Les cyberattaques ciblant Active Directory sont de plus en plus complexes, échappant aux méthodes de détection classiques. Ce manque de surveillance proactive expose les entreprises à des violations de données critiques et des interruptions opérationnelles.
Microsoft Advanced Threat Analytics (ATA) utilise le machine learning et l’analyse comportementale pour surveiller en temps réel les activités dans Active Directory, détectant rapidement des menaces comme les attaques par brute force et les exécutions de commandes à distance.
Video Présentation de MS ATA
Notre formateur Seyfallah TAGREROUT présente un webinaire en tant que Microsoft MVP ! L’objectif de ce webinaire est d’introduire la nouvelle formation Microsoft, mais surtout de vous présenter cette solution Microsoft en termes de design, de déploiement, d’administration et de résolution des problèmes.
Dans cet article, nous allons explorer en détail comment Microsoft ATA peut renforcer la sécurité de votre infrastructure tout en anticipant et détectant efficacement les menaces potentielles.
Présentation de Microsoft ATA
Microsoft ATA est conçu pour identifier les activités suspectes dans les systèmes Active Directory. Il permet aux entreprises de protéger leurs données sensibles en détectant des anomalies comportementales.
Découvrez le fonctionnement du produit ATA pour sécuriez mieux votre infra Microsoft
Comment ATA fonctionne pour améliorer la sécurité
Microsoft ATA utilise un moteur d’analyse réseau avancé pour capturer et analyser le trafic de divers protocoles (tels que Kerberos, DNS, RPC, NTLM, etc.) à des fins d’authentification, d’autorisation et de collecte d’informations critiques. Ces données sont récupérées par ATA via :
- La mise en miroir des ports des contrôleurs de domaine et des serveurs DNS vers la passerelle ATA, ou
- Le déploiement d’une passerelle légère ATA (LGW) directement sur les contrôleurs de domaine.
ATA s’appuie sur plusieurs sources de données, telles que les journaux et les événements réseau, pour comprendre le comportement des utilisateurs et des entités de l’organisation, et construire un profil comportemental détaillé. ATA peut recevoir des événements et des journaux via :
- Intégration avec un SIEM,
- Transfert d’événements Windows (WEF),
- Directement à partir du collecteur d’événements Windows (dans le cas de la passerelle légère).
Architecture de Microsoft ATA
L’architecture Advanced Threat Analytics est détaillée dans ce diagramme :
ATA surveille en permanence le trafic réseau de vos contrôleurs de domaine en utilisant la mise en miroir des ports vers une passerelle ATA, que ce soit via des commutateurs physiques ou virtuels.
Lorsque vous déployez la passerelle légère ATA directement sur vos contrôleurs de domaine, l’utilisation de la mise en miroir des ports devient superflue. Par ailleurs, ATA exploite les événements Windows, qui peuvent être directement transférés depuis vos contrôleurs de domaine ou via un serveur SIEM, afin d’analyser les données pour détecter les menaces et les attaques.
Cette section détaille le processus de capture des événements et du trafic réseau, tout en expliquant les fonctionnalités des principaux composants d’ATA : la passerelle ATA, la passerelle légère ATA (qui conserve les mêmes capacités essentielles que la passerelle complète) et le Centre ATA.
Déploiement du Centre ATA
Le Centre ATA est le composant principal de l’architecture ATA. Il peut être déployé sur un serveur distinct ou coexister avec d’autres services en fonction de vos exigences en matière de capacité.
Scénario de Déploiement
Je dispose d’un environnement de production avec une forêt unique et un domaine unique sous Active Directory, avec deux contrôleurs de domaine fonctionnant sous Windows Server 2016. Le périmètre du déploiement d’ATA inclut un Centre ATA fonctionnant sur un serveur Windows Server 2016 séparé, ainsi que des passerelles légères ATA installées sur les deux contrôleurs de domaine.
- Centre ATA : Machine virtuelle avec Windows Server 2016
- Passerelle légère ATA : Contrôleur de domaine 1
- Passerelle légère ATA : Contrôleur de domaine 2
Planification de la Capacité ATA
Avant de déployer ATA dans votre environnement, il est recommandé de procéder à une planification de capacité. Cela permet d’identifier la configuration matérielle nécessaire pour le Centre ATA ainsi que les besoins supplémentaires en CPU ou en mémoire pour les contrôleurs de domaine actuels où vous installez les passerelles légères.
Microsoft a mis à disposition l’outil de dimensionnement ATA Sizing Tool pour effectuer cette planification de capacité.
L’outil de dimensionnement collecte des informations sur les paquets par seconde à partir des contrôleurs de domaine, et il est recommandé de le faire fonctionner pendant au moins 24 heures. L’outil de dimensionnement ATA fournit un rapport en sortie sous format Excel.
Télécharger et Installer le Centre ATA
Le Centre ATA peut être téléchargé depuis le portail de licences en volume, MSDN ou une version d’évaluation Technet. Si vous disposez déjà de licences et que vous installez ATA en production, vous devez le télécharger depuis le portail de licences en volume.
- Connectez-vous au serveur avec un accès administratif.
- Si vous exécutez l’installation depuis Windows Server 2016, il n’y a pas de prérequis nécessaires. Cependant, pour Windows Server 2012R2, vous devez installer le framework .Net 4.5.
- Double-cliquez pour lancer le programme d’installation du Centre ATA et sélectionnez la langue
- Cliquez sur Suivant pour accéder à l’écran des mises à jour Windows
- Sur l’écran Configurer le Centre, vous devez sélectionner un certificat SSL afin d’assurer une communication chiffrée entre les passerelles et le centre. Si vous déployez un environnement de production complet, il est préférable d’utiliser un certificat SSL public. Vous pouvez également utiliser un certificat auto-signé.
Pour installer le Centre ATA avec un certificat auto-signé, cliquez sur Créer un certificat auto-signé et installez-le.
Une fois l’installation achevée, cliquez sur Lancer pour ouvrir la Console ATA et finaliser la configuration depuis la page Configuration.
La page Paramètres Généraux s’ouvrira automatiquement afin de poursuivre la configuration et le déploiement des passerelles ATA.
Comme vous accédez au site via une adresse IP, un avertissement concernant le certificat apparaîtra ; cela est normal, et vous devrez cliquer sur Continuer sur ce site web pour avancer.
Configurer les paramètres de la passerelle ATA
Une fois la passerelle ATA installée, suivez les étapes ci-dessous pour configurer les paramètres de la passerelle ATA.
- Dans la Console ATA, accédez à Configuration puis, sous Système, sélectionnez Passerelles.
- Cliquez sur la passerelle que vous souhaitez configurer et saisissez les informations suivantes :
- Description : Saisissez une description pour la passerelle ATA (facultatif).
- Contrôleurs de domaine à port miroir (FQDN) : (Requis pour la passerelle ATA, cela ne peut pas être modifié pour la passerelle ATA Lightweight). Saisissez le nom de domaine complet (FQDN) de votre contrôleur de domaine et cliquez sur le signe plus pour l’ajouter à la liste. Par exemple, dc01.contoso.com.
Valider les installations
Pour vérifier que la passerelle ATA a été déployée avec succès, suivez les étapes suivantes :
- Vérifiez que le service nommé Passerelle Microsoft Advanced Threat Analytics est en cours d’exécution. Après avoir enregistré les paramètres de la passerelle ATA, le démarrage du service peut prendre quelques minutes.
- Si le service ne démarre pas, consultez le fichier Microsoft.Tri.Gateway-Errors.log situé dans le dossier par défaut suivant :
%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs
et consultez le guide de Dépannage ATA pour obtenir de l’aide. - S’il s’agit de la première passerelle ATA installée, après quelques minutes, connectez-vous à la Console ATA et ouvrez le panneau de notifications en balayant le côté droit de l’écran. Vous devriez voir une liste d’entités récemment apprises dans la barre de notifications sur le côté droit de la console.
- Sur le bureau, cliquez sur le raccourci Microsoft Advanced Threat Analytics pour accéder à la Console ATA. Connectez-vous avec les mêmes informations d’identification que celles utilisées pour installer le Centre ATA.
- Dans la console, effectuez une recherche dans la barre de recherche, par exemple un utilisateur ou un groupe de votre domaine.
- Ouvrez l’Analyseur de performances. Dans l’arborescence performances, cliquez sur Analyseur de performances, puis sur l’icône plus pour Ajouter un compteur. Développez la section Passerelle Microsoft ATA et faites défiler jusqu’à Network Listener PEF Captured Messages/Sec, puis ajoutez-la. Vérifiez ensuite que vous voyez une activité sur le graphique.
Conclusion
Microsoft Advanced Threat Analytics (ATA) est un outil puissant pour sécuriser Active Directory, en détectant les activités suspectes via l’analyse comportementale et le machine learning. Grâce à son architecture flexible, incluant des passerelles légères ou complètes, ATA assure une surveillance en temps réel des menaces telles que le brute force ou l’exécution de commandes à distance. Avec une planification de capacité adéquate et des outils de déploiement efficaces, ATA renforce considérablement la sécurité des infrastructures informatiques.