{"id":2071,"date":"2018-03-24T20:43:03","date_gmt":"2018-03-24T18:43:03","guid":{"rendered":"http:\/\/www.identitycosmos.com\/?p=2071"},"modified":"2018-03-24T20:43:03","modified_gmt":"2018-03-24T18:43:03","slug":"microsoft-advanced-threat-analytics-ata-la-cybersecurite-made-in-microsoft-pour-proteger-active-directory-35","status":"publish","type":"post","link":"https:\/\/identitycosmos.com\/index.php\/2018\/03\/24\/microsoft-advanced-threat-analytics-ata-la-cybersecurite-made-in-microsoft-pour-proteger-active-directory-35\/","title":{"rendered":"Microsoft Advanced Threat Analytics (ATA) : La cybers\u00e9curit\u00e9 made-in Microsoft pour prot\u00e9ger Active Directory [3\/5]"},"content":{"rendered":"

Dans le premier article de notre s\u00e9rie consacr\u00e9e \u00e0 ATA nous avons \u00e9voqu\u00e9 les fonctions globales du produit, dans la deuxi\u00e8me partie nous avons parcouru toutes les \u00e9tapes n\u00e9cessaires \u00e0 l’installation du produit, maintenant explorons les diff\u00e9rents param\u00e9trages et quelques fonctions de cette solution.
\n<\/strong><\/p>\n

Param\u00e9trage de Microsoft ATA<\/h1>\n

Tableau de bord et menu rapide vers les fonctions principales<\/h2>\n
\n\n\n\n<\/colgroup>\n\n\n
Vous pouvez lancer la console web de gestion de Microsoft ATA en utilisant l’ic\u00f4ne sur le bureau\u00a0:<\/td>\n\"\"<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n

La console web se lance sur la page principale de la solution ATA qui est une esp\u00e8ce de tableau de bord des diff\u00e9rentes alertes\u00a0:<\/p>\n

<\/p>\n

\"\"<\/p>\n

\n\n\n\n<\/colgroup>\n\n\n
Les trois petits points verticaux en haut en droite de la page permettent d’acc\u00e9der au menu rapide avec les raccourcis vers les diff\u00e9rentes fonctions d’ATA\u00a0:<\/p>\n
    \n
  • Timeline\u00a0: page de Dashboard s’affichant par d\u00e9faut au lancement d’ATA<\/li>\n
  • Reports\u00a0: page permettant de t\u00e9l\u00e9charger des rapports sur les activit\u00e9s au format Excel et de programmer l’envoi de ces m\u00eames rapports \u00e0 des responsable s\u00e9curit\u00e9<\/li>\n
  • Health\u00a0: page du Health Center permettant de visualiser et fermer les incidents<\/li>\n
  • Configuration\u00a0: c’est ici que l’on peut param\u00e9trer les diff\u00e9rentes options d’ATA<\/li>\n
  • Language\u00a0: c’est ici que l’on peut basculer l’interface en Fran\u00e7ais, un bon conseil, garder l’interface en Anglais\u2026<\/li>\n<\/ul>\n<\/td>\n
\n

\"\"<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n

Configuration globale \u2013 La page de \u00ab\u00a0Configuration\u00a0\u00bb<\/h2>\n
\n\n\n\n<\/colgroup>\n\n\n
Pour acc\u00e9der \u00e0 la page de configuration globale, utiliser le menu rapide qui est en haut \u00e0 droite de la page principale\u00a0:<\/td>\n\"\"<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n

System \/ Center
\n<\/strong><\/span><\/p>\n

Cette page permet de visualiser ou d’ajouter des URLs permettant d’acc\u00e9der \u00e0 la page web ATA pour un administrateur\u00a0:<\/p>\n

\"\"<\/p>\n

System \/ Gateways
\n<\/strong><\/span><\/p>\n

Cette page permet de visualiser les diff\u00e9rentes Gateway sur le r\u00e9seau (= les agents) install\u00e9es sur les contr\u00f4leurs de domaine Active Directory (mode Light Gateway) ou les Gateway classiques ATA \u2013 Cette page permet aussi de r\u00e9cup\u00e9rer le package d’installation d’une Gateway\u00a0:<\/p>\n

\"\"<\/p>\n

System \/ Updates
\n<\/strong><\/span><\/p>\n

Cette page permet d’activer ou d\u00e9sactiver les updates de package pour les Gateway d\u00e9ploy\u00e9es. Imaginons que nous r\u00e9alisions une mise \u00e0 jour du package central ATA, avec une mise \u00e0 disposition d’une nouvelle version de package pour les Gateway, il serait possible d’activer une mise \u00e0 jour automatique sur les Gateway actuellement d\u00e9ploy\u00e9es\u00a0:<\/p>\n

\"\"<\/p>\n

En production, je ne suis pas certain que le param\u00e8tre d’auto-update soit une excellente id\u00e9e\u2026<\/p>\n

Data Sources \/ Directory Services
\n<\/strong><\/span><\/p>\n

Cette page permet de param\u00e9trer le domaine Active Directory qui fournira des informations \u00e0 ATA ainsi que le compte de service de connexion (si vous ne savez pas ce qu’est un Single label domain, consultez cette page\u00a0: https:\/\/support.microsoft.com\/en-us\/help\/2269810\/microsoft-support-for-single-label-domains)<\/p>\n

\"\"<\/p>\n

Data Sources \/ SIEM
\n<\/strong><\/span><\/p>\n

Cette page permet d’utiliser une source de donn\u00e9es provenant d’un SIEM pour obtenir les \u00e9v\u00e8nements depuis les contr\u00f4leurs de domaine, de mani\u00e8re indirecte. Si vous pouvez d\u00e9ployer des passerelle Light sur les contr\u00f4leurs de domaine, il n’y a \u00e0 mon avis pas grand int\u00e9r\u00eat \u00e0 r\u00e9cup\u00e9rer en plus des logs provenant d’un SIEM. Par contre, cette fonction est tr\u00e8s utile si\u00a0:<\/p>\n