{"id":1992,"date":"2017-11-26T19:35:43","date_gmt":"2017-11-26T17:35:43","guid":{"rendered":"http:\/\/www.identitycosmos.com\/?p=1992"},"modified":"2017-11-26T19:35:43","modified_gmt":"2017-11-26T17:35:43","slug":"microsoft-advanced-threat-analytics-ata-la-cybersecurite-made-in-microsoft-pour-proteger-active-directory-15","status":"publish","type":"post","link":"https:\/\/identitycosmos.com\/index.php\/2017\/11\/26\/microsoft-advanced-threat-analytics-ata-la-cybersecurite-made-in-microsoft-pour-proteger-active-directory-15\/","title":{"rendered":"Microsoft Advanced Threat Analytics (ATA) : La cybers\u00e9curit\u00e9 made-in Microsoft pour prot\u00e9ger Active Directory [1\/5]"},"content":{"rendered":"<p><strong>Je commence ici une s\u00e9rie d&#8217;articles sur Microsoft ATA. Nous allons d\u00e9couvrir ensemble rapidement quels sont les objectifs de Microsoft ATA, d\u00e9crire l&#8217;installation et le param\u00e9trage de base. Nous verrons ensuite comment param\u00e9trer certaines fonctions plus avanc\u00e9es puis nous r\u00e9aliserons des attaques de tests pour v\u00e9rifier le bon fonctionnement.<\/strong><\/p>\n<h1>Pr\u00e9sentation de Microsoft Advanced Threat Analytics (ATA)<\/h1>\n<p>Microsoft Advanced Threat Analytics (ATA) est une plateforme locale qui aide \u00e0 prot\u00e9ger votre entreprise contre plusieurs types d&#8217;attaques informatiques cibl\u00e9es et de menaces internes avanc\u00e9es.<\/p>\n<p>Microsoft ATA fournit des fonctionnalit\u00e9s de d\u00e9tection pour les diff\u00e9rentes phases d&#8217;une attaque avanc\u00e9e : reconnaissance, compromission des informations d&#8217;authentification, mouvement lat\u00e9ral, \u00e9l\u00e9vation des privil\u00e8ges, contr\u00f4le du domaine, etc. Les attaques avanc\u00e9es et les menaces internes peuvent ainsi \u00eatre d\u00e9tect\u00e9es avant de pouvoir causer des dommages dans l&#8217;organisation. Chaque type de d\u00e9tection correspond \u00e0 un ensemble d&#8217;activit\u00e9s suspectes li\u00e9es \u00e0 la phase en question, chacune de ces activit\u00e9s correspondant elle-m\u00eame \u00e0 diff\u00e9rents types d&#8217;attaques possibles. Les phases de la \u00ab kill-chain \u00bb o\u00f9 ATA fournit une d\u00e9tection sont mises en surbrillance dans l&#8217;image suivante :<\/p>\n<p><img decoding=\"async\" src=\"http:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/11\/112617_1735_MicrosoftAd1.jpg\" alt=\"\" \/><\/p>\n<p><!--more--><\/p>\n<h2>Ce que fait Microsoft ATA<\/h2>\n<p>ATA s&#8217;appuie sur un moteur d&#8217;analyse r\u00e9seau propri\u00e9taire pour capturer et analyser le trafic r\u00e9seau de plusieurs protocoles (comme Kerberos, DNS, RPC, NTLM et d&#8217;autres) pour l&#8217;authentification, l&#8217;autorisation et la collecte d&#8217;informations. Ces informations sont collect\u00e9es par ATA via :<\/p>\n<ul>\n<li>La mise en miroir des ports des contr\u00f4leurs de domaine et des serveurs DNS vers la passerelle ATA et\/ou<\/li>\n<li>Le d\u00e9ploiement d&#8217;une passerelle l\u00e9g\u00e8re ATA directement sur les contr\u00f4leurs de domaine<\/li>\n<\/ul>\n<p>ATA prend les informations de plusieurs sources de donn\u00e9es, comme les journaux et les \u00e9v\u00e9nements du r\u00e9seau, pour apprendre le comportement des utilisateurs et autres entit\u00e9s de l&#8217;organisation, puis g\u00e9n\u00e9rer ainsi un profil de leur comportement. ATA peut recevoir des \u00e9v\u00e9nements et des journaux des \u00e9l\u00e9ments suivants :<\/p>\n<ul>\n<li>Int\u00e9gration SIEM<\/li>\n<li>Windows Event Forwarding (WEF)<\/li>\n<li>Directement depuis le collecteur d&#8217;\u00e9v\u00e9nements Windows (pour la passerelle l\u00e9g\u00e8re)<\/li>\n<\/ul>\n<p>La technologie ATA d\u00e9tecte plusieurs activit\u00e9s suspectes, en se focalisant sur diff\u00e9rentes phases de la cha\u00eene de cyber-attaque, notamment :<\/p>\n<ul>\n<li>Les diff\u00e9rentes ressources de reconnaissance, au cours de laquelle des personnes malveillantes recueillir des informations sur la fa\u00e7on dont l&#8217;environnement est construit, sont, et les entit\u00e9s qui existent. Elles \u00e9laborent g\u00e9n\u00e9ralement leur plan pour les prochaines \u00e9tapes de l&#8217;attaque.<\/li>\n<li>Cycle de mouvement lat\u00e9ral, pendant lequel un attaquant investit temps et efforts dans la propagation de sa surface d&#8217;attaque au sein de votre r\u00e9seau.<\/li>\n<li>Dominance (persistance) de domaine, pendant laquelle un attaquant capture les informations lui permettant de reprendre sa campagne \u00e0 l&#8217;aide de diff\u00e9rents ensembles de points d&#8217;entr\u00e9e, d&#8217;informations d&#8217;identification et de techniques.<\/li>\n<\/ul>\n<p>Ces phases d&#8217;une cyber-attaque sont similaires et pr\u00e9visibles, quel que soit le type de soci\u00e9t\u00e9 vis\u00e9 ou le type d&#8217;informations cibl\u00e9. ATA recherche trois principaux types d&#8217;attaques : les attaques malveillantes, le comportement anormal, et les risques et probl\u00e8mes de s\u00e9curit\u00e9.<\/p>\n<p>Les attaques malveillantes sont d\u00e9tect\u00e9es de mani\u00e8re d\u00e9terministe, en recherchant la liste compl\u00e8te des types d&#8217;attaques connus, notamment :<\/p>\n<ul>\n<li>Pass-the-Ticket (PtT)<\/li>\n<li>Pass-the-Hash (PtH)<\/li>\n<li>Overpass-the-Hash<\/li>\n<li>Faux PAC (MS14-068)<\/li>\n<li>Golden Ticket<\/li>\n<li>R\u00e9plications malveillantes<\/li>\n<li>Reconnaissance<\/li>\n<li>Force brute<\/li>\n<li>Ex\u00e9cution \u00e0 distance<\/li>\n<\/ul>\n<p>Via une interface web bien organis\u00e9e, ATA vous fournit un diagnostic tr\u00e8s clair des diff\u00e9rentes attaques d\u00e9tect\u00e9es via une repr\u00e9sentation graphique de l&#8217;attaque \u2013 voici quelques exemples d&#8217;\u00e9crans li\u00e9s \u00e0 une d\u00e9tection d&#8217;activit\u00e9 suspecte\u00a0:<\/p>\n<p><img decoding=\"async\" src=\"http:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/11\/112617_1735_MicrosoftAd2.png\" alt=\"\" \/><\/p>\n<p><img decoding=\"async\" src=\"http:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/11\/112617_1735_MicrosoftAd3.png\" alt=\"\" \/><\/p>\n<p><img decoding=\"async\" src=\"http:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/11\/112617_1735_MicrosoftAd4.png\" alt=\"\" \/><\/p>\n<h2>Architecture et pr\u00e9requis pour Microsoft ATA<\/h2>\n<p>Pour obtenir des informations sur l&#8217;architecture de Microsoft ATA, je vous conseille la lecture de cet article\u00a0: <a href=\"https:\/\/docs.microsoft.com\/fr-fr\/advanced-threat-analytics\/ata-architecture\">https:\/\/docs.microsoft.com\/fr-fr\/advanced-threat-analytics\/ata-architecture<\/a><\/p>\n<p>Pour obtenir des informations sur les pr\u00e9requis li\u00e9s \u00e0 Microsoft ATA, je vous conseille la lecture de cet article\u00a0:<\/p>\n<p><a href=\"https:\/\/docs.microsoft.com\/fr-fr\/advanced-threat-analytics\/ata-prerequisites\">https:\/\/docs.microsoft.com\/fr-fr\/advanced-threat-analytics\/ata-prerequisites<\/a><\/p>\n<p><strong>Lors du prochain article nous verrons ensemble comment installer Microsoft ATA.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Je commence ici une s\u00e9rie d&#8217;articles sur Microsoft ATA. Nous allons d\u00e9couvrir ensemble rapidement quels sont les objectifs de Microsoft ATA, d\u00e9crire l&#8217;installation et le param\u00e9trage de base. Nous verrons ensuite comment param\u00e9trer certaines fonctions plus avanc\u00e9es puis nous r\u00e9aliserons des attaques de tests pour v\u00e9rifier le bon fonctionnement.<br \/>Pr\u00e9sentation de Microsoft Advanced Threat Analytics (ATA)<br \/>Microsoft Advanced Threat Analytics (ATA) est une plateforme locale qui aide \u00e0 prot\u00e9ger votre entreprise contre plusieurs types d&#8217;attaques informatiques cibl\u00e9es et de menaces internes avanc\u00e9es.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,6],"tags":[14,34,132],"class_list":["post-1992","post","type-post","status-publish","format-standard","hentry","category-non-classe","category-strategie","tag-active-directory","tag-ata","tag-kerberos"],"_links":{"self":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/1992","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/comments?post=1992"}],"version-history":[{"count":0,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/1992\/revisions"}],"wp:attachment":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/media?parent=1992"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/categories?post=1992"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/tags?post=1992"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}