SlideShare une entreprise Scribd logo

Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout

Identity Days, profile picture
Identity Days

Le document aborde la sécurisation des systèmes d'information via Azure Advanced Threat Protection (ATP), en détaillant son architecture et son fonctionnement pour détecter et prévenir les cyberattaques. Il souligne les différences entre Azure ATP et Microsoft ATA, ainsi que les outils nécessaires pour le déploiement et l'administration de ces solutions de sécurité. Les aspects de planification, de déploiement et de gestion des ressources sont également abordés, fournissant un aperçu complet des meilleures pratiques pour garantir la sécurité des identités dans un environnement hybride.

Technologie
1  sur  44
Téléchargé 11 fois
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
Sécuriser son système d’information avec Azure ATP Seyfallah Tagrerout 24 octobre 2019 - PARIS Identity Days 2019
24 octobre 2019 - PARIS Identity Days 2019 Blog https://seyfallah-it.blogspot.com AiM Services Architect Team Lead
24 octobre 2019 - PARIS Identity Days 2019 Microsoft Threat Protection • Introduction • Présentation Azure ATP • Introduction • ATA vs AATP Planification • Planification • Questions avant le déploiement Déploiement • Prérequis Administration • RBAC Conclusion 1 2 4 5 6 7 Architecture • Overview • Présentation des éléments • ATA vs AATP 3
Microsoft Threat Protection Identity Days 2019 24 octobre 2019 - PARIS
Microsoft Threat Protection Identity Days 2019 24 octobre 2019 - PARIS Identities Endpoints User Data Cloud Apps Infrastructure Users and Admins Devices and Sensors Email messages and documents SaaS Applications and Data Stores Servers, Virtual Machines, Databases, Networks
Microsoft Threat Protection Introduction Identity Days 2019 24 octobre 2019 - PARIS Azure Sentinel MDAATPAATP Azure Security Center Office 365 ATP Azure Active Directory Cloud app security
Microsoft Threat Protection Identity Days 2019 24 octobre 2019 - PARIS
Azure Advanced Threat Protection Identity Days 2019 24 octobre 2019 - PARIS
Identity Days 2019 24 octobre 2019 - PARIS User browses to a website Phishing mail Opens attachment Clicks on a URL + Exploitation & Installation Command & Control Brute force account or use stolen account credentials User account is compromised Attacker attempts lateral movement Privileged account compromised Domain compromised Attacker accesses sensitive data Exfiltrate data Maximize Detection Azure AD Identity Protection Identity protection & conditional access Cloud App Security Azure ATP Azure AD Identity Protection Identity protection & conditional access Identity protection Extends protection & conditional access to other cloud apps
Identity Days 2019 24 octobre 2019 - PARIS Azure Advanced Threat Protection
Azure Advanced Threat Protection Identity Days 2019 24 octobre 2019 - PARIS Machine learning Protection Anticipation Alerts
Azure Advanced Threat Protection Identity Days 2019 24 octobre 2019 - PARIS Sinon, que permet AATP ? Chaine classique d’une cyber attaque: • Reconnaissance • Mouvement latérale • Persistance Risques: • Vulnérabilité de protocole connues • Protocoles faibles • Perte de relation de confiance
