miércoles, 9 de septiembre de 2015

Microsoft Advanced Threat Analytics. Producto Deep Packet Inspection-Siem para entornos Active Directory

Estimados amigos de Inseguros !!!

En el capítulo de hoy vamos a hablar de Microsoft Adavanced Threat Analytics o como ellos denominan ATA (debería ser MATA? ) . El proyecto nace de la empresa israelí Aorato comprada por Microsoft a finales del 2014.

La idea es "conectar" la inspección de paquetes en profundidad, como hace cualquier IDS, con la información de Active Directory e incluso una fuente externa SIEM/logs y mediante inteligencia propia crear un mapa de seguridad basandose en la correlación de todas estas fuentes.

Analyze-Learn-Detect-Alert.




Uno de los recursos que más me gusta es este webinar que sin duda te hará más fácil la compresión del producto, eso si, en la lengua del Fish&Chips...



Si prefieres algo más ágil en PDF qué mejor que este documento.

Vamos a realizar el proceso de instalación y comentamos las particularidades del despliegue necesarias en cada caso.

Como es normal, te preocupará el precio. Como siempre tienes que estudiar las condiciones particulares de tu entorno, pero mira por aquí, no parece muy caro.

Una de las cosas importantes en el procedimiento de instalación es que tanto la consola como el server tiene que tener ip´s distintas. Podemos instalarlo todo en el mismo equipo, no recomendado para entornos de producción. Por último añadir que Microsoft se suma a las nuevas tecnologías usando MongoDb como base de datos y no el clásico MSDE.




Bajo este punto debemos hacer un reboot al server, a no ser que hayamos instalados previamente la última versión del .net framework, que también nos pedirá reiniciar... para retomar la instalación manualmente. Es básico decir que si ya tenemos un servicio escuchando en el puerto indicado, podemos/debemos cambiarlo...

Si todo ha ido bien, podemos conectarnos al ATA center.
Mi primera impresión es la de preguntarme qué hace toda esta gente en mi pantalla? no era para detectar intrusiones? :-) Iba a poner mi clave de Hotmail pero sospeché que sería mucho espionaje que MS supiese ese dato, y me decido por introducir la clave de mi usuario en el dominio.

El primer paso, como recomiendan los expertos, es configurar la puerta de enlace ATA, lo que viene siendo la conectividad con el dominio. Como siempre para estos casos, se recomienda usar una cuenta de servicio que no cambie de contraseña cada 45 días, etc etc.


En el mismo server voy a instalar el componente Gateway con el fichero descargado. Previamente debemos solucionar el tema del Port Mirroring. Depende tu entorno de red, virtual o físico o mixto, el equipo que ostenta el componente de Gateway debe tener acceso al tráfico generado de algún controlador de dominio. Si tu entorno es puro virtual, DC y el servidor ATA, el proceso es muy sencillo. En mi caso el servidor DC es físico, por lo que tengo que jugar con el switch y los cables contra el server virtual. Esta parte se excede del propósito del post.



Si todo ha ido bien...

Ahora vamos a leer los datos, y leo esto en las opciones de despliegue: 

The ATA Center requires a minimum of 21 days of data for user behavioral analytics

Se supone que ATA debe recolectar suficiente información para crear su modelo de "normalidad" para detectar los cambios. Algo difícil en un entorno de laboratorio. 

Por otro lado veo comentarios negativos ya que indican que solo detecta actividad que se realiza contra el DC, por ejemplo un ataque pass the hash en un cliente o el uso de mimikatz pasaría desapercibido en una estación cliente. Veremos a ver...

Vamos a esperar unos días, a terminar de configurar el resto de controladores de dominio y el reenvío de logs de mi SIEM hacia el gateway, y en próximas aventuras terminamos con este producto.

Gracias por leerme, espero que os guste !!!