Microsoft Advanced Threat Analytics 1.9 Update 2 Kurulum ve Konfigürasyonu

Advanced Threat Analytics (ATA), kurumunuzdaki çeşitli türlerdeki, gelişmiş ve hedefe yönelik siber saldırıların yanı sıra dahili tehditlerden de korumaya yardımcı olan bir platformdur. ATA On-Premise Active Directory ortamında çalışmaktadır. Active Directory üzerinde davranış analizi yaparak ortamınızı öğrenir, daha sonra anormal bir davranış olması halinde bunu tespit ederek, alarmlar oluşturur. ATA bu şüpheli etkinlikleri Kim, Ne, Ne Zaman ve Nasıl sorularına yönelik net bir bakış sağlayarak bilgileri ATA konsolunda gösterir. ATA konsolu üzerinde mail ile anlık bildirimler yapılabileceği gibi, günlük raporlarda üretilebilmektedir.

ATA, üç ana konuda bizlere yardımcı olur.

1.Kötü amaçlı saldırılar: Aşağıdakiler gibi bilinen ve gelişmiş saldırı türlerinin tespit edilmesinde yardımcı olur.

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Forged PAC (MS14-068)
  • Golden Ticket
  • Malicious replications
  • Reconnaissance
  • Brute Force
  • Remote execution

2.Anormal davranışlar: Machine Learning özelliği ile davranış analizi yaparak, anormal davranışların tespit edilmesinde yardımcı olur.

  • Anomalous logins
  • Unknown threats
  • Password sharing
  • Lateral movement
  • Modification of sensitive groups

3.Riskler ve Güvenlik Yapılandırmanız ile ilgili Sorunlar: Zayıf protokoller ve protokol bazlı güvenlik açıklarının tespit edilmesinde yardımcı olur.

  • Broken trust
  • Weak protocols
  • Known protocol vulnerabilities

Bu bilgilendirmelerden sonra ATA kurulumuna geçiyoruz.

ATA Server yapılandırılacak olan sunucu hazırlanır. Sunucu üzerinde gerekli security hardening çalışması yapıldıktan sonra domain’a dahil edilir. ATA Server ön koşulları tamamlanır.

ATAServer ön koşulları aşağıdaki link’te bulunmaktadır.

https://docs.microsoft.com/tr-tr/advanced-threat-analytics/ata-prerequisites

Server Manager ekranı üzerinden Local Server alanına gelinerek, sunucu ismi belirlenir.

Sonrasında Sunucu domain’e dahil edilir.

Sunucu domaine dahil edildikten sonra restart edilir.

Sunucuya admin yetkisine sahip hesap ile giriş yapılır.

ATA Kurulum dosyaları indirildikten sonra sunucu içerisindeki ilgili klasöre kopyalanır.

Kurulum için, Microsoft ATA Center Setup çalıştırılır.

Next ile kuruluma devam edilir.

Lisans sözleşmesi I Accept the Microsoft Software License Terms seçilerek devam edilir.

Use Microsoft Update When I check for update (recommended) seçilerek devam edilir.

ATA kurulumu  için DB ve LOG path’lerini tanımlanır.

Create self-signed certificate seçerek Install ile kurulum başlatılır.

ATA 1.9 kurulumu tamamlanır.

Şu anda ATA’nın en güncel versiyonu olan update 2’yi yüklemek için, ATA1.9_2_Upgrade dosyası indirilir ve ilgili klasöre kopyalandıktan sonra çift tıklanarak çalıştırılır.

Update işlemine Next ile devam edilir.

Use Microsoft Update when I check for update (recommend) seçilir ve Update ile devam edilir.

Update işlemi tamamlanır ve Launch ile ATA çalıştırılır.

Active Directory üzerinde sadece Domain User yetkisine sahip bir user tanımlanır. Bu User ATA Center ile DC (ATA LWG) arasında iletişimi sağlamak amacıyla kullanılacaktır.

Configurations ekranı üzerinde Provide a username and password seçilir. Username, password, domain bilgisi girilerek Test Connection’a tıklanır. Böylece ATA Center ile DC arasında iletişimin kurulduğu test edilir.

ATA LWG kurmak için Download Setup Gateway tıklanır. Gelen ekran üzerinde Gateway Setup butonu tıklarak, DC’lere kurulacak olan dosya download edilir.

This image has an empty alt attribute; its file name is image-28.png

Download edilen setup dosyası DC’lere kopyalanır.

DC’de Microsoft ATA Gateway Setup dosyası çalıştırılır.

Next ile devam edilir.

Next ile devam edilir.

Install ile kuruluma başlanır.


Finish ile kurulum tamamlanır.

DC’de ATA service’lerinin çalıştığı kontrol edilir.

İlk ATA LWG kurulumu tamamlandıktan sonra ATA Center’da Gateways altında görülmektedir.

İlk olarak domain bilgilerinin ATA Sunucusuna aktarılması için Domain synchronizer candidate “enable” edilerek Save edilir.

Update menüsünden, Update all Gateways automatically seçilerek, ATA Center yeni bir versiyona upgrade edildiğinde yada update yapıldığında Gateway’lerin de otomatik olarak güncellenmesi için bu konfigürasyon yapılır.

Entity Tags – Honeytoken ve sensitive account tanımları yapılır.

Hareketsiz yani logon olunmayan yada fake accountlar üzerinde herhangi bir işlem yapılması durumunda alert üretmesi için ilgili kullanıcıları Honeytoken bölümüne ekleyerek kaydediyoruz.

Kritik, Service, VIP gibi özelliklere sahip olan accountları izlemek için de Sensitive tanımı yapıyoruz.

Mail Server konfigürasyonu yapılarak notification tanımları yapılır.

Belirli raporların hazırlanması amacıyla ilgili konfigürasyonlar Scheduled Reports bölümünde yapılır.

Licencing bölümünde ise lisans key girilerek ATA server’ımız aktif hale getirilir.

Böylece en temel konfigürasyonla, ATA kurulumu tamamlanmıştır.