Azure Advanced Threat Protection Identity Days 2019 24 octobre 2019 - PARIS Account enumeration Users group membership enumeration Users & IP address enumeration Hosts & server name enumeration (DNS) Pass-the-Ticket Pass-the-Hash Overpass-the-Hash Reconnaissance ! ! ! Compromised Credential Lateral Movement Domain Dominance Golden ticket attack DCShadow Skeleton Key Remote code execution on DC Service creation on DC Brute force attempts Suspicious VPN connection Suspicious groups membership modifications Honey Token account suspicious activities
Identity Days 2019 24 octobre 2019 - PARIS
Azure Advanced Threat Protection Identity Days 2019 24 octobre 2019 - PARIS High Level Azure ATP Intelligent Security Graph Contrôleurs de domaine AD ANALYZE US ER BEHARIO R INVES TIGATE AND RES P OND MO NITO R ACTIVITIESU S E R S D E V I C E S D A T A DE TECT & ALERT
Identity Days 2019 24 octobre 2019 - PARIS ATA vs AATP On premise MS ATA Azure ATP DC DC AATP ATA as a Service Intégration Cloud App et MDATP Workspace – Cloud Multi-forêts AD DC Shadow Evolution continue ATA Sensor ATA sensor Standalone EME E5 ATA Architecture Prem Server ATA Center Une version majeur par an Pas de DC Shadow ATA Gateway et light gateway EMS E 3 Microsoft ATA on Prem ou Cloud ?
ATA vs AATP Identity Days 2019 24 octobre 2019 - PARIS ATA DC DC ATA Center ATA Gateway ATA LightGateway AATP Cloud Service AATP Sensor AATP Sensor Standalone Azure ATP
Architecture Identity Days 2019 24 octobre 2019 - PARIS
Architecture Identity Days 2019 24 octobre 2019 - PARIS
Architecture AATP Identity Days 2019 24 octobre 2019 - PARIS
Architecture ATA Identity Days 2019 24 octobre 2019 - PARIS
Architecture Identity Days 2019 24 octobre 2019 - PARIS Les composants AATP • Azure Portal • Azure ATP Senor • Azure ATP Sensor Standalone • Azure ATP Cloud Service
Architecture Identity Days 2019 24 octobre 2019 - PARIS Azure Portal – tout commence ici … • Création de l’instance AATP • Administration des AATP Sensor • Visualisation des alertes de sécurité • Visualisation de l’etat de santé des sensors • Détection des activités suspicieuses • Alertes email • Reporting • Administration
Architecture Identity Days 2019 24 octobre 2019 - PARIS AATP Sensor • Capture et inspection du trafic réseau des contrôleur de domaine AD • Capture des Windows évents logs depuis les contrôleurs de domaine AD • Récupère les données utilisateurs et computers depuis l’AD • Transfert vers l’Azure ATP Cloud Service • Protection du DC: • Composant qui analyse le CPU + RAM du DC sur le quel il est installé: – Fréquence d’analyse : toutes les 10 secondes – Minimum 15 % de ressources …. – Un espace est dédié pour l'état de santé des DC + Sensor
Architecture Identity Days 2019 24 octobre 2019 - PARIS AATP Sensor • Windows events: • Authentification NTLM • Modification des groupes senstifs • Création de services suspects • Les IDs concernés : • 4776,4732,4733,4728,4729,4756,4757,7045, 8004 • Automatique - à condition GPO audit : • Audit Credential Validation • Audit Security Group Management • NTLM - 8004 : • Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers = Audit All • Network security: Restrict NTLM: Audit NTLM authentication in this domain = Enable all • Network security: Restrict NTLM: Audit Incoming NTLM Traffic = Enable auditing for all accounts
Architecture Identity Days 2019 24 octobre 2019 - PARIS AATP Sensor – Standalone • Fonctionnement avec du port mirroring • Capture et inspection du trafic réseau des contrôleur de domaine AD • Capture des Windows évents logs depuis les contrôleurs de domaine AD • Récupère les données utilisateurs et computers depuis l’AD • Transfert vers l’Azure ATP Cloud Service • Protection du DC: • Composant qui analyse le CPU + RAM du DC sur le quel il est installé: – Fréquence d’analyse : toutes les 10 secondes – Minimum 15 % de ressources …. – Un espace est dédié pour l'état de santé des DC + Sensor
Architecture Identity Days 2019 24 octobre 2019 - PARIS AATP Sensor vs AATP Sensor Standalone Sensor type Benefits Cost Deployment topology Domain controller use Azure ATP sensor Installation sur le DC, pas besoin de port mirroring ni de serveur intermédiaire Lower Installation sur les DC Support jusqu’à 100,000 packets/s Azure ATP standalone sensor Complique la tâche aux attaquants Higher Installation sur un serveur intermédiaire et fonctionnement avec du port Mirroring Support jusqu’à 100,000 packets/s
Démo Console – Alertes Identity Days 2019 24 octobre 2019 - PARIS
Planification Identity Days 2019 24 octobre 2019 - PARIS
Planification – capacity planning Identity Days 2019 24 octobre 2019 - PARIS Définir les besoins en ressources matériels Outils de dimensionnement : • Azure Advanced Threat Protection Sizing Tool - Version 1.3.0.0 • https://gallery.technet.microsoft.com/Azure-Advanced-Threat-a11343c4 • Scan tout le trafic au niveau des DCs et aide à : • Quantité de mémoire RAM • CPU • Stockage Data base • ATA Gateway & LightWeight Gateway
Planification – capacity planning Identity Days 2019 24 octobre 2019 - PARIS Définir les besoins en ressources matériels
Planification – capacity planning Identity Days 2019 24 octobre 2019 - PARIS Définir les besoins en ressources matériels Questions: • ATA ou AATP ? • Si AATP • AATP Sensor ou Standalone ? • Mode de déploiement • Silent mode : "Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>" • Mélange des deux ? • Envoi des alertes au SIEM ?
Déploiement Identity Days 2019 24 octobre 2019 - PARIS
Prérequis Identity Days 2019 24 octobre 2019 - PARIS • EMS E5 ou licence standalone AATP • Vérifier la connectivité internet sur les DC • Si proxy _ autorisation des URLs ( Europe par exemple) triprd1wceun1sensorapi.atp.azure.com triprd1wceuw1sensorapi.atp.azure.com • VM vMware – désactiver IPv4 TSO Offload
Prérequis Identity Days 2019 24 octobre 2019 - PARIS
Prérequis Identity Days 2019 24 octobre 2019 - PARIS • Name Network Resolution:
Prérequis Identity Days 2019 24 octobre 2019 - PARIS • ATP Sensor : • Dc sous : Windows Server 2008 R2 SP1, 2012, 2012 R2, 2016 2019 • Si 2019 – installez la KB4487044 • .Net framework 4.7 • RODC supporté • Communication du Dc vers le cAzure ATP service – ouvrir le 443 et autoriser l’url *.atp.azure.com • Reste des prérequis : • https://docs.microsoft.com/en-us/azure-advanced-threat-protection/atp-prerequisites
Administration Identity Days 2019 24 octobre 2019 - PARIS
Administration Identity Days 2019 24 octobre 2019 - PARIS • RBAC Role
Conclusion Identity Days 2019 24 octobre 2019 - PARIS
Identity Days 2019 24 octobre 2019 - PARIS On-premises
Identity Days 2019 24 octobre 2019 - PARIS SecOps identity investigation experience Azure ATP Analyse complète de l’identité dans un monde hybride ( Cloud et On-Prem) Analyse Comportements des identité sur les apps cloud Analyse risky sign-ins & User Risk Microsoft Cloud app security Azure AD Identity Protection Analyse Comportements des identité on- prem
Identity Days 2019 24 octobre 2019 - PARIS SecOps identity investigation experience Azure ATP Microsoft Cloud app security Azure AD Identity Protection
Merci à tous nos partenaires ! 24 octobre 2019 - PARIS @IdentityDays #identitydays2019

Contenu connexe

PDF
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Identity Days
 
PDF
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
Worteks
 
PDF
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann Duchenne
Identity Days
 
PDF
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Identity Days
 
PDF
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
Identity Days
 
PDF
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...
Identity Days
 
PPT
Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Peter GEELEN ✔
 
PDF
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Identity Days
 
Bien protéger son identité et ses accès, que faites vous pour la messagerie ?...
Identity Days
 
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
Worteks
 
Introduction à l’identité décentralisée ou Auto-souveraine - Par Yann Duchenne
Identity Days
 
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Identity Days
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
Identity Days
 
Gestion de l’authentification des utilisateurs et du trafic pour les APIs - P...
Identity Days
 
Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Peter GEELEN ✔
 
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Identity Days
 

Tendances (19)

PDF
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
Identity Days
 
PDF
Maximiser la puissance de PowerShell au travers de vos projets de gestion des...
Identity Days
 
PDF
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
Identity Days
 
PDF
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Identity Days
 
PDF
FusionDirectory sur le campus Condorcet : donner l’accès aux services et perm...
Identity Days
 
PPTX
Présentation AzureAD ( Identité hybrides et securité)
☁️Seyfallah Tagrerout☁ [MVP]
 
PPTX
Secure your Digital Workplace with Azure AD
☁️Seyfallah Tagrerout☁ [MVP]
 
PPTX
Keynote ouverture Identity Days - Par Sylvain Cortès
Identity Days
 
PDF
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days
 
PDF
Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...
Identity Days
 
PDF
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Identity Days
 
PPTX
IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...
Mohamed Amar ATHIE
 
PDF
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days
 
PDF
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days
 
PDF
Identity Days 2020 - Attaque Active Directory 100% démo – Zéro Slide – Zéro b...
Identity Days
 
PDF
Business case Cloud security | B-Network - LINKBYNET
Matthieu DEMOOR
 
PDF
Identity Days 2020 - Protection des identités dans azure active directory
Identity Days
 
PDF
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
Modern Workplace Conference Paris
 
PDF
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days
 
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
Identity Days
 
Maximiser la puissance de PowerShell au travers de vos projets de gestion des...
Identity Days
 
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
Identity Days
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Identity Days
 
FusionDirectory sur le campus Condorcet : donner l’accès aux services et perm...
Identity Days
 
Présentation AzureAD ( Identité hybrides et securité)
☁️Seyfallah Tagrerout☁ [MVP]
 
Secure your Digital Workplace with Azure AD
☁️Seyfallah Tagrerout☁ [MVP]
 
Keynote ouverture Identity Days - Par Sylvain Cortès
Identity Days
 
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days
 
Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...
Identity Days
 
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Identity Days
 
IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...
Mohamed Amar ATHIE
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days
 
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days
 
Identity Days 2020 - Attaque Active Directory 100% démo – Zéro Slide – Zéro b...
Identity Days
 
Business case Cloud security | B-Network - LINKBYNET
Matthieu DEMOOR
 
Identity Days 2020 - Protection des identités dans azure active directory
Identity Days
 
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
Modern Workplace Conference Paris
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days
 
Publicité

Similaire à Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout (20)

PDF
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
☁️Seyfallah Tagrerout☁ [MVP]
 
PDF
CIEM, tiens une nouvelle catégorie de produits identité?
Identity Days
 
PPTX
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
☁️Seyfallah Tagrerout☁ [MVP]
 
PDF
Cva 500-1 i-formation-concevoir-une-solution-de-virtualisation-citrix
CERTyou Formation
 
PDF
Et si vous mettiez votre PKI sur le Cloud?
Identity Days
 
PDF
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Technet France
 
PDF
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Décideurs IT
 
PPTX
RADIUS ET TACACS+.pptx
ZokomElie
 
PPTX
826182697-AZ-500T00A-ENU-Powerpoint-02 (1).pptx
wisdomrobertkonudze
 
PDF
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days
 
PDF
Fiche technique-portail-aeg
Pascal CARRERE
 
PDF
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Microsoft Technet France
 
PDF
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Microsoft Décideurs IT
 
PPT
Projet Pki Etapes Clefs
fabricemeillon
 
PDF
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
CERTyou Formation
 
PPTX
Développez votre application Facebook avec Windows Azure
Microsoft
 
PDF
Sécuriser votre site web azure, c’est simple maintenant !
Estelle Auberix
 
PDF
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
AnDaolVras
 
PDF
Sécuriser votre chaîne d'information dans Azure
Nis
 
PPTX
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MickaelLOPES91
 
Comment sécuriser son environnement avec Microsoft Threat Protection – Part 2
☁️Seyfallah Tagrerout☁ [MVP]
 
CIEM, tiens une nouvelle catégorie de produits identité?
Identity Days
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
☁️Seyfallah Tagrerout☁ [MVP]
 
Cva 500-1 i-formation-concevoir-une-solution-de-virtualisation-citrix
CERTyou Formation
 
Et si vous mettiez votre PKI sur le Cloud?
Identity Days
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Technet France
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Décideurs IT
 
RADIUS ET TACACS+.pptx
ZokomElie
 
826182697-AZ-500T00A-ENU-Powerpoint-02 (1).pptx
wisdomrobertkonudze
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days
 
Fiche technique-portail-aeg
Pascal CARRERE
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Microsoft Technet France
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Microsoft Décideurs IT
 
Projet Pki Etapes Clefs
fabricemeillon
 
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
CERTyou Formation
 
Développez votre application Facebook avec Windows Azure
Microsoft
 
Sécuriser votre site web azure, c’est simple maintenant !
Estelle Auberix
 
Présentation A2com, Vitamin'C "Outils de gestion sur le cloud"
AnDaolVras
 
Sécuriser votre chaîne d'information dans Azure
Nis
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MickaelLOPES91
 
Publicité

Plus de Identity Days (20)

PDF
Tiering AD : Comment procéder après le Tier0 ?
Identity Days
 
PDF
Avancées et innovations en Identité Numérique : WebAuthn, SmartProxy, Entra ID…
Identity Days
 
PPTX
Est-il possible de sécuriser complètement Active Directory après une brèche ?
Identity Days
 
PDF
Data, Identité et Conformité : le triangle d’or de la performance
Identity Days
 
PDF
Active Directory 2025 : Days of Future Past
Identity Days
 
PDF
Mise en place des recommandations de l’ANSSI pour la sécurisation du protocol...
Identity Days
 
PDF
Principales nouveautés de la famille Microsoft Entra
Identity Days
 
PPTX
IAM réinventé : le rôle pivot du Wallet d’identité numérique
Identity Days
 
PDF
Le Passwordless au service des comptes génériques : d’une meilleure visibilit...
Identity Days
 
PPTX
Ségrégation et protection des accès à privilèges dans le cloud Microsoft
Identity Days
 
PDF
Active Directory vs. Entra ID : Pilule bleue ou Pilule rouge ?
Identity Days
 
PPTX
La délégation Kerberos : Compromettre un domaine en 5 étapes
Identity Days
 
PDF
Live Action : assistez à la récupération d’un AD compromis
Identity Days
 
PDF
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Identity Days
 
PDF
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Identity Days
 
PDF
Passwordless – de la théorie à la pratique
Identity Days
 
PDF
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
Identity Days
 
PDF
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Identity Days
 
PDF
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
Identity Days
 
PPTX
Gérer les privilèges locaux en utilisant Intune
Identity Days
 
Tiering AD : Comment procéder après le Tier0 ?
Identity Days
 
Avancées et innovations en Identité Numérique : WebAuthn, SmartProxy, Entra ID…
Identity Days
 
Est-il possible de sécuriser complètement Active Directory après une brèche ?
Identity Days
 
Data, Identité et Conformité : le triangle d’or de la performance
Identity Days
 
Active Directory 2025 : Days of Future Past
Identity Days
 
Mise en place des recommandations de l’ANSSI pour la sécurisation du protocol...
Identity Days
 
Principales nouveautés de la famille Microsoft Entra
Identity Days
 
IAM réinventé : le rôle pivot du Wallet d’identité numérique
Identity Days
 
Le Passwordless au service des comptes génériques : d’une meilleure visibilit...
Identity Days
 
Ségrégation et protection des accès à privilèges dans le cloud Microsoft
Identity Days
 
Active Directory vs. Entra ID : Pilule bleue ou Pilule rouge ?
Identity Days
 
La délégation Kerberos : Compromettre un domaine en 5 étapes
Identity Days
 
Live Action : assistez à la récupération d’un AD compromis
Identity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Identity Days
 
Passwordless – de la théorie à la pratique
Identity Days
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
Identity Days
 
Gérer les privilèges locaux en utilisant Intune
Identity Days
 

Sécuriser votre système d’information avec AATP - Par Seyfallah Tagrerout

  • 1. Sécuriser son système d’information avec Azure ATP Seyfallah Tagrerout 24 octobre 2019 - PARIS Identity Days 2019
  • 2. 24 octobre 2019 - PARIS Identity Days 2019 Blog https://seyfallah-it.blogspot.com AiM Services Architect Team Lead
  • 3. 24 octobre 2019 - PARIS Identity Days 2019 Microsoft Threat Protection • Introduction • Présentation Azure ATP • Introduction • ATA vs AATP Planification • Planification • Questions avant le déploiement Déploiement • Prérequis Administration • RBAC Conclusion 1 2 4 5 6 7 Architecture • Overview • Présentation des éléments • ATA vs AATP 3
  • 4. Microsoft Threat Protection Identity Days 2019 24 octobre 2019 - PARIS
  • 5. Microsoft Threat Protection Identity Days 2019 24 octobre 2019 - PARIS Identities Endpoints User Data Cloud Apps Infrastructure Users and Admins Devices and Sensors Email messages and documents SaaS Applications and Data Stores Servers, Virtual Machines, Databases, Networks
  • 6. Microsoft Threat Protection Introduction Identity Days 2019 24 octobre 2019 - PARIS Azure Sentinel MDAATPAATP Azure Security Center Office 365 ATP Azure Active Directory Cloud app security
  • 7. Microsoft Threat Protection Identity Days 2019 24 octobre 2019 - PARIS
  • 8. Azure Advanced Threat Protection Identity Days 2019 24 octobre 2019 - PARIS
  • 9. Identity Days 2019 24 octobre 2019 - PARIS User browses to a website Phishing mail Opens attachment Clicks on a URL + Exploitation & Installation Command & Control Brute force account or use stolen account credentials User account is compromised Attacker attempts lateral movement Privileged account compromised Domain compromised Attacker accesses sensitive data Exfiltrate data Maximize Detection Azure AD Identity Protection Identity protection & conditional access Cloud App Security Azure ATP Azure AD Identity Protection Identity protection & conditional access Identity protection Extends protection & conditional access to other cloud apps
  • 10. Identity Days 2019 24 octobre 2019 - PARIS Azure Advanced Threat Protection
  • 11. Azure Advanced Threat Protection Identity Days 2019 24 octobre 2019 - PARIS Machine learning Protection Anticipation Alerts
  • 12. Azure Advanced Threat Protection Identity Days 2019 24 octobre 2019 - PARIS Sinon, que permet AATP ? Chaine classique d’une cyber attaque: • Reconnaissance • Mouvement latérale • Persistance Risques: • Vulnérabilité de protocole connues • Protocoles faibles • Perte de relation de confiance
  • 13. Azure Advanced Threat Protection Identity Days 2019 24 octobre 2019 - PARIS Account enumeration Users group membership enumeration Users & IP address enumeration Hosts & server name enumeration (DNS) Pass-the-Ticket Pass-the-Hash Overpass-the-Hash Reconnaissance ! ! ! Compromised Credential Lateral Movement Domain Dominance Golden ticket attack DCShadow Skeleton Key Remote code execution on DC Service creation on DC Brute force attempts Suspicious VPN connection Suspicious groups membership modifications Honey Token account suspicious activities
  • 14. Identity Days 2019 24 octobre 2019 - PARIS
  • 15. Azure Advanced Threat Protection Identity Days 2019 24 octobre 2019 - PARIS High Level Azure ATP Intelligent Security Graph Contrôleurs de domaine AD ANALYZE US ER BEHARIO R INVES TIGATE AND RES P OND MO NITO R ACTIVITIESU S E R S D E V I C E S D A T A DE TECT & ALERT
  • 16. Identity Days 2019 24 octobre 2019 - PARIS ATA vs AATP On premise MS ATA Azure ATP DC DC AATP ATA as a Service Intégration Cloud App et MDATP Workspace – Cloud Multi-forêts AD DC Shadow Evolution continue ATA Sensor ATA sensor Standalone EME E5 ATA Architecture Prem Server ATA Center Une version majeur par an Pas de DC Shadow ATA Gateway et light gateway EMS E 3 Microsoft ATA on Prem ou Cloud ?
  • 17. ATA vs AATP Identity Days 2019 24 octobre 2019 - PARIS ATA DC DC ATA Center ATA Gateway ATA LightGateway AATP Cloud Service AATP Sensor AATP Sensor Standalone Azure ATP
  • 18. Architecture Identity Days 2019 24 octobre 2019 - PARIS
  • 19. Architecture Identity Days 2019 24 octobre 2019 - PARIS
  • 22. Architecture Identity Days 2019 24 octobre 2019 - PARIS Les composants AATP • Azure Portal • Azure ATP Senor • Azure ATP Sensor Standalone • Azure ATP Cloud Service
  • 23. Architecture Identity Days 2019 24 octobre 2019 - PARIS Azure Portal – tout commence ici … • Création de l’instance AATP • Administration des AATP Sensor • Visualisation des alertes de sécurité • Visualisation de l’etat de santé des sensors • Détection des activités suspicieuses • Alertes email • Reporting • Administration
  • 24. Architecture Identity Days 2019 24 octobre 2019 - PARIS AATP Sensor • Capture et inspection du trafic réseau des contrôleur de domaine AD • Capture des Windows évents logs depuis les contrôleurs de domaine AD • Récupère les données utilisateurs et computers depuis l’AD • Transfert vers l’Azure ATP Cloud Service • Protection du DC: • Composant qui analyse le CPU + RAM du DC sur le quel il est installé: – Fréquence d’analyse : toutes les 10 secondes – Minimum 15 % de ressources …. – Un espace est dédié pour l'état de santé des DC + Sensor
  • 25. Architecture Identity Days 2019 24 octobre 2019 - PARIS AATP Sensor • Windows events: • Authentification NTLM • Modification des groupes senstifs • Création de services suspects • Les IDs concernés : • 4776,4732,4733,4728,4729,4756,4757,7045, 8004 • Automatique - à condition GPO audit : • Audit Credential Validation • Audit Security Group Management • NTLM - 8004 : • Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers = Audit All • Network security: Restrict NTLM: Audit NTLM authentication in this domain = Enable all • Network security: Restrict NTLM: Audit Incoming NTLM Traffic = Enable auditing for all accounts
  • 26. Architecture Identity Days 2019 24 octobre 2019 - PARIS AATP Sensor – Standalone • Fonctionnement avec du port mirroring • Capture et inspection du trafic réseau des contrôleur de domaine AD • Capture des Windows évents logs depuis les contrôleurs de domaine AD • Récupère les données utilisateurs et computers depuis l’AD • Transfert vers l’Azure ATP Cloud Service • Protection du DC: • Composant qui analyse le CPU + RAM du DC sur le quel il est installé: – Fréquence d’analyse : toutes les 10 secondes – Minimum 15 % de ressources …. – Un espace est dédié pour l'état de santé des DC + Sensor
  • 27. Architecture Identity Days 2019 24 octobre 2019 - PARIS AATP Sensor vs AATP Sensor Standalone Sensor type Benefits Cost Deployment topology Domain controller use Azure ATP sensor Installation sur le DC, pas besoin de port mirroring ni de serveur intermédiaire Lower Installation sur les DC Support jusqu’à 100,000 packets/s Azure ATP standalone sensor Complique la tâche aux attaquants Higher Installation sur un serveur intermédiaire et fonctionnement avec du port Mirroring Support jusqu’à 100,000 packets/s
  • 28. Démo Console – Alertes Identity Days 2019 24 octobre 2019 - PARIS
  • 29. Planification Identity Days 2019 24 octobre 2019 - PARIS
  • 30. Planification – capacity planning Identity Days 2019 24 octobre 2019 - PARIS Définir les besoins en ressources matériels Outils de dimensionnement : • Azure Advanced Threat Protection Sizing Tool - Version 1.3.0.0 • https://gallery.technet.microsoft.com/Azure-Advanced-Threat-a11343c4 • Scan tout le trafic au niveau des DCs et aide à : • Quantité de mémoire RAM • CPU • Stockage Data base • ATA Gateway & LightWeight Gateway
  • 31. Planification – capacity planning Identity Days 2019 24 octobre 2019 - PARIS Définir les besoins en ressources matériels
  • 32. Planification – capacity planning Identity Days 2019 24 octobre 2019 - PARIS Définir les besoins en ressources matériels Questions: • ATA ou AATP ? • Si AATP • AATP Sensor ou Standalone ? • Mode de déploiement • Silent mode : "Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q" AccessKey="<Access Key>" • Mélange des deux ? • Envoi des alertes au SIEM ?
  • 33. Déploiement Identity Days 2019 24 octobre 2019 - PARIS
  • 34. Prérequis Identity Days 2019 24 octobre 2019 - PARIS • EMS E5 ou licence standalone AATP • Vérifier la connectivité internet sur les DC • Si proxy _ autorisation des URLs ( Europe par exemple) triprd1wceun1sensorapi.atp.azure.com triprd1wceuw1sensorapi.atp.azure.com • VM vMware – désactiver IPv4 TSO Offload
  • 35. Prérequis Identity Days 2019 24 octobre 2019 - PARIS
  • 36. Prérequis Identity Days 2019 24 octobre 2019 - PARIS • Name Network Resolution:
  • 37. Prérequis Identity Days 2019 24 octobre 2019 - PARIS • ATP Sensor : • Dc sous : Windows Server 2008 R2 SP1, 2012, 2012 R2, 2016 2019 • Si 2019 – installez la KB4487044 • .Net framework 4.7 • RODC supporté • Communication du Dc vers le cAzure ATP service – ouvrir le 443 et autoriser l’url *.atp.azure.com • Reste des prérequis : • https://docs.microsoft.com/en-us/azure-advanced-threat-protection/atp-prerequisites
  • 38. Administration Identity Days 2019 24 octobre 2019 - PARIS
  • 39. Administration Identity Days 2019 24 octobre 2019 - PARIS • RBAC Role
  • 40. Conclusion Identity Days 2019 24 octobre 2019 - PARIS
  • 41. Identity Days 2019 24 octobre 2019 - PARIS On-premises
  • 42. Identity Days 2019 24 octobre 2019 - PARIS SecOps identity investigation experience Azure ATP Analyse complète de l’identité dans un monde hybride ( Cloud et On-Prem) Analyse Comportements des identité sur les apps cloud Analyse risky sign-ins & User Risk Microsoft Cloud app security Azure AD Identity Protection Analyse Comportements des identité on- prem
  • 43. Identity Days 2019 24 octobre 2019 - PARIS SecOps identity investigation experience Azure ATP Microsoft Cloud app security Azure AD Identity Protection
  • 44. Merci à tous nos partenaires ! 24 octobre 2019 - PARIS @IdentityDays #identitydays2019