Sécuriser ses Identités hybrides avec ATP.

Introduction

Azure Advanced Threat Protection (ATP) est la version cloud de Advanced Threat analytics si vous l’avez connu et se base sur les signaux Active Directory locaux pour identifier, détecter , investiguer les menaces avancées, les identités compromises et les actions des utilisateurs internes malveillants grâce à l’analyse du trafic fourni par le capteur installé sur un ou des contrôleurs de domaine .

Les principales menaces connues contre les contrôleurs de domaines sont ainsi détectées :

• Pass-the-Ticket (PtT)
• Pass-the-Hash (PtH)
• Overpass-the-Hash
• Faux PAC (MS14-068)
• Golden Ticket
• Réplications malveillantes
• Reconnaissance
• Force brute
• Exécution distante
• DC Shadow … la liste étant non exhaustive.

Dans cet article nous allons voir comment le configurer .

Configuration

La 1ère étape consiste à se connecter à votre forêt active directory en fournissant le nom d’utilisateur , le mot de passe d’un compte admin et le nom de votre domaine.

La seconde étape consiste à télécharger le programme d’installation du capteur et l’installer sur votre contrôleur de domaine. Cliquez sur Télécharger et copiez la Clé d’accès .

Une fois téléchargé exécuter le fichier Azure ATP Sensor Setup puis au démarrage choisissez la langue .

Le type de déploiement correspond bien à ce qu’on veut faire. Cliquez sur suivant .

Collez la clé d’accès que vous aviez copié au préalable

Validez l’ autorisation UAC par Yes

C’est fait le capteur est installé avec succès

Si vous retournez sur le portail vous devez avoir le capteur en cours d’éxécution dans statut du service.

Intégration  avec  Cloud App Security .

Sur le portail CAS cliquez sur Azure ATP dans Paramètres et cliquez sur le bouton Activer l’intégration des données Azure ATP

Cliquez sur Enregistrer pour finaliser l’activation

Dans Contrôle puis dans Stratégies vous pouvez voir des stratégies prévoyant la majeure partie des attaques contre les controleurs de domaines. Ces stratégies sont toutes activées par défaut donc vous recevrez systématiquement une alerte en cas d’attaque ou de suspicion d’attaque.

Dans le journal d’activité on voit bien remonter les activités liées au contrôleur de domaine.

Azure ATP permet d’exclure des adresses IP ou des utilisateurs spécifiques d’un certain nombre de détections. Si vous êtes entrain de faire des tests par exemple .

Avec Azure ATP, vous pouvez aussi configurer des comptes honeytoken servant de pièges pour les utilisateurs malveillants. Toute authentification associée à ces comptes honeytoken (normalement dormants) déclenche une alerte.

Vous pouvez également surveiller la configuration de vos comptes et groupes à privilèges .

Si vous n’avez pas configuré ATP avec MCAS n’oubliez d’activer les notifications .Il est possible également de configurer un service Syslog.

Vous pouvez combiner ATP MCAS* et Azure AD identity protection pour maximiser vos chances de détecter et répondre efficacement aux menaces sur vos identités .

*MCAS: Microsoft Cloud App Security