PI Services

Le blog des collaborateurs de PI Services

Introduction à Microsoft Advanced Threat Analytics

ATA

Advanced Threat Analytics (ATA) est une plateforme OnPremise qui permet d’analyser l’ensemble des actions effectuées (accès à des ressources, verrouillage de compte, déplacement latéral…) avec des comptes Active Directory.

ATA fonctionne avec un serveur central qui récupère l’ensemble des logs des contrôleurs de domaines.

Ces logs peuvent être récupérés de deux façons :

  • Via un agent installé sur les DC (nommé Lightweight Gateway)
  • Via du port mirroring (nommé Full Gateway)

Ce billet s’intéressera uniquement à la configuration d’ATA avec des Lightweight Gateway.

Mise en place

Prérequis pour les Lightweight Gateway

Pour qu’ATA soit efficace il est impératif d’installer l’agent sur l’ensemble des DC du domaine Active Directory.

Pour la mise en place il faut

  • l’ouverture du port TCP 443 entre les DC et le serveur ATA
  • un compte de service (sans droit d’administration) présent dans l’AD
  • un certificat SSL (optionnel, il est possible d’utiliser un certificat auto-signé pour la console d’administration)

 

Installation du serveur ATA

L’installation du serveur d’administration est très simple et se fait via l’assistant d’installation.

Il est possible de paramétrer le chemin d’installation, le chemin des logs et le certificat qui sera utiliser pour la console web.

image

image

image

image

image

image

La fin de l’installation s’effectue depuis l’interface d’administration web (https://localhost depuis le serveur ATA).

Le compte de service est nécessaire à ce moment pour lire l’AD.

2019-02-01_152514

L’étape suivante consiste à télécharger le setup pour les DC.

2019-02-01_152537

2019-02-01_152547

Installation des Lightweight gateways

L’installation de l’agent sur les DC se fait à travers l’assistant d’installation. Il est possible de paramétrer le chemin d’installation.

2019-02-01_153332

2019-02-01_153525

2019-02-01_153810

2019-02-01_153830

2019-02-01_153911

Une fois l’agent installé, celui-ci démarre automatiquement et le DC est visible dans l’interface d’administration.

Il est nécessaire de modifier la configuration d’un des DC dans l’interface d’administration pour le désigner comme Domain synchronizer candidate.

Tout DC défini comme Domain synchronizer candidat peut être responsable de la synchronisation entre ATA et le domaine Active Directory.

2019-02-01_152654

Analyse

Depuis l’interface d’administration les différentes alertes remontent automatiquement. Celles-ci sont classées par niveau de criticité : High, Medium et Low.

2019-02-27_114458

Il est possible de configurer des alertes mail et/ou d’envoyer l’ensemble de ces logs dans un SIEM.

Azure – Privileged Identity Management

Privileged Identity Management

Privileged Identiy Mangement (PIM) une une fonctionnalité de Microsoft Azure qui permet de déléguer des droits et des ressources dans Azure, Office 365 et Intune.

Mise en place

Prérequis

Pour mettre en place PIM il est indispensable d’avoir sur les comptes qui l'utiliseront :

  • Une license Enterprise Mobility + Security (EMS) E5 ou à minima une license Azure AD Premium P2
  • Le MFA activé

2019-02-26_163601

Par défaut, PIM n’est pas actif dans Azure. Pour l’activer, il faut se rendre sur le portail Azure (https://portal.azure.com) avec des droits d'"administrateur global" et rechercher Privileged Identity Management.

Une page nous invite à vérifier notre identité via le MFA.

2019-02-26_113903

Une fois la vérification d’identité effectuée il est possible d’activer la fonctionnalité.

2019-02-26_114134

Quelques instants après le service est disponible.

2019-02-26_114203

Il est ensuite nécessaire de se déconnecter / reconnecter du portail Azure.

2019-02-26_114253

Configuration des rôles

Depuis PIM, dans la section Manage puis Roles, il existe par défaut une quarantaine de rôle que l’on peut modifier.

2019-02-26_114442

Dans cet article, je vais modifier le rôle Exchange Administrator pour qu’il soit actif durant 3H et qu'il nécessite une validation (par défaut le rôle est en auto-validation pour une durée d’une heure). Les utilisateurs Adminstrator et Megan auront le pouvoir d’accepter ou non la demande d’accès au rôle.

Pour ça, dans PIM, dans la section Manage puis Settings, je sélectionne Roles.

2019-02-26_165956

Je sélectionne le rôle Exchange Administrator et je change les paramètres.

2019-02-26_160256

Je peux ensuite depuis PIM, dans la section Manage puis Roles ajouter un utilisateur à mon rôle.

2019-02-26_160402

2019-02-26_160418

Obtention du rôle

Une fois le rôle ajouté sur l’utilisateur, celui-ci reçoit un mail pour le prévenir.

2019-02-26_161344

Depuis le lien présent dans le mail il est alors possible de faire la demande pour activer le rôle.

2019-02-26_160440

Une vérification d’identité via MFA est nécessaire à cette étape également.

2019-02-26_160451

Une fois l’identité confirmée, il est possible de demander l’activation du rôle.

2019-02-26_160641

Je peux réduire le temps d’activation du droit (de 30 minutes à 3h) et je dois indiquer un message pour obtenir les droits.

2019-02-26_160739

Une fois la demande effectuée, il ne reste plus qu’à attendre la validation par un administrateur.

2019-02-26_160822

Les administrateurs reçoivent un mail indiquant qu’une demande d’activation de rôle est en attente.

2019-02-26_161426

Depuis le lien présent dans le mail, il est possible d’accepter ou de refuser la demande.

2019-02-26_160841

Un message est obligatoire pour approuvé la demande.

2019-02-26_160907

L’utilisateur reçoit alors un mail lui indiquant qu’il dispose des droits d’administration.

2019-02-26_161353

Depuis le portail PIM l’utilisateur peut voir ses droits en cours et passés.

2019-02-26_161022

Il a également accès à la tuile Admin et bien évidement à la page d’administration d’Exchange dans notre cas.

2019-02-26_161144

2019-02-26_161635

Log

L’ensemble des droits demandées, validées et refusées est loggé dans PIM, section Activity puis Directory roles audit history.

2019-02-26_160953

Les administrateurs ont également le mail prouvant la validation au rôle.

2019-02-26_161436

Voila qui conclut ce billet sur PIM !