aykut tuylu Security

Microsoft Advanced Threat Analytics 1.9 Update 3 Kurulum ve Konfigürasyonu

Advanced Threat Analytics (ATA), kurumunuzdaki çeşitli türlerdeki, gelişmiş ve hedefe yönelik siber saldırıların yanı sıra dahili tehditlerden de korumaya yardımcı olan bir platformdur. ATA On-Prem Active Directory ortamında çalışmaktadır. Active Directory üzerinde davranış analizi yaparak ortamınızı öğrenir, daha sonra anormal bir davranış olması halinde bunu tespit ederek, alarmlar oluşturur. ATA bu şüpheli etkinlikleri Kim, Ne, Ne Zaman ve Nasıl sorularına yönelik net bir bakış sağlayarak bilgileri ATA konsolunda gösterir. ATA konsolu üzerinde mail ile anlık bildirimler yapılabileceği gibi, günlük/haftalık raporlarda üretilebilmektedir.

ATA, üç ana konuda bizlere yardımcı olur.

1.Kötü amaçlı saldırılar: Aşağıdakiler gibi bilinen ve gelişmiş saldırı türlerinin tespit edilmesinde yardımcı olur.

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Forged PAC (MS14-068)
  • Golden Ticket
  • Malicious replications
  • Reconnaissance
  • Brute Force
  • Remote execution

2.Anormal davranışlar: Machine Learning özelliği ile davranış analizi yaparak, anormal davranışların tespit edilmesinde yardımcı olur.

  • Anomalous logins
  • Unknown threats
  • Password sharing
  • Lateral movement
  • Modification of sensitive groups

3.Riskler ve Güvenlik Yapılandırmanız ile ilgili Sorunlar: Zayıf protokoller ve protokol bazlı güvenlik açıklarının tespit edilmesinde yardımcı olur.

  • Broken trust
  • Weak protocols
  • Known protocol vulnerabilities
  • Cleartext passwords

Bu bilgilendirmelerden sonra ATA’yı nasıl kuracağımızı ve nasıl kullanacağımızı anlatmaya geçiyoruz.

ATA Server’ın yapılandırılacağı sunucu hazırlanır. Sunucu üzerinde gerekli security hardening çalışması yapıldıktan sonra domain’a dahil edilir. Windows Server 2019 kullanılması önerilmektedir. ATA Server ön koşulları tamamlanır. Eğer yapınızda ATA hiç yüklü değil ise, ilk olarak Microsoft volume licensing center üzerinden ATA’nın ISO dosyasını indirerek, ATA’yı yapılandıracağınız sunucuya kurduktan sonra aşağıdaki adımları takip ederek ATA1.9_3 versiyonuna update edebilirsiniz.

ATA Server ön koşulları aşağıdaki link’te bulunmaktadır.

https://docs.microsoft.com/tr-tr/advanced-threat-analytics/ata-prerequisites

Şu anda ATA’nın en güncel versiyonu olan update 3’ü yüklemek için, Microsoft sitesi üzerinden ATA1.9_3_Upgrade dosyası indirilir ve kuracağımız sunucuya kopyalandıktan sonra çalıştırılır.

Kurulum işlemine Next ile devam edilir.

Kurulum işlemi tamamlanır ve Launch ile ATA çalıştırılır. ATA kurulumu bu kadar basit olup, konfigürasyon adımlarına geçiyoruz.

Active Directory üzerinde sadece Domain User yetkisine sahip bir user tanımlanır. Bu User ATA Center ile DC (ATA LWG) arasında iletişimi sağlamak amacıyla kullanılacaktır.

Configurations ekranı üzerinde Provide a username and password seçilir. Yada Directory Services menüsü üzerinden Username, password, domain bilgisi girilerek Test Connection’a tıklanır. Böylece ATA Center ile DC arasında iletişimin kurulduğu test edilir.

Testin başarılı olabilmesi için yukarıda belirtilen ATA Server gereksinimlerinin sağlanmış olması gerekmektedir.

Bir sonraki adımda ATA LWG kurmak için Download Setup Gateway tıklanır. Yada Gateways menüsü üzerinde Gateway Setup butonu tıklarak, DC’lere kurulacak olan dosya download edilir.

DC’de Microsoft ATA Gateway Setup dosyası çalıştırılır.

Kurulum işlemine Next ile devam edilir.

Gelen ekranda Next ile devam edilir.

Install seçerek, kurulum başlatılır.

Kurulum işlemi tamamlanır ve Finish ile ekran kapatılır.

DC’de ATA service’lerinin çalıştığı kontrol edilir.

Yapınızda birden çok DC sunucunuz bulunuyorsa, bu sunuculara da ilgili kurulumu yapmalısınız. ATA LWG kurulumu tamamlandıktan sonra ATA Center’da Gateways altında görülmektedir. DC isimlerinin üzerine tıklayarak İlk olarak domain bilgilerinin ATA Sunucusuna aktarılması için Domain synchronizer candidate aktif edilecektir.

Açılan ekranda Domain synchronizer candidate seçeneği ON yapılarak, save ile devam edilir.

Update menüsünden, Update all Gateways automatically seçilerek, ATA Center yeni bir versiyona upgrade edildiğind Gateway’lerin de otomatik olarak güncellenmesi için bu konfigürasyon yapılır.

Entity Tags menüsü altından Honeytoken ve sensitive account tanımları yapılır. Hareketsiz yani logon olunmayan yada üzerinde herhangi bir işlem yapılması durumunda alert üretmesini istediğiniz hesapları Honeytoken bölümüne ekleyerek kaydediyoruz.

Örnek olarak yapınızda bulunan Built-in Administrator ve Guest hesabı eklenmiştir. Sizler kendi yapınıza uygun olarak eklemeler yapabilirsiniz.

Kritik, Service, VIP gibi özelliklere sahip olan hesapları izlemek için de Sensitive tanımı yapıyoruz. Bu hesaplar ile yapılan işlemleri takip etmek için eklemeniz önerilmektedir.

İlk baştada belirtildiği üzere ATA bizlere bir çok konuda alertler üretmekte ve bilgiler vermektedir. ATA ilk kurulduktan sonra herhangi bir Exclusions yazmamanızı öneriyoruz. Alertler gelmeye başladıktan sonra bilginiz dahilinde olan işlemler ve düzenli olarak gerçekleştirdiğiniz eylemler olabilir. Sizin bu eylemlerinizden kaynaklanan alertler alıyorsanız, Exclusions menüsü altından ilgili alert kategorisinde gerekli Exclusions’ları yazabilirsiniz.

ATA üzerinde gelen alertleri SIEM’e aktarabilