Microsoft Advanced Threat Analytics (ATA) : La cybersécurité made-in Microsoft pour protéger Active Directory [2/5]


Dans le premier article de notre série consacrée à ATA nous avons évoqué les fonctions globales du produit, maintenant voyons comment réaliser une installation et comment réaliser une mise à jour avec des patchs ATA sur une version existante.

Installation de Microsoft ATA

Cet article est réalisé avec la version 1.8.6645 de Microsoft ATA disponible en téléchargement sur Microsoft MSDN. Nous réaliserons ensuite une mise à jour de la version disponible sur Microsoft MSDN.

Installation du centre ATA

La première étape consiste à installer l’ATA Center sur un serveur Windows Server dédié.

Copier le contenu de l’ISO dans un répertoire sur le disque dur local et ne pas exécuter l’installation directement depuis l’ISO monté dans le système.

Lancer l’installation en lançant l’application « Microsoft ATA Center Setup ».

Je vous conseille de réaliser l’installation en langue Anglaise et de réaliser une installation sur un OS en Anglais – Microsoft ATA est supporté sur les OS Français et propose une interface applicative en Français, mais comme d’habitude, il est au final plus simple de consulter les différentes documentation en langue Anglaise :

Je vous conseille de choisir le mode où ATA se mettra à jour automatiquement, un message vous indiquera alors dans l’interface les mises à jour disponible, très utile en cas de nouvelle attaque qu’il faut détecter au plus vite :

Par défaut l’installation du programme est réalisée dans le répertoire « C:\Program Files\Microsoft Advanced Threat Analytics\Center » et l’installation de la base de données (MongoDB) dans le répertoire « C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin\data ».

A l’installation, ATA génère des certificats autosignés (pour SSL) qui pourront ensuite être remplacés par des certificats émis de l’autorité de certification de l’organisation. Pour l’installation, je vous conseille fortement de laisser la génération du certificat autosigné.

Cliquer sur le bouton « Install » afin de lancer l’installation :

A la fin de l’installation, cliquer sur le bouton « Launch » :

Comme le certificat autosigné n’est pas reconnu par le navigateur, un message vous avertira sur ce point, prendre l’option « Continue to this website (not recommended) »

La console ATA se lance alors au travers d’un navigateur web :

Il va falloir indiquer quel est le compte de service qui sera utilisé pour se connecter au service d’annuaire. Ce compte de service n’a besoin que d’un accès en lecture seule sur les partitions Active Directory. Indiquer ici Username / Password / Domaine (attention ici il faut préciser le nom FQDN du domaine où se trouve le compte de service, il ne s’agit pas ici du nom du domaine que vous désirez auditer) – Par exemple :

Cliquer sur « Test connection » pour s’assurer que les éléments sont corrects – Il faut obtenir le message suivant en retour « Connection succeeded » tel que :

Puis cliquer sur le bouton « Save » :

Installation de la passerelle ATA

Ensuite l’assistant propose un lien pour télécharger la passerelle ATA – cliquer sur « Download Gateway Setup » :

Puis cliquer sur le bouton « Gateway Setup » pour télécharger la passerelle (Il faut l’enregistrer quelque part sur le disque avant de transférer l’installeur sur le serveur qui servira de passerelle ATA) :

Il y a deux moyens et deux architectures afin d’utiliser la passerelle :

  • La passerelle ATA
  • La passerelle légère ATA

Je vous conseille la lecture de cet article pour bien comprendre la différence entre une « passerelle ATA » et « une passerelle légère ATA » : https://docs.microsoft.com/fr-fr/advanced-threat-analytics/ata-architecture

Dans la suite de cet article nous utiliserons dans un premier temps le mode avec la passerelle légère ATA, qui devra être installée sur les contrôleurs de domaine du domaine Active Directory.

Copier le package « Microsoft ATA Gateway Setup.zip » sur un contrôleur de domaine et décompresser l’archive – L’archive contient le programme d’installation de la passerelle ainsi que les fichiers de paramètres de configuration contenant les informations requises pour se connecter au centre ATA :

Exemple de contenu pour le fichier Json de configuration :

Lancer l’installation de la passerelle légère sur le contrôleur de domaine en exécutant « Microsoft ATA Gateway Setup.exe »:

Si les prérequis matériels en termes de puissance machine ne sont pas présents, il y aura un message d’avertissement mais il est tout de même possible d’ignorer ces messages et de réaliser l’installation en cliquant sur le bouton « Next » :

Choisir l’emplacement de l’installation de la passerelle légère (par défaut dans le chemin « C:\Program Files\Microsoft Advanced Threat Analytics\Gateway ») et cliquer sur le bouton « Install » :

Pour information, lors du déploiement de la passerelle légère ATA, il ne faut pas fournir des informations d’authentification supplémentaires – mais si l’installation de la passerelle ATA ne parvient pas à récupérer les informations d’authentification à l’aide de l’authentification unique (par exemple, cela peut se produire si le serveur hébergeant le centre ATA n’est pas dans le même domaine) alors il faut fournir les informations d’authentification telles que :

L’installation se déroule :

Cliquer sur le bouton « Finish » à la fin de l’installation :

Deux services ont été installé sur le contrôleur de domaine :

Au niveau de la console ATA, la passerelle légère est maintenant visible :

Cliquer sur le nom de la passerelle (ici WINDC01) pour la configurer :

Dans le cadre d’une passerelle légère, l’option « Contrôleurs de domaine de port d’écoute » n’est pas disponible.

Il est possible de rajouter une description facultative dans le champs « Description ».

Le nom FQDN du contrôleur de domaine n’est pas modifiable dans le champs « Domain Controller (FQDN) ».

Il est possible de sélectionner les adaptateurs réseau de la passerelle légère dans le champs « Capture network adapters » – ici il faut impérativement sélectionner toutes les cartes qui sont susceptibles de communiquer avec le réseau d’entreprise depuis et vers le contrôleur de domaine, sous peine de ne pas voir une partie du trafic et donc de louper des activités malicieuses.

L’option « Domain synchroniser candidate » permet de définir si la passerelle légère sera responsable ou non de la synchronisation entre ATA et le domaine Active Directory, cette action permet à ATA de recueillir des informations sur l’environnement Active Directory. Toute passerelle ATA peut être définie comme candidat synchronisateur de domaine, néanmoins si le contrôleur de domaine est un RODC (lecture seule de la base de données Active Directory) il ne faut pas le définir comme candidat synchronisateur de domaine.

A la fin des choix d’options, cliquer sur le bouton « Save ».

Le statut de la passerelle apparaitra alors comme tel :

Mise à jour des composants ATA

Dans la section « Update » il est possible de définir si les passerelles légères se mettent à jour automatiquement et si le contrôleur de domaine doit être redémarré automatiquement après une mise à jour de la passerelle légère. Ces deux paramètres sont soit globaux (appliqués à toutes les passerelles ATA légères) soit gérés passerelle par passerelle :

Régulièrement, le centre ATA va obtenir des informations envoyées par la passerelle légère et enrichir petit à petit la découverte de l’environnement :

En sélectionnant la flèche bleue qui est en haut à droite, on peut vérifier s’il y a des mises à jour pour Microsoft ATA :

Par exemple, l’update 1 pour Microsoft ATA v.1.8 est disponible ici : https://www.microsoft.com/en-us/download/details.aspx?id=55536 et des explications sur les nouveautés sont consultables ici : https://support.microsoft.com/en-us/help/4032180/description-of-microsoft-advanced-threat-analytics-v1-8-including

Lancer l’installation :

Généralement, si l’espace disque le permet, l’idéal est de migrer l’intégralité de la base de données, pendant la mise à jour, le service ATA sera indisponible et ne recevra pas les informations provenant des passerelles légères ou passerelles ATA :

En cliquant sur le bouton « Update », la mise à jour se lance :

A la fin du processus de mise à jour, il est possible de relancer le centre ATA en cliquant sur le bouton « Launch » :

Il est possible d’installer localement le certificat auto-signé du centre ATA afin de ne plus avoir de message d’avertissement de la part du navigateur web – cliquer sur le certificat dans la barre du navigateur, puis sur « View certificates » :
Cliquer ensuite sur le bouton « Install Certificate… »

Microsoft ATA est maintenant installé et à jour. Dans notre prochain article, nous évoquerons la partie paramétrage de Microsoft ATA.