Microsoft Advanced Threat Analytics ATA 1.6 Yenilikler ve Kurulum
Microsoft ATA Mayıs 2016 itibari ile 5 Milyon kullanıcı 10 Milyon aygıtı izleyen ve son derece popüler bir güvenlik ürünü haline gelmiştir. Ürünü bilenler için bir daha detaylandırmaya gerek yok, ilk defa duyanlar ise aşağıdaki yazıları inceleyebilir
Microsoft Advanced Threat Analytics – Bölüm 1 – What is ATA
Microsoft Advanced Threat Analytics – Bölüm 2 – Planning and Requirements
Microsoft Advanced Threat Analytics – Bölüm 3 – Deployment Guide – Lab Installation
Microsoft Advanced Threat Analytics – Bölüm 4 – Configure Event Collection
https://sozluk.cozumpark.com/goster.aspx?id=4024&kelime=Microsoft-ATA
https://channel9.msdn.com/Blogs/HakanUzuner/Microsoft-Advanced-Threat-Analytics-ATA-Nedir-Nasl-alr
Peki 1.6 sürümü ile neler geldi?
UEBA pazarının lideri olan ATA bu pazar için çıtayı yükseltmiş ve yeni standartlar belirlemiştir;
Yeni Saldırı Tespitleri
Kötü niyetli kişiler her geçen gün saldırı teknikleri ve yöntemlerini değiştirdiği için ATA da bu alanda özellikle saldırganların yeni yöneldikleri alanları tespit edebilmektedir.
Reconnaissance via Net Session enumeration
DC, GPO özelliği nedeni ile bir file server gibi hizmer vermekte olup istemciler GPO ayarlarını almak için SMB üzerinden DC lere bağlanmaktadır. Kötü niyetli kişiler keşif çalışmasında bu alanı kullanıp DC’ den o andaki tüm session’ lar için kullanıcı adı ve ip bilgisi isteyebilirler.
Compromised credentials via Malicious Replication Request
Benzer şekilde yine kötü niyetli kişiler düzenli olarak replikasyon yapan DC’ ler için bu trafiği manipüle edip buradan kullanıcı şifre bilgilerini alabilirler.
Compromised Credentials via Malicious DPAPI Request
Data Protection API (DPAPI), şifre temelli bir veri koruma servisidir. Bu veri koruma servisi pek çok uygulama tarafından kullanılmaktadır kullanıcı kimlik bilgisini saklamak için kullanılır ( Örneğin bir web sitesi giriş şifresi veya bir dosya paylaşımına erişim için kullancak şifre gibi). Ek olarak bu servis olası bir şifre kaybına karşın gizlenmiş verilerin tekrar erişilmesi için bir kurtarma anahtarı sunar. Kötü niyetli kişiler bu kurtarma anahtarını ele geçirebilir ve bu durumda şifre bilgilerinide edinmiş olurlar
Yeni Dağıtım Seçeneği
ATA Lightweight Gateway sayesinde on-prem veya Iaas modeli çalışan Domain ortamlarınızda özel bir sunucu ya da port yönlendirmesi olmadan ATA Gateway kurabilirsiniz. Domain Controller makine üzerine direkt olarak kurulan bu servis sayesinde artık port yönlendirme ihtiyacı ortadan kalkmaktadır. DC üzerine kurulan bu servis DC üzerindeki kaynakların kullanımını da otomatik olarak ayarlamaktadır. Bu sayede mevcut DC üzerinde çalışan servisler veya hizmetler bundan etkilenmez. Ek olarak bu yeni model sayesinde uzak ofislerde özellikle kaynak yetersizliği veya port yönlendirme imkânı olmayan durumlar için kolay dağıtım sağlar.
Bu yeni servis modelinden sonra mimari artık aşağıdaki gibi değişmiştir
Eskiden olduğu gibi yine ATA Center ve ATA Gateway olmasına karşın artık isterseniz port yönlendirme ile ATA Gateway kurmak yerine DC üzerine ATA Lightweight Gateway kurabilirsiniz. İsterseniz bu iki modeli de aynı anda kullanabilirsiniz. Yani merkez site içerisinde ATA Gateway kullanırken uzak ofislerde port yönlendirme veya ek GW sunucusu için kaynak olmaması durumunda ATA Lightweight Gateway kurabilirsiniz.
Ancak bu modelde önemli olan DC üzerinde yeterli bilgisayar gücü olması.
Yukarıda gördüğünüz gibi DC %30 kaynak kullanırken birden bu %60 olur ise bu durumda ATA GW kaynaklarını sınırlamaktadır, fakat bu durumda izlenen trafikte kayıplar olacaktır.
ATA Gateway için bundan önceki makalelerimde sizing yani gerekli olan makine yapılandırma ayarlarını paylaşmıştım, isterseniz bu bilgiye aşağıdaki link üzerinden ulaşabilirsiniz
https://docs.microsoft.com/en-us/advanced-threat-analytics/plan-design/ata-capacity-planning
Yine bu link içerisinde ATA L-Gateway kurulumu içinde gerekli olan kaynakları görebilirsiniz
Performans ve Ölçekleme
1.6 sürümü ile artık daha performanslı çalışan ATA özellikle eski sürüme göre veri depolama alanında 5 kat daha az yer istemektedir. Performans tarafındaki iyileştirme özellikle tespit etme motorunda ( detection engine ) gerçekleştirilmiş olup bu sayede çok büyük yapılarda dahi sorunsuz bir şekilde ürünü kullanabilirsiniz.
Otomatik Update Desteği
Güvenlik alanında güncelleme çok önemli olduğu için ATA artık WSUS; SCCM veya Windows Update üzerinden otomatik olarak güncellenebilecektir. Bu sayede yeni özellikleri kazanmak için elle indirme yükleme yapmaya gerek yoktur. İlk olarak ATA Center yükseltildikten sonra yine konfigürasyon yapılmış ise ATA Gateway makineleri de otomatik olarak yükseltilecektir.
3 Parti Program Entegrasyonu
Malum ATA için SIEM önemli bir ürün olup mevcut SIEM ürünü üzerinden log alabilir ve bunu tespitlerinde kullanabilirken benzer şekilde kendi sonularını da bir SIEM ile paylaşabilir. Bu konuda hali hazırda çalıştığı SIEM ürünlerine ek olarak bu sürümde IBM QRADAR ile entegre çalışmaktadır. ( bir önceki sürüm hali hazırda RSA Security Analytics, HP Arcsight ve Splunk ile entegre çalışıyordu)
Peki, kurulum adımlarına geçelim.
Kurulum öncesi malum ortamınız için hazırlıkları bundan önceki makalelerimi inceleyerek edinebilirsiniz.
Microsoft Advanced Threat Analytics – Bölüm 2 – Planning and Requirements
Not: Eğer ATA 1.6 ile beraber gelen servis bazlı Gateway kurmak istiyorsanız yukarıdaki gereksinimlerde bulunan port yönlendirmelere ihtiyacınız yoktur.
Daha fazla kurulum öncesi gereksinim bilgisi için aşağıdaki linki kullanabilirsiniz
https://docs.microsoft.com/en-us/advanced-threat-analytics/deploy-use/preinstall-ata
Ürünü Microsoft Volume Licensing Service Center, TechNet Evaluation Center veya MSDN üzerinden indirebilirsiniz.
Ben TechNet linki paylaşıyorum
https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics
Ürünü indirdikten sonra ilk olarak Center kurulumu için hazırladığımız makinede kurulumu başlatıyoruz.
Eski sürüme göre ilk göze çarpan özellikle Windows Update ile otomatik güncelleme alması. Bizde tabiki bunu seçip ilerliyoruz.
Bu ekran 1.5 sürümü ile aynı olup detayları aşağıdaki gibidir;
Öncelikle ATA Center kurulacak olan makinede tek Ethernet iki ip olması gerekliydi, bunu bir önceki makalemde paylaşmıştım. Benim 10.0.1.105 ve 10.0.1.106 ip adreslerim hazır.
ATA Center Service IP address: Port
ATA Gateway ve Center görüşmesi için kullanılacak olan servis ip adresi ve port numarasıdır.
ATA Console IP Address
ATA web ara yüzü hizmeti için kullanılacak olan ip adresidir.
Her iki ip adresi için güvenlik iletişimi sağlamak adına sertifika temin edilebilir. Ben demo ortamına kurulum yaptığım için self signed sertifika kullanacağım.
Kurulum sonrasında ilk olarak servisleri kontrol edebilirsiniz, “Microsoft Advanced Threat Analytics Center” servisi çalışıyor olmalıdır. Hemen sonrasında browser yardımı ile ATA Center’ a giriş yapabilirsiniz.
Ek olarak veri tabanı servisini kontrol edebilirsiniz
Kurulum sonrasında karşımıza aşağıdaki gibi ayar ekranı çıkacaktır
Eğer bu ekran çıkmaz ise aşağıdaki gibi ulaşabilirsiniz.
Bu ekrana Domain erişim bilgilerini tanımlayınız. Kullanıcı standart bir domain kullanıcı hesabı seçebilirsiniz. Bu hesap güvenlik nedeni ile ATA ve benzeri bir isim içermemelidir. Yine bunu servis hesabı olarak kullanabilirsiniz, bu nedenle bu hesabı ek olarak ATA makinesinde local admin yapınız.
Not: ben demo ortamı olduğu için administrator hesabı ile bağlantı kuruyorum.
Bu ayarları yaptıktan sonra ek olarak aşağıdaki gibi bir seçenek göreceksiniz
Bu seçenek sayesinde ATA center yeni bir yükseltme aldığında otomatik olarak GW makineleri de yükseltilecektir.
Bu işlemi tamamladıktan sonra ATA Gateway makinesine gidip ATA Center URL adresinden GW yükleme dosyasını indirmemiz gerekiyor.
Bu yükleme adımını iki şekilde gerçekleştirebiliriz. Eğer ATA GW için ayrı bir makine ayarladınız ve port yönlendirme yaptıysanız bu durumda öncelikle o makinede aşağıdaki yamanın yüklü olduğunu kontrol ediniz
KB2919355
Daha sonra ATA Center üzerinden yükleme dosyasını indiriniz
Bunun için konfigürasyon bölümünden ATA Gateway sekmesine tıklıyoruz
İndirdiğimiz bu dosya aynı zamanda ATA Lightweight Gateway yükleme dosyasıdır, yani bu dosyayı bir DC ye yüklemeniz halinde ek bir GW makinesine gerek olmayacaktır ( ilgili DC için ).
İndirme işleminden sonra yükleme adımları aşağıdaki gibidir;
Yukarıda gördüğünüz gibi yükleme yöneticisi şu anda DC olmayan ayrı bir makinede yükleme yaptığımızı fark etti ve bize böyle bir yükleme için port yönlendirme gerektiğini hatırlatıyor.
Yükleme için ATA Center makinesindeki bir lokal admin kullanıcısı gerekli ki bunu domain de ki bir servis hesabını kullanarak gerçekleştirebiliriz.
Yükleme sonrasında tekrar ATA Center’ a bağlanıyoruz.
ATA GW için açıklayıcı bir tanımlama yapıyoruz, dinlediğimiz domain controller makinelerinin FQDN bilgisi yazıyoruz, capture yani port yönlendirilmiş olan interface’ i seçiyoruz.
Not: port yönlendirmeden emin olmak için aşağıdaki makaledeki gibi Network Monitor ile paketleri kontrol etmeniz gereklidir
https://docs.microsoft.com/en-us/advanced-threat-analytics/deploy-use/validate-port-mirroring
Domain synchronizer candidate seçeneği ise, bir ATA GW makinesini AD ile eşitleme konusunda sorumlu yapabiliriz ( kullanıcı, grup üyelikleri, foto, şifre değiştirme tarihi vb). Aslında bunu birkaç GW makinesi içinde yapabiliriz, ancak uzak site içerisinde bulunan GW makineleri için varsayılan olarak açık gelen bu ayarı kapatmanızı tavsiye ederim.
Eğer sistem sorunsuz çalışıyor ise 5dk gibi kısa bir sürede hem servis çalışacak (Microsoft Advanced Threat Analytics Gateway) hem de benim lab ortamımda olduğu gibi ortamınız hakkında sağ üst köşede bilgi verecektir
Not: sorun oluşması durumunda bu dizindeki log dosyasını kontrol edebilirsiniz
“%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs”
Bu son ayar ile temel kurulum tamamlanmış oldu. Ek olarak VPN network tanımlanması, Honeytoken user dediğimiz tuzak kullanıcı SID girişi ve Event Log işlemleri için aşağıdaki makaleyi inceleyebilirsiniz
Microsoft Advanced Threat Analytics – Bölüm 3 – Deployment Guide – Lab Installation
Microsoft Advanced Threat Analytics – Bölüm 4 – Configure Event Collection
Diğer bir GW kurma yöntemi ise DC üzerine kurulumdur. Yani GW için ayrı bir makine ayarlamak yerine DC üzerine kurulum yapabilirsiniz. Aynı yükleme dosyasını DC üzerinde çalıştırın
Not: yükleme .NET 4.6.1 ister ve yükler, bu nedenle böyle bir değişiklik sonucunda DC’ nin yeniden başlaması istenecektir. Hem değişiklik yapmak noktasında hem de yeniden başlatma noktasında temkinli olunuz.
Yüklemenin Lightweight olduğunu görebiliyoruz.
Demo ortamındaki DC minimum gereksinimleri karşılamıyor ama ben kuruluma devam ediyorum.
Aynı kullanıcı ile yükleme yapıyorum.
Yükleme tamamlandı. Eğer sadece ATA Lightweigth kurulumu yaparsanız Center üzerinde, ayarlarda GW menüsünde aşağıdaki gibi bir ekran göreceksiniz
Yani ek bir Gateway makinesi yok dikkat ederseniz, sadece DC var.
Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere.
Kaynak
https://docs.microsoft.com/en-us/advanced-threat-analytics/plan-design/ata-capacity-planning