Microsoft Advanced Threat Analytics ATA 1.6 Yenilikler ve Kurulum

Microsoft Advanced Threat Analytics ATA 1.6 Yenilikler ve Kurulum

Microsoft ATA Mayıs 2016 itibari ile 5 Milyon kullanıcı 10 Milyon aygıtı izleyen ve son derece popüler bir güvenlik ürünü haline gelmiştir. Ürünü bilenler için bir daha detaylandırmaya gerek yok, ilk defa duyanlar ise aşağıdaki yazıları inceleyebilir

Microsoft Advanced Threat Analytics – Bölüm 1 – What is ATA

Microsoft Advanced Threat Analytics – Bölüm 2 – Planning and Requirements

Microsoft Advanced Threat Analytics – Bölüm 3 – Deployment Guide – Lab Installation

Microsoft Advanced Threat Analytics – Bölüm 4 – Configure Event Collection

https://sozluk.cozumpark.com/goster.aspx?id=4024&kelime=Microsoft-ATA

https://channel9.msdn.com/Blogs/HakanUzuner/Microsoft-Advanced-Threat-Analytics-ATA-Nedir-Nasl-alr

Peki 1.6 sürümü ile neler geldi?

UEBA pazarının lideri olan ATA bu pazar için çıtayı yükseltmiş ve yeni standartlar belirlemiştir;

Yeni Saldırı Tespitleri

Kötü niyetli kişiler her geçen gün saldırı teknikleri ve yöntemlerini değiştirdiği için ATA da bu alanda özellikle saldırganların yeni yöneldikleri alanları tespit edebilmektedir.

Reconnaissance via Net Session enumeration

DC, GPO özelliği nedeni ile bir file server gibi hizmer vermekte olup istemciler GPO ayarlarını almak için SMB üzerinden DC lere bağlanmaktadır. Kötü niyetli kişiler keşif çalışmasında bu alanı kullanıp DC’ den o andaki tüm session’ lar için kullanıcı adı ve ip bilgisi isteyebilirler.

Compromised credentials via Malicious Replication Request

Benzer şekilde yine kötü niyetli kişiler düzenli olarak replikasyon yapan DC’ ler için bu trafiği manipüle edip buradan kullanıcı şifre bilgilerini alabilirler.

Compromised Credentials via Malicious DPAPI Request

Data Protection API (DPAPI), şifre temelli bir veri koruma servisidir. Bu veri koruma servisi pek çok uygulama tarafından kullanılmaktadır kullanıcı kimlik bilgisini saklamak için kullanılır ( Örneğin bir web sitesi giriş şifresi veya bir dosya paylaşımına erişim için kullancak şifre gibi). Ek olarak bu servis olası bir şifre kaybına karşın gizlenmiş verilerin tekrar erişilmesi için bir kurtarma anahtarı sunar. Kötü niyetli kişiler bu kurtarma anahtarını ele geçirebilir ve bu durumda şifre bilgilerinide edinmiş olurlar

Yeni Dağıtım Seçeneği

ATA Lightweight Gateway sayesinde on-prem veya Iaas modeli çalışan Domain ortamlarınızda özel bir sunucu ya da port yönlendirmesi olmadan ATA Gateway kurabilirsiniz. Domain Controller makine üzerine direkt olarak kurulan bu servis sayesinde artık port yönlendirme ihtiyacı ortadan kalkmaktadır. DC üzerine kurulan bu servis DC üzerindeki kaynakların kullanımını da otomatik olarak ayarlamaktadır. Bu sayede mevcut DC üzerinde çalışan servisler veya hizmetler bundan etkilenmez. Ek olarak bu yeni model sayesinde uzak ofislerde özellikle kaynak yetersizliği veya port yönlendirme imkânı olmayan durumlar için kolay dağıtım sağlar.

Bu yeni servis modelinden sonra mimari artık aşağıdaki gibi değişmiştir


Eskiden olduğu gibi yine ATA Center ve ATA Gateway olmasına karşın artık isterseniz port yönlendirme ile ATA Gateway kurmak yerine DC üzerine ATA Lightweight Gateway kurabilirsiniz. İsterseniz bu iki modeli de aynı anda kullanabilirsiniz. Yani merkez site içerisinde ATA Gateway kullanırken uzak ofislerde port yönlendirme veya ek GW sunucusu için kaynak olmaması durumunda ATA Lightweight Gateway kurabilirsiniz.


Ancak bu modelde önemli olan DC üzerinde yeterli bilgisayar gücü olması.


 

Yukarıda gördüğünüz gibi DC %30 kaynak kullanırken birden bu %60 olur ise bu durumda ATA GW kaynaklarını sınırlamaktadır, fakat bu durumda izlenen trafikte kayıplar olacaktır.

ATA Gateway için bundan önceki makalelerimde sizing yani gerekli olan makine yapılandırma ayarlarını paylaşmıştım, isterseniz bu bilgiye aşağıdaki link üzerinden ulaşabilirsiniz

https://docs.microsoft.com/en-us/advanced-threat-analytics/plan-design/ata-capacity-planning

Yine bu link içerisinde ATA L-Gateway kurulumu içinde gerekli olan kaynakları görebilirsiniz


 

Performans ve Ölçekleme

1.6 sürümü ile artık daha performanslı çalışan ATA özellikle eski sürüme göre veri depolama alanında 5 kat daha az yer istemektedir. Performans tarafındaki iyileştirme özellikle tespit etme motorunda ( detection engine ) gerçekleştirilmiş olup bu sayede çok büyük yapılarda dahi sorunsuz bir şekilde ürünü kullanabilirsiniz.

Otomatik Update Desteği

Güvenlik alanında güncelleme çok önemli olduğu için ATA artık WSUS; SCCM veya Windows Update üzerinden otomatik olarak güncellenebilecektir. Bu sayede yeni özellikleri kazanmak için elle indirme yükleme yapmaya gerek yoktur. İlk olarak ATA Center yükseltildikten sonra yine konfigürasyon yapılmış ise ATA Gateway makineleri de otomatik olarak yükseltilecektir.

3 Parti Program Entegrasyonu

Malum ATA için SIEM önemli bir ürün olup mevcut SIEM ürünü üzerinden log alabilir ve bunu tespitlerinde kullanabilirken benzer şekilde kendi sonularını da bir SIEM ile paylaşabilir. Bu konuda hali hazırda çalıştığı SIEM ürünlerine ek olarak bu sürümde IBM QRADAR ile entegre çalışmaktadır. ( bir önceki sürüm hali hazırda RSA Security Analytics, HP Arcsight ve Splunk ile entegre çalışıyordu)

Peki, kurulum adımlarına geçelim.

Kurulum öncesi malum ortamınız için hazırlıkları bundan önceki makalelerimi inceleyerek edinebilirsiniz.

Microsoft Advanced Threat Analytics – Bölüm 2 – Planning and Requirements

Not: Eğer ATA 1.6 ile beraber gelen servis bazlı Gateway kurmak istiyorsanız yukarıdaki gereksinimlerde bulunan port yönlendirmelere ihtiyacınız yoktur.

Daha fazla kurulum öncesi gereksinim bilgisi için aşağıdaki linki kullanabilirsiniz

https://docs.microsoft.com/en-us/advanced-threat-analytics/deploy-use/preinstall-ata

Ürünü Microsoft Volume Licensing Service Center, TechNet Evaluation Center veya MSDN üzerinden indirebilirsiniz.

Ben TechNet linki paylaşıyorum

https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics

Ürünü indirdikten sonra ilk olarak Center kurulumu için hazırladığımız makinede kurulumu başlatıyoruz.



Eski sürüme göre ilk göze çarpan özellikle Windows Update ile otomatik güncelleme alması. Bizde tabiki bunu seçip ilerliyoruz.


Bu ekran 1.5 sürümü ile aynı olup detayları aşağıdaki gibidir;

Öncelikle ATA Center kurulacak olan makinede tek Ethernet iki ip olması gerekliydi, bunu bir önceki makalemde paylaşmıştım. Benim 10.0.1.105 ve 10.0.1.106 ip adreslerim hazır.

ATA Center Service IP address: Port

ATA Gateway ve Center görüşmesi için kullanılacak olan servis ip adresi ve port numarasıdır.

ATA Console IP Address

ATA web ara yüzü hizmeti için kullanılacak olan ip adresidir.

Her iki ip adresi için güvenlik iletişimi sağlamak adına sertifika temin edilebilir. Ben demo ortamına kurulum yaptığım için self signed sertifika kullanacağım.



Kurulum sonrasında ilk olarak servisleri kontrol edebilirsiniz, “Microsoft Advanced Threat Analytics Center” servisi çalışıyor olmalıdır. Hemen sonrasında browser yardımı ile ATA Center’ a giriş yapabilirsiniz.


Ek olarak veri tabanı servisini kontrol edebilirsiniz


Kurulum sonrasında karşımıza aşağıdaki gibi ayar ekranı çıkacaktır


Eğer bu ekran çıkmaz ise aşağıdaki gibi ulaşabilirsiniz.

 


Bu ekrana Domain erişim bilgilerini tanımlayınız. Kullanıcı standart bir domain kullanıcı hesabı seçebilirsiniz. Bu hesap güvenlik nedeni ile ATA ve benzeri bir isim içermemelidir. Yine bunu servis hesabı olarak kullanabilirsiniz, bu nedenle bu hesabı ek olarak ATA makinesinde local admin yapınız.

Not: ben demo ortamı olduğu için administrator hesabı ile bağlantı kuruyorum.

Bu ayarları yaptıktan sonra ek olarak aşağıdaki gibi bir seçenek göreceksiniz


Bu seçenek sayesinde ATA center yeni bir yükseltme aldığında otomatik olarak GW makineleri de yükseltilecektir.

Bu işlemi tamamladıktan sonra ATA Gateway makinesine gidip ATA Center URL adresinden GW yükleme dosyasını indirmemiz gerekiyor.

Bu yükleme adımını iki şekilde gerçekleştirebiliriz. Eğer ATA GW için ayrı bir makine ayarladınız ve port yönlendirme yaptıysanız bu durumda öncelikle o makinede aşağıdaki yamanın yüklü olduğunu kontrol ediniz

KB2919355

Daha sonra ATA Center üzerinden yükleme dosyasını indiriniz

Bunun için konfigürasyon bölümünden ATA Gateway sekmesine tıklıyoruz


İndirdiğimiz bu dosya aynı zamanda ATA Lightweight Gateway yükleme dosyasıdır, yani bu dosyayı bir DC ye yüklemeniz halinde ek bir GW makinesine gerek olmayacaktır ( ilgili DC için ).

İndirme işleminden sonra yükleme adımları aşağıdaki gibidir;



Yukarıda gördüğünüz gibi yükleme yöneticisi şu anda DC olmayan ayrı bir makinede yükleme yaptığımızı fark etti ve bize böyle bir yükleme için port yönlendirme gerektiğini hatırlatıyor.


Yükleme için ATA Center makinesindeki bir lokal admin kullanıcısı gerekli ki bunu domain de ki bir servis hesabını kullanarak gerçekleştirebiliriz.


Yükleme sonrasında tekrar ATA Center’ a bağlanıyoruz.


ATA GW için açıklayıcı bir tanımlama yapıyoruz, dinlediğimiz domain controller makinelerinin FQDN bilgisi yazıyoruz, capture yani port yönlendirilmiş olan interface’ i seçiyoruz.

Not: port yönlendirmeden emin olmak için aşağıdaki makaledeki gibi Network Monitor ile paketleri kontrol etmeniz gereklidir

https://docs.microsoft.com/en-us/advanced-threat-analytics/deploy-use/validate-port-mirroring

Domain synchronizer candidate seçeneği ise, bir ATA GW makinesini AD ile eşitleme konusunda sorumlu yapabiliriz ( kullanıcı, grup üyelikleri, foto, şifre değiştirme tarihi vb). Aslında bunu birkaç GW makinesi içinde yapabiliriz, ancak uzak site içerisinde bulunan GW makineleri için varsayılan olarak açık gelen bu ayarı kapatmanızı tavsiye ederim.

Eğer sistem sorunsuz çalışıyor ise 5dk gibi kısa bir sürede hem servis çalışacak (Microsoft Advanced Threat Analytics Gateway) hem de benim lab ortamımda olduğu gibi ortamınız hakkında sağ üst köşede bilgi verecektir

Not: sorun oluşması durumunda bu dizindeki log dosyasını kontrol edebilirsiniz

“%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs”


Bu son ayar ile temel kurulum tamamlanmış oldu. Ek olarak VPN network tanımlanması, Honeytoken user dediğimiz tuzak kullanıcı SID girişi ve Event Log işlemleri için aşağıdaki makaleyi inceleyebilirsiniz

Microsoft Advanced Threat Analytics – Bölüm 3 – Deployment Guide – Lab Installation

Microsoft Advanced Threat Analytics – Bölüm 4 – Configure Event Collection

Diğer bir GW kurma yöntemi ise DC üzerine kurulumdur. Yani GW için ayrı bir makine ayarlamak yerine DC üzerine kurulum yapabilirsiniz. Aynı yükleme dosyasını DC üzerinde çalıştırın

Not: yükleme .NET 4.6.1 ister ve yükler, bu nedenle böyle bir değişiklik sonucunda DC’ nin yeniden başlaması istenecektir. Hem değişiklik yapmak noktasında hem de yeniden başlatma noktasında temkinli olunuz.


Yüklemenin Lightweight olduğunu görebiliyoruz.


Demo ortamındaki DC minimum gereksinimleri karşılamıyor ama ben kuruluma devam ediyorum.


Aynı kullanıcı ile yükleme yapıyorum.


Yükleme tamamlandı. Eğer sadece ATA Lightweigth kurulumu yaparsanız Center üzerinde, ayarlarda GW menüsünde aşağıdaki gibi bir ekran göreceksiniz


Yani ek bir Gateway makinesi yok dikkat ederseniz, sadece DC var.

Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere.

Kaynak

https://docs.microsoft.com/en-us/advanced-threat-analytics/plan-design/ata-capacity-planning