Microsoft Advanced Threat Analytics

Microsoft Advanced Threat Analytics aka ATA e un produs ce mi-a starnit curiozitatea si am decis ca merita un test. Produsul este un fel de IDS cu ceva inteligenta in spate ce analizeaza comportamentul utilizatorului si care se integreaza bine cu Active Directory. De fapt din ce am citit pana acum ATA este facut sa monitorizeze doar traficul DC-urilor (deocamdata) si sa detecteze atacuri gen Pass the Hash, Pass the Ticket, Golden Ticket, brute force attack si multe altele insa nu exista o documentatie clara la acest moment.

ATA e format din doua componente:

– ATA Center Console

– ATA Gateway

Normal aceste doua componente trebuie instalate pe servere diferite insa pentru un mediu de test se poate face instalarea pe acelasi server.

ATA Center este consola principala de administrare si monitorzare si se instaleaza prima. Dupa instalare, din portalul de administrare se poate downloada installerul pentru ATA Gateway. Au ales aceasta varianta pentru a face instalarea gateway-ului cat mai simpla. Odata download-at installerul, acesta vine si cu un fisier de configurare gata setat pentru comunicatia cu Center-ul.

Nota: Nu mai pun detalii si poze despre procesul de install pentru ca este incredibil de simplu.

Si acum foarte important de mentionat, este faptul ca pe Gateway vor fi necesare doua adaptoare de retea. Unul pentru comunicatia cu Center-ul si inca unul pentru captura traficului. Deci tot traficul in/out al domain controller-ului va trebui sa fie copiat catre al doilea adaptor al Gateway-ului (destul de usor de implementat in mediile virtualizate prin functia de Port Mirroring de pe Hyper-V si Vmware).

Nota: Pot fi configurate mai multe Gateway-uri legate la acelasi Center.

Ambele servere pot fi membre la domeniu sau nu. Este necesar doar un cont de domeniu pe Gateway folosit pentru a se conecta la DC si interoga diverse informatii despre useri (nu este necesar sa fie admin).

Odata configurat ATA incepe sa invete si sa analizeze informatiile doar ca fiind intr-o etapa beta nu trebuie sa va asteptati la prea multe.

Eu am reusit sa validez setup-ul si confirm ca este in stare sa se conecteze la AD si sa citeasca traficul facut de DC. Am reusit chiar sa declansez o alerta incercand un transfer neautorizat de zona DNS.

Am incercat sa simulez si un atack de tip Pass the Hash dar fara succes. Echipa de produs spune ca doar atacurile de tip PtH catre DC sunt detectate in versiunea beta insa eu am incercat si asa iar ATA nu a detectat nimic. Sa speram ca in versiunea finala vor reusi sa il faca sa functioneze.

Prin integrarea cu AD vor fi adunate informatii despre utilizatori/computere ce se pot accesa foarte usor din portalul de administrare.

Iar pentru toate problemele detectate se pot trimite alerte pe email sau chiar via Syslog.

Produsul mi se pare interesant si dar destul de limitat in acest moment. Poate si datorita faptului ca inca nu functioneaza asa cum a fost laudat. Eu inca sper ca vor reusi sa implementeze tot ce au promis si ca vor exista mai multe optiuni de customizare in versiunea finala.

PS: Pentru mai multe detalii check: https://technet.microsoft.com/en-us/library/dn707706.aspx