Advanced Threat Analytics
Présentation de Advanced Threat Analytics (ATA)
Advanced Threat Analytics (ATA) est la seule solution on-premise de la suite EMS. Cette plateforme présente dans le réseau local d’une entreprise permet de protéger son système d’information contre des cyberattaques (attaques ciblées, sophistiquées, menaces internes…). Pour localiser ces attaques, les éléments présents dans le réseau local permettent d’apprendre le comportement des utilisateurs. Ceci dans un seul but : définir un profil de comportement et ainsi déterminer des comportements anormaux.
1. Fonctionnement d’ATA
ATA possède un moteur d’analyse réseau qui lui permet la capture et l’analyse du trafic réseau pour différents protocoles (Kerberos, DNS, RPC…). La collecte des informations est effectuée par l’intermédiaire de plusieurs points :
-
Mise en miroir des ports des contrôleurs de domaine et DNS : cette mise en miroir est effectuée vers la passerelle ATA.
-
Déploiement d’une passerelle légère ATA : cette opération est effectuée directement sur les contrôleurs de domaine.
ATA nécessite des sources de données pour analyser les comportements des utilisateurs. Plusieurs sources de données peuvent être utilisées :
-
Intégration SIEM : si votre organisation possède un SIEM, il est possible de procéder à l’intégration d’ATA dans le SIEM. Ainsi, les données déjà collectées et présentes dans la base du SIEM sont utilisées.
-
Transfert d’événements Windows : ATA récupère les journaux d’événements d’un ou de plusieurs serveurs pour procéder à l’analyse des événements.
2. Utilité d’ATA
Avant toute installation, il faut savoir ce que fait le produit et ce qu’il peut apporter. Ces informations sont primordiales lors de la phase d’étude de mise en place d’ATA.
ATA permet de détecter :
-
les attaques malveillantes ;
-
les comportements anormaux ;
-
les risques et les problèmes de sécurité.
Concernant les attaques malveillantes, elles peuvent être détectées...
Installation et configuration d’ATA
1. Installation d’ATA
Les prérequis étant satisfaits, l’étape d’installation peut débuter. ATA peut être téléchargé sur le site VLSC. Si vous ne possédez pas de licence et souhaitez tester le produit, il est possible de récupérer une version d’évaluation depuis le Centre d’évaluation TechNet.
https://www.microsoft.com/fr-fr/evalcenter/#products
Vous allez dans un premier temps créer deux machines virtuelles, puis installer Windows Server 2016. Le chapitre Création du bac à sable détaille les différentes étapes à exécuter. Les serveurs doivent être joints au domaine.
Nom du serveur : SRV-ATA
-
Adresse IP : 192.168.1.13
-
Masque de sous-réseau : 255.255.255.0
-
Passerelle par défaut : 192.168.1.254
-
Serveur DNS primaire : 192.168.1.10
Nom du serveur : SRV-GTWATA
Cette machine virtuelle doit posséder deux cartes réseau. La carte réseau servant pour la capture a une configuration un peu particulière.
-
Carte réseau de gestion
-
Adresse IP : 192.168.1.14
-
Masque de sous-réseau : 255.255.255.0
-
Passerelle par défaut : 192.168.1.254
-
Serveur DNS primaire : 192.168.1.10
-
Carte réseau de capture
-
Adresse IP : 1.1.1.1
-
Masque de sous-réseau : 255.255.255.255
Connectez l’ISO d’ATA à la machine virtuelle afin de procéder à l’installation.
Depuis le DVD, effectuez un double clic sur Microsoft ATA Center Setup.
Un assistant se lance. Sélectionnez la langue souhaitée dans la liste déroulante, puis cliquez sur Suivant.
Acceptez les termes de la licence, puis cliquez sur Suivant.
Dans la fenêtre Utilisez Microsoft Update pour assurer la sécurité de votre ordinateur, laissez coché Utiliser Microsoft Update lors de la recherche de mises à jour (recommandé), puis cliquez sur Suivant.
Laissez le chemin par défaut. Il est possible d’utiliser des certificats autosignés ou délivrés par l’autorité de certification de l’entreprise. En production, les données de la base de données (chemin d’accès aux données de la base de données) sont redirigées sur une partition...
Rapports dans ATA
Les rapports ATA sont intéressants pour tous les administrateurs utilisant ATA. Ces rapports contiennent des informations sur l’état du système, son intégrité et les activités suspectes détectées. L’accès au rapport s’effectue depuis la console ATA.
Depuis la console, cliquez sur l’icône Rapport présente dans la barre d’outils.
Sélectionnez la date de début ainsi que la date de fin, puis cliquez sur Télécharger.
Le rapport s’affiche…
Il est possible de planifier la création de rapports depuis la console ATA.