ATA
Advanced Threat Analytics (ATA) est une plateforme OnPremise qui permet d’analyser l’ensemble des actions effectuées (accès à des ressources, verrouillage de compte, déplacement latéral…) avec des comptes Active Directory.
ATA fonctionne avec un serveur central qui récupère l’ensemble des logs des contrôleurs de domaines.
Ces logs peuvent être récupérés de deux façons :
- Via un agent installé sur les DC (nommé Lightweight Gateway)
- Via du port mirroring (nommé Full Gateway)
Ce billet s’intéressera uniquement à la configuration d’ATA avec des Lightweight Gateway.
Mise en place
Prérequis pour les Lightweight Gateway
Pour qu’ATA soit efficace il est impératif d’installer l’agent sur l’ensemble des DC du domaine Active Directory.
Pour la mise en place il faut
- l’ouverture du port TCP 443 entre les DC et le serveur ATA
- un compte de service (sans droit d’administration) présent dans l’AD
- un certificat SSL (optionnel, il est possible d’utiliser un certificat auto-signé pour la console d’administration)
Installation du serveur ATA
L’installation du serveur d’administration est très simple et se fait via l’assistant d’installation.
Il est possible de paramétrer le chemin d’installation, le chemin des logs et le certificat qui sera utiliser pour la console web.
La fin de l’installation s’effectue depuis l’interface d’administration web (https://localhost depuis le serveur ATA).
Le compte de service est nécessaire à ce moment pour lire l’AD.
L’étape suivante consiste à télécharger le setup pour les DC.
Installation des Lightweight gateways
L’installation de l’agent sur les DC se fait à travers l’assistant d’installation. Il est possible de paramétrer le chemin d’installation.
Une fois l’agent installé, celui-ci démarre automatiquement et le DC est visible dans l’interface d’administration.
Il est nécessaire de modifier la configuration d’un des DC dans l’interface d’administration pour le désigner comme Domain synchronizer candidate.
Tout DC défini comme Domain synchronizer candidat peut être responsable de la synchronisation entre ATA et le domaine Active Directory.
Analyse
Depuis l’interface d’administration les différentes alertes remontent automatiquement. Celles-ci sont classées par niveau de criticité : High, Medium et Low.
Il est possible de configurer des alertes mail et/ou d’envoyer l’ensemble de ces logs dans un SIEM.