Kategori arşivi: Microsoft ATA

suspicion of identity theft based on abnormal behavior

Microsoft ATA üzerinde alabileceğiniz güvenlik uyarılarından birisidir. Bu uyarı temel olarak bir kullanıcının anormal davranışlar sergilediğini gösterir. Örneğin hiç oturum açmadığı bir bilgisayardan oturum açması, hiç erişmediği bir kaynağa erişmesi ve benzeri. Tabiki bu uyarı için ATA ürününün en az ortamda 3 hafta tüm Domain controller makinelerden sağlıklı bir şekilde bilgi toplaması gereklidir. Bu süreden önce bu hatayı alıyorsanız ATA için 1.6 sürümü için bir yama yayınlandı;

https://support.microsoft.com/en-us/help/3172500/description-of-update-1-for-microsoft-advanced-threat-analytics-v1-6

Diğer sürümlerde böyle bir sorun görülmemektedir.

Burada önemli olan bu hatanın altındaki abnormal resources kısmıdır, yani burayı inceleyip gerçekten kullanıcının bu bilgisayarlara veya kaynaklara erişip erişmediğini kontrol edebilirsiniz.

Microsoft Advanced Threat Analytics ATA 1.8 Yenilikleri Nelerdir?

Microsoft ATA 1.8 sürümü geçtiğimiz ay bu zamanlarda çıktı ( 21 Haziran 2017).  Her sürümde olduğu gibi pek çok yenilik ile gelen ATA 1.8 de özellikle belirtmek istediğim bir iyileştirme var. Çoğu yenilikler beklendiği gibi atak tipleri tarafında iyileştirme alan ATA özellikle 1.8 sürümünde beklediğim bir özellik geldiği için paylaşmak istedim. Malum ATA kurulumlarından sonra ister Gateway modeli isterseniz Lightweight Gateway modeli kurun, 1.7 sürümüne kadar ATA’ nın daha sağlıklı yorumlar yapması için Windows Event Forwarding (WEF) özelliğini kullanmamız gerekiyordu.

https://docs.microsoft.com/en-us/advanced-threat-analytics/configure-event-collection

Güzel haber, 1.8 sürümü ile beraber artık ATA Lightweight Gateway kurulumu yaparsanız eğer artık Windows Event Forwarding özelliğini kullanmanıza gerek yoktur. Agent artık Windows Event logları okuyabilmektedir.

Diğer yenilikler için aşağıdaki linki inceleyebilirsiniz

https://docs.microsoft.com/en-us/advanced-threat-analytics/whats-new-version-1.8

Microsoft ATA ve Azure Backup Kullanarak Ransomware – Cryptolocker Engelleme

Ransomware ya da ülkemizde yaygın adıyla bilinen cryptolocker zararlısı dünya genelinde 1 milyar dolar zarar nede oldu.

2016 yılı araştırma sonuçları için aşağıdaki linki kullanabilirsiniz

https://www.herjavecgroup.com/ransomware-damages-predicted-1-billion-annually-2016/

Peki bu yıl? Tabiki çok daha hızlı bir şekilde yayılmaya devam ediyor. Daha önce bulaştığı tek bir makineyi şifreleyen kötü içerikli kodlar zamanla network üzerinde de yayılmaya başladı. Şimdi ise yedek planlarımızı inceleyecek hatta DR site için bile erişim sağlayıp oradaki yedeklere kadar şifreleme, silme işlemi yapacak duruma gelmiş. Özetle biz kendimizi savunma için yaptığımız her bir iyileştirmeyi çok yakından takip eden ve buna karşı sürekli olarak ataklarını geliştiren bir topluluktan bahsediyoruz. Benzer araçlar ile farklı uzmanlık seviyelerine göre farklı ataklar yapıyorlar. Bazen çok kritik bir sisteme giren ancak işi çok iyi bilmediği için bir tek veri tabanı ile kurtaran müşteriler oluyorken bazen de müşteriler çok sağlam bir güvenlik ve yedekleme politikasına sahip olmasına karşın disaster site içerisindeki yedeklere kadar ( tape ünitesinde unutulan kartuş dahil) silinmiş bir senaryo ile haftaya başlayabiliyorlar. Özetle, durum her geçen gün kötüye gidiyor ve bizim aldığımız her bir önlem için onlar da bir adım ileriye gidiyorlar. Şu andaki en iyi yöntem yedek. Artık özellikle atak yiyen veya bundan korkan yada kişisel verileri koruma kanunu başta olmak üzere regülasyona tabi olan kurumsal bu konulara çok büyük önem veriyor. Durum böyle olunca da yedekleme politikaları bir daha gözden geçiriliyor ve olası bir saldırı olsa dahi yedekten dönerek hayatlarına devam edebiliyorlar. Bu durumun gelirlerinde düşüşe neden olmasından dolayı bu tür zararlıları ortama yayan kişiler bu sefer girdikleri ortamı önce inceleyerek NAS cihazındaki, uzak site içerisindeki hatta tape ünitesinde kalan kasetteki yedeği bile siliyor, şifreliyor ve para almayı garantiliyor.

Peki bizler ne yapmalıyız?

Tabiki her şirketin iş ihtiyacı farklı olduğu için ona uygun çözümler satın almış olabilir. Örneğin bu konuda çok etkili ve gerçekten başarılı anti virüs yazılımları var, müşterilerime önerince bazen mevcut anti virüs ürününün yeni yenilediğini ve bir daha bütçe ayıramayacağını söylüyor. Aslında bu hatayı ve riski baştan kabul etmek oluyor. O kadar ki bu sorunu yaşamış ve bu insanlara para vermiş firmalar dahi ürün önerisinde bulununca “bu çok pahalı” deyip almıyorlar ve aslında bir daha bu atağı yemeyi kabul etmiş oluyorlar. Ancak buradaki asıl sorun sadece verilerinizi kaptırmak değil bunların yarın ifşa edilmesi durumunda “Kişisel Verileri Koruma Kanunu” gereği firmanızın çok ciddi cezalar ödeme riskini de almış oluyorsunuz. Özetle bu işin çözümü uygun ürünleri almaktan geçiyor.

Peki elinizde hali hazırda Microsoft Advanced Threat Analytics (ATA) var ise neler yapabiliriz biz biraz bu konuya odaklanalım.

Kötü içerikli kod bir bilgisayara bulaştıktan sonra ilk yapacağı işlem Reconnaissance (looking around), yani network’ ü araştırarak etrafında neler var onu kontrol eder. Bu işlemde özellikle DNS tarafında bilinen iki atak türü sayesinde hemen hızlıca ATA ekranında bunu yakalayabilirsiniz;

Nslookup

SAMR (Security Account Manager Remote)

Bu işlemden sonra kötü niyetli kimse bulduğu kaynaklara encryption public keys kopyalar ve şifreleme işlemini başlatır. Buna lateral movement denmektedir, yani Türkçe karşılığı, “Yanal Hareket”. Bunu ise ATA, Machine Learning sayesinde öğrendiği Network içerisinde anormal bir hareket olarak algılamaktadır.

Tabiki siz ATA kullanıcıları için mail gönderimi önemli, malum ekranı sürekli takip etmek pek pratik bir yöntem değildir. Hele ki ATA’ yı bir SIEM ürünü ile entegre ederseniz bu durumda olası bu uyarıların gelmesi sonucunda anında örneğin o makine veya kullanıcı hesabını da ortamdan izole edebilirsiniz.

ATA tarafı için anlatacaklarım bu kadar. Peki ATA yakaladı ama siz geç kaldınız, SIEM entegrasyonu yoktu, mail geldi ama görmediniz, yani ATA yakalamasına rağmen bir şekilde sisteme bu kötü içerikli kod bulaştı ve verileriniz şifrelendi. Bu durumda yapacağınız en iyi şey yedekten dönmek. Ancak ne yazık ki verdiğim örneklerde ve yine müşterilerimizden gördüğümüz kadar artık kötü niyetli kişiler ilk olarak yedekleri hedef alıyor. Bu nedenle off-site Backup çok önemli. Eğer tape üniteniz var ise kaseti mutlaka ünite dışında bırakın çünkü onlara kadar şifreliyor veya siliyorlar.

Peki bu konuda bir çözüm önerimiz var mı? Evet, malum herkesin bir tape ünitesi yok, olanlar için ise kaseti günü gününe çıkarma zor, malum auto-loader var ise o da risk altında. Benim önerim burada erişim güvenliği sağlayan bir alt yapı kullanmanız. Microsoft Azure üzerindeki yedeklere erişmek veya kritik işlemleri yapmak için mutlaka SMS doğrulaması gerekli, aslında MFA. Bu sayede sisteminize sızan, basit bir SMB zaafiyeti ile admin şifrelerini ala, hatta belki azure şifresinin bile çalınması senaryosunda kalan son kaleniz bulut üzerindeki yedekleriniz olacaktır. Ancak bu kişilerin oraya erişmesi için mutlaka MFA gerektiğinden bu size ek bir koruma sağlayacak ve bu kişilerin sizin yedeklerinize ulaşmasını engelleyecektir.

Koruma: Bulut tabanlı yedekleme modelin de bulut üzerindeki yedeklerinizin silinmesi veya şifre değiştirilmesi gibi kritik eylemlerin gerçekleştirilmesi için ekstra bir önlem olarak, sadece güvendiğiniz BT çalışanlarının bileceği Güvenlik PIN’ ini girmek gerekir.

Uyarma: Yedeklenen veriye erişimi etkileyecek herhangi bir kritik komut verildiğinde size e-mail yoluyla anında haber verilir. Böylece olası saldırılardan hemen haberdar olup önlem alabilirsiniz.

Kurtarma: Saldırganlar yedeklenen verilerinizi silmeyi başarsa bile silinen veriler bulut yedekleme platformunda 14 gün süreyle saklanır ve geri getirilebilir.

Yukarıdaki özellikler gerçekten bir şirket organizasyonunun yedeklerinin ne kadar önemli ve onun korumanın da ne kadar gerekli olduğunu bizlere gösteriyor.

Gelelim en önemli konuya, malum herkesin bir çözüm önerisi vardır ancak bunların maliyetleri çok önemli. Evet ATA ucuz bir ürün değil, ancak şu ana kadar gördüğüm çoğu müşteri yaptığı kurumsal lisans anlaşması ile bu ürüne sahip, hatta farkında olmayan müşteriler var, bu nedenle bu ürünün kullanımı son derece yararlı olacaktır. Ama mevcut lisansınız içerisinde yok ise ayrı almak biraz maliyetli olabilir.

Ancak Azure Backup için aynı şeyi söyleyemiyorum, çünkü ürün gerçekten ucuz. Örnek bir liste fiyatını paylaşmak istiyorum sizlerle.

1 Sunucu (150Gb Yedekleme) = 12$ /Aylık*

1 Sunucu (500GB Yedekleme) = 20$/Aylık*

*= Servislerin tahmini fiyatlarını göstermektedir. Kullanıma göre farklılık gösterebilir.

Umarım faydalı bir makale olmuştur. Piyasada pek çok ürün bu konuda çözüm üretmektedir, ancak gördüğüm doğru ürünleri doğru şirket organizasyonları için kullanmaktır. Eğer elinizde ATA var ise zaten boş akmasın, mutlaka kullanın. Azure Backup yoksa en azından kritik verileriniz için denemeyi ihmal etmeyin.

Kaynak: https://blogs.technet.microsoft.com/enterprisemobility/2017/02/20/ransomware-lateral-movement-and-how-microsoft-advanced-threat-analytics-can-help/

Bu tür durumlarda ürün hakkında profesyonel destek ve teklif için ITSTACK Bilgi Sistemleri ile görüşebilirsiniz.

Microsoft Advanced Threat Analytics – Microsoft ATA Nedir?

Günümüz güvenlik tehditlerinin bir gereksinimi olarak yeni nesil atakların önlenmesi için yeni nesil güvenlik ürünleri kullanılması gerekmektedir. Geleneksel güvenlik çözümlerinin alternatifi olmayan bu ürünler daha çok onların odaklanmadıkları noktalar için özel üretilmiş çözümlerdir. Örneğin bir Firewall, IDS – IPS sistemleri, dışarıdan gelecek tehditlere özel olarak koruma sağlamak için konumlandırılmış ürünlerdir. Benzer şekilde yine bu sistemler içeriden belirli komuta merkezlerine veya yine ulaşmasını istemediğiniz noktalara çıkışı engelleyecek şekilde yapılandırılabilir. İstemci tarafındaki çözümler ise daha çok o bilgisayar veya kullanıcı için bir izleme – koruma sağlar. Bu ürünler hali hazırda olmalı ve caydırıcı etkisini korumalıdır. Ancak değişen saldırı tipleri nedeni ile bu saldırı tiplerinin sonucunda oluşan açıkları kapatmak için yeni nesil güvenlik çözümleri kullanmalıyız. Microsoft ATA böyle bir üründür. Temel olarak şirket içerisindeki tüm Active Directory trafiğini izleyerek DC üzerinden gerçekleşen her kimlik doğrulama ve yetkilendirme işlemlerinin normal olup olmadığını analiz eder. Geleneksel güvenlik çözümlerinden farklı olarak şirket çalışanlarınızın profillerini çıkararak anormal davranışların tespit edilmesini sağlar. Bu sayede örneğin bir şirket çalışanı şifresini çaldırdığı zaman bu şifre ile firewall sistemlerinizi kolaylıkla geçebilir, çünkü elinde geçerli bir anahtar vardır, bu nedenle ne kadar iyi veya pahalı bir firewall’ a sahip olduğunuz bu noktada çokta önemli değildir. Önemli olan şifresi çalınan kişi o saatte sisteme bağlanıyor muydu, bağlandığı makine biliniyor mu? Yani her gün şirkette kullandığı masa üstü bilgisayarı mı yoksa bilinmedik bir makine mi? Her gün bağlandığı kaynaklara mı bağlanıyor yoksa birde eş zamanlı olarak farklı kaynaklara erişmek isteyip verimi çalıyor? İşte bunların hepsi ATA tarafından rahatlıkla tespit edilebilen atak tiplerinden birkaç tanesidir.

Özetle ATA, şirket ortamınız için davranış analizi yaparak ortamınızı öğrenir, daha sonra anormal bir davranış olması halinde bunu size raporlar. Tüm DC trafiğini dinlediği için istemcinin mobile cihaz, vpn network veya şirket içinden gelmiş olmalı önemli değildir, çünkü hangi kaynağa erişmek isterseniz isteyin mutlaka DC de bir log kaydınız olacaktır. Davranış analizi yanından bilinen ataklara karşıda mevcut veri tabanı ile hızlı bir şekilde raporlama sunar. Ürün hakkında daha fazla bilgi ve kurulum detayları için aşağıdaki videoları ve makaleleri inceleyebilirsiniz

https://channel9.msdn.com/Blogs/HakanUzuner/Microsoft-Advanced-Threat-Analytics-ATA-Nedir-Nasl-alr

https://www.cozumpark.com/blogs/cloud_computing/archive/2015/08/30/microsoft-advanced-threat-analytics-bolum1-what-is-ata.aspx

https://www.cozumpark.com/blogs/cloud_computing/archive/2015/08/30/microsoft-advanced-threat-analytics-bolum2-planning-and-requirements.aspx

https://www.cozumpark.com/blogs/cloud_computing/archive/2015/08/30/microsoft-advanced-threat-analytics-bolum3-deployment-guide-lab-_3101_nstallation.aspx

https://www.cozumpark.com/blogs/cloud_computing/archive/2015/08/30/microsoft-advanced-threat-analytics-bolum4-configure-event-collection.aspx

 

 

Microsoft Advanced Threat Analytics 1.5 Güncellemesi Çıktı

Microsoft ATA için 1.5 sürümü yayınlandı. Mevcut ATA ürünü üzerine kurulum ile aşağıdaki yeni özelliklere kavuşuyoruz

•Faster detection times.
•Improved support for small lab and PoC environments.
•Enhanced automatic algorithm for NAT (network address translation) devices.
•Enhanced name resolution process for non-domain joined devices.
•Added support for data and product migration
•Added ATA Gateway update status in the configuration page.
•Better UI responsiveness for suspicious activities with thousands of entities involved.
•Improved auto-resolution of monitoring alerts.
•Additional performance counters for enhance troubleshooting.
•Fix for “Sometimes gateway service stuck on shutdown”.
•Fix for “Exception when parsing forwarded event messages from Splunk”.
•Fix for “Center service fail to start”.

Daha fazla bilgi için

https://blogs.technet.com/b/ata/archive/2015/12/17/advanced-threat-analytics-update-1-5-is-here.aspx

Microsoft Azure Veri Teknolojileri: Blobs – Sanal Makinede DBMS Çalıştırma – Azure SQL Database – DocumentDB – Tables – HDInsight – Hadoop MapReduce – Hadoop HBase – Search

Microsoft Azure hakkında Türkçe bilgiler bulacağınız bu PDF dosyası içerisinde aşağıdaki konulara değinilmektedir

Blobs,Sanal Makinede DBMS Çalıştırma,Azure SQL Database,DocumentDB,Tables,HDInsight,Hadoop MapReduce,Hadoop HBase,Search

https://www.cozumpark.com/files/folders/yuklemeler/entry479249.aspx

Microsoft Advanced Threat Analytics – Bölüm4 – Configure Event Collection

Makalemin ilk bölümünde temel olarak ATA için çalışma mantığı, topoloji ve özelliklerinden bahsetmiştim. İkinci bölümünde ise artık kurulum gereksinimlerine yer vermiştim. Üçüncü bölümünde ise ATA Center ve ATA Gateway kurulumu ile kurulum sonrasındaki yapılandırma adımlarını anlatmıştım. Bu bölümde ise Event Collection ayarlarını yapacağız.

Öncelikle bir önceki makalemdeki gibi örnek bir topoloji paylaşmak istiyorum ki bu event toplama noktasında anlatacaklarım daha anlaşılır olsun.

Yukarıda gördüğünüz gibi ATA Center, GW üzerinden gelen bilgileri analiz eder, GW ise DC’ lerden bilgi toplar. Yine eğer ortamda SIEM ürünleri var ise onlardan da gelen olay günlüklerini toplayıp Center’ a incelenmesi ve analiz edilmesi için yollayabilir.

ATA’ nın tespit edebildiği ataklardan biri olan “Pass-the-Hash” ‘ in sağlıklı bir şekilde tespit edilmesi için DC üzerinde oluşan Windows Event log ID 4776 olay günlüğüne sahip olması gereklidir. Bunu ya ortamdaki SIEM ürününden ya da DC’ den alabilir.

Burada temel iki yöntem var, birincisi SIEM server’ dan bilgileri almak, ikincisi ise DC’ lerden direkt olarak almak

  • Configuring the ATA Gateway to listen for SIEM events
  • Configuring Windows Event Forwarding

 

Configuring the ATA Gateway to listen for SIEM events

Eğer elinizde bir SIEM ürünü var ise öncelikle ATA GW için bunlardan gelecek bilgileri kabul edecek şekilde ayarlamamız gereklidir. Bunun için GW ayarlarında Syslog Listener UDP ayarını açıyoruz ve kullandığımız aktif ip adresini seçiyoruz.

Daha sonra sahip olduğunuz SIEM ürünü üzerinde yapılandırma (Windows Event ID 4776 loglarını bu ip dresine yönlendirmesi gerekli) gerekmektedir. Desteklenen ürünler ve formatlar için aşağıdaki linki kullanabilirsiniz

RSA Security Analytics

HP Arcsight

Splunk

https://technet.microsoft.com/en-us/dn707705?f=255&MSPPError=-2147217396

 

Configuring Windows Event Forwarding

Eğer elinizde bir SIEM ürünü yok ise DC üzerinden logları alabilirsiniz, bunun için öncelikle ATA üzerinde yine aynı yerde “Windows Event Forwarding Collection” özelliğini aktif ediyoruz.

 

Daha sonra hem ATA WG üzerinde hem de Domain Controller makinesinde yönetici hakları ile çalıştırdığımız powershell konsolunda aşağıdaki komutları çalıştırıyoruz

winrm quickconfig

Daha sonra ATA GW üzerinde aşağıdaki komutu çalıştırıyoruz

wecutil qc

Daha sonra tüm DC makineleri için Event Log Readers Group üyeliğine ATA GW makine hesabını eklemek gerekli.


 

Şimdi ATA Gateway makinesinde Olay günlüğünü yönetici hesabımız ile açalım


Daha sonra sol bölümden “Subscriptions” bölümüne gelelim ve yeni bir üyelik oluşturalım.


Bunları tamamladıktan sonra hangi eventleri almak istiyorsak filtre oluşturacağız.


cap

İki kriteri sadece dolduruyorum, By log bölümünde “Security” ve Event ID bölümünde 4776, sonra süreci tamamlıyorum.


Şu anda ATA GW her iki DC’ den de 4776 olay günlüklerini alacak şekilde ayarlanmıştır.

Makalemin sonuna geldim, umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek dileği ile.

 

Kaynaklar

https://technet.microsoft.com/en-us/dn707709

https://technet.microsoft.com/en-us/dn707710

Microsoft Advanced Threat Analytics – Bölüm3 – Deployment Guide – Lab Installation

Makalemin ilk bölümünde temel olarak ATA için çalışma mantığı, topoloji ve özelliklerinden bahsetmiştim. İkinci bölümünde ise artık kurulum gereksinimlerine yer vermiştim. Bu bölümde ise kurulum ile devam ediyoruz.

Öncelikle örnek bir topoloji paylaşmak istiyorum.

clip_image002

Yukarıda gördüğünüz gibi ATA Center, GW üzerinden gelen bilgileri analiz eder, GW ise DC’ lerden bilgi toplar. Yine eğer ortamda SIEM ürünleri var ise onlardan da gelen olay günlüklerini toplayıp Center’ a incelenmesi ve analiz edilmesi için yollayabilir.

İlk olarak ATA Center yüklemesini gerçekleştireceğim. Senaryo gereği tek makine kullanma şansınız var ancak ben büyük yapılar için bir LAB tasarladığımdan bu şekilde ilerliyorum (tavsiye edilen de ayrı rolleri ayrı sunuculara kurmanızdır).

Windows Server 2012 R2 yüklü ve yamaları yüklenmiş olan ATA Center olacak olan makinede setup dosyasını çalıştırıyorum.

clip_image004

Kurulum dili ve sözleşme sonrasında aşağıdaki gibi bir ekran karşılıyor bizi

clip_image005

 

Bu bölümde önemli olan alanlar aşağıdaki gibidir

ATA Center Service IP address: Port

Öncelikle ATA Center olarak olan makineye iki ip adresi tanımladım. Bunlardan 192.168.10.100 ATA Gateway sunucusunun ATA Center’ a ulaşmak için kullanacağı ip adresidir. Bir nevi ATA sunucuları arasındaki iletişim. İletişimin güvenli olması için sertifika temelli gerçekleşir ve eğer internal CA kullanmıyor veya bu ürünler için kullanmak istemiyorsanız self-signed sertifika ile bu iletişimi sağlayabilirsiniz.

ATA Console IP Address

Bu bölüm ise IIS tarafından kullanılacak ve ATA yönetim konsolunun erişimi için kullanılacaktır. Bu bölüm içinde SS sertifika kullanırsanız kullanıcılar browser üzerinde uyarı görebilirler, bu nedenle bu bölüm için yani IIS için isterseniz makineye sertifika yükleyebilirsiniz.

clip_image006

Yükleme bittikten sonra öncelikle sunucuyu restart ediyoruz. Daha sonra aşağıdaki adımları ile hızlıca bir kontrol sağlayabiliriz.

Öncelikle Microsoft Advanced Threat Analytics Center servisinin çalışıyor olması gereklidir.

clip_image007

İkinci olarak masa üstündeki Control Center kısa yoluna tıklayıp kimlik bilgileri ile konsol girişi yapalım

clip_image008

clip_image009

Eğer konsol hiç gelmiyor ise kullanmış olduğunuz Windows server 2012 R2 yamaları eksik olabilir, özellikle KB2934520 bu yamayı yükledikten sonra bir kez daha deneyin.

 

Eğer bu adımlarda bir sorun yaşarsanız aşağıdaki dizinde bulunan “Microsoft.Tri.Center-Errors.log” isimli log dosyasını kontrol edebilirsiniz.

%programfiles%\Microsoft Advanced Threat Analytics\Center\Logs

Kurulum tamamlandıktan sonra ilk adımımız domain erişim bilgilerini girmek olacak. Bunun için yönetim konsolunda sağ üst köşeden Configuration bölümüne geliyoruz

clip_image010

 

clip_image012

Burada yaptığımız ayar, bundan sonra kurulacak tüm ATA Gateway sunucuları için merkezi bir ayar olup bu bilgiler ile Domain erişimi sağlayacaklardır.

Şimdi bir sonraki adımımız olan ATA Gateway kurulumuna geçelim. Bunun için GW makinesine login olup yine ata yönetim konsolunu ip üzerinden açıyoruz.

Yukarıdaki bölüme gelip Gateway için gerekli yükleme dosyasını indiriyoruz

clip_image014

 

clip_image015

 

Yükleme öncesinde GW rolü yüklenecek sunucu için DC port yönlendirmesinin doğru yapılandırıldığını kontrol etmemiz gerekiyor. Eğer ortamınızda Hyper-V var ise bunun için yapmanız gereken DC makine üzerinde aşağıdaki ayarı kaynak, GW makinelerde ise Hedef yapmanız yeterli

clip_image016

clip_image017

Daha sonra https://www.microsoft.com/en-us/download/details.aspx?id=4865 link üzerinden Microsoft Network Monitor indirip yüklüyoruz. ( bu ürün dışında Microsoft Message Analyzer da dahil olmak üzere hiçbir network yakalama, dinleme aracı kesinlikle yüklemeyiniz)

Daha sonra aşağıdaki link üzerindeki yönergeleri takip ederek (resimli anlatım olduğu için bir kez daha burada yer vermeye gerek duymadım ) gerçekten port yönlendirme çalışıyor mu kontrol edebilirsiniz. Eğer eminseniz bu adımları yapmak zorunda değilsiniz

https://technet.microsoft.com/en-us/dn707710

Benim ortamımda her şey istediğim gibi J

clip_image018

 

Şimdi bir update kontrolü yapalım

Get-HotFix -Id kb2919355

clip_image019

Bu yama da yüklü ise artık GW setup dosyasını çalıştırabiliriz

clip_image021

 

clip_image023

Kullanıcı adı ve şifre ATA konsol için kullandığınız ki benim domain admin hesabım, ancak buraya ATA için açtığınız ve yine Ata Center makinesinde yerel bir grup olan “Microsoft Advanced Thereat Analytics Administratos” üyesi bir domain user olabilir. Ama tercihim ATA servis kullanıcısının bu gruba üye yapıp bu tür yüklemelerde bu servis kullanıcısının kullanmanızdır. Malum admin şifresi değişecektir.

clip_image025

 

Yükleme sonrasında makineyi bir kere restart ediyoruz. Bu yükleme sonrası da yükleme kontrollerini yapabiliriz, öncelikle yine Microsoft Advanced Threat Analytics Gateway servisini kontrol edin, çalışıyor olması gerekli. Eğer başlamıyor ise aşağıdaki yolda bulunan “Microsoft.Tri.Gateway-Errors.log” log dosyası içerisinde transfer” veya “service start” kelimelerini arayın.

“%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs

Buna ek olarak performans monitör ile aşağıdaki sayaçların hareketli olduğunu kontrol edebilirsiniz

NetworkListener Captured Frames / sec

EntityTransfer Activity Transfers/Sec

Bu temel kontrolden sonra ATA yönetim ara yüzünü açıyoruz. Sağ bölümde yine Configuration – ATA Gateways bölümüne geliyoruz.

 

clip_image026

Yukarıdaki gibi ilk kurduğumuz GW için ilgili alanları dolduruyoruz. Açıklama şart değil, ama büyük yapılarda hangi Gw leri hangi amaç için kullandığınızı anlamak için yararlı olacaktır.

İkinci bölüm ise son derece önemli olup, port yönlendirilmesi ile bilgileri toplanan domain controller makinelerinin mutlaka isimleri burada yer alıyor olmalıdır. Örneğin benim ortamımdaki iki domain controller dinlenecek şekilde ayarlanmış durumda şu anda ( her ikisi de port yönlendirme ile bu makineye bilgi gönderiyor).

Ayarları kayıt etmeyi unutmayın.

clip_image028

Hemen bu ayarlardan sonra sağ bölümde aşağıdaki gibi ortamınızın bir özetini görebilirsiniz

clip_image029

Benim lab ortamım küçük olduğu için çok etkileyici rakamlar yok. Ancak makalemin devamında sizler ile paylaşacağım tehditler, 3 haftadan daha uzun süre gerçek bir domain ortamında çalışan üründen yararlanılarak yazılacaktır.

Kuruluma dair son bir ek ayar bulunmaktadır. Eğer ATA’ nın çalıştığı network ortamında VPN veya Wifi gibi sınırlı sürede ip alan ve kullanan bilgisayarlar var ise bunu ATA ya tanımlamak gerekli.

Bunun için yine konfigürasyon sayfasında “detection” sekmesine geliyoruz.

clip_image030

Belirttiğim gibi network ID leri ve ATA Servis kullanıcı SID bilgisini giriyoruz

SID için aşağıdaki komutu kullanabilirsiniz

Get-ADUser UserName –Properties

Veya direkt olarak aşağıdaki gibi domain ve kullanıcı adı bölümünü kendinize uyarlarsanız SID’ i direkt alabilirsiniz

$objUser = New-Object System.Security.Principal.NTAccount(“cozumpark”, “ata”)

$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])

$strSID.Value

Yukarıdaki powershell ile benim servis kullanıcımın SID numarasını alıp buraya yazıyorum

S-1-5-21-442951508-1167708105-1809926268-1110

Bu son ayar ile kurulumu tamamlamış olduk. Bundan sonra bölümlerde Event Collection ve aktif ortamlardaki raporları sizler ile paylaşıyor olacağım.

Kaynaklar

https://technet.microsoft.com/en-us/dn707709

https://technet.microsoft.com/en-us/dn707710

Microsoft Advanced Threat Analytics Artık Herkese Açık

Bundan önce iki bölüm makalesini yazdığım ATA ürünü artık herkesin kullanımına sunulmuş durumdadır.

https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics

Makalelerim için

Microsoft Advanced Threat Analytics ATA – Bölüm2

Microsoft Advanced Threat Analytics ATA – Bölüm1