de port mirroring ni de
serveur intermédiaire
Lower Installation sur les DC Support jusqu’à
100,000 packets/s
Azure ATP
standalone
sensor
Complique la tâche aux
attaquants
Higher Installation sur un serveur
intermédiaire et
fonctionnement avec du port
Mirroring
Support jusqu’à
100,000 packets/s
30. Planification – capacity planning
Identity Days 2019
24 octobre 2019 - PARIS
Définir les besoins en ressources matériels
Outils de dimensionnement :
• Azure Advanced Threat Protection Sizing Tool - Version 1.3.0.0
• https://gallery.technet.microsoft.com/Azure-Advanced-Threat-a11343c4
• Scan tout le trafic au niveau des DCs et aide à :
• Quantité de mémoire RAM
• CPU
• Stockage Data base
• ATA Gateway & LightWeight Gateway
31. Planification – capacity planning
Identity Days 2019
24 octobre 2019 - PARIS
Définir les besoins en ressources matériels
32. Planification – capacity planning
Identity Days 2019
24 octobre 2019 - PARIS
Définir les besoins en ressources matériels
Questions:
• ATA ou AATP ?
• Si AATP
• AATP Sensor ou Standalone ?
• Mode de déploiement
• Silent mode : "Azure ATP sensor Setup.exe" /quiet
NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>"
• Mélange des deux ?
• Envoi des alertes au SIEM ?
34. Prérequis
Identity Days 2019
24 octobre 2019 - PARIS
• EMS E5 ou licence standalone AATP
• Vérifier la connectivité internet sur les DC
• Si proxy _ autorisation des URLs ( Europe par exemple)
triprd1wceun1sensorapi.atp.azure.com
triprd1wceuw1sensorapi.atp.azure.com
• VM vMware – désactiver IPv4 TSO Offload
37. Prérequis
Identity Days 2019
24 octobre 2019 - PARIS
• ATP Sensor :
• Dc sous : Windows Server 2008 R2 SP1, 2012, 2012 R2, 2016 2019
• Si 2019 – installez la KB4487044
• .Net framework 4.7
• RODC supporté
• Communication du Dc vers le cAzure ATP service – ouvrir le 443 et autoriser l’url *.atp.azure.com
• Reste des prérequis :
• https://docs.microsoft.com/en-us/azure-advanced-threat-protection/atp-prerequisites
42. Identity Days 2019
24 octobre 2019 - PARIS
SecOps identity investigation experience
Azure
ATP
Analyse complète de l’identité dans un monde hybride
( Cloud et On-Prem)
Analyse
Comportements des identité sur
les apps cloud
Analyse
risky sign-ins & User Risk
Microsoft
Cloud app
security
Azure AD
Identity
Protection
Analyse
Comportements des identité on-
prem
43. Identity Days 2019
24 octobre 2019 - PARIS
SecOps identity investigation experience
Azure
ATP
Microsoft
Cloud app
security
Azure AD
Identity
Protection
44. Merci à tous nos partenaires !
24 octobre 2019 - PARIS
@IdentityDays #identitydays2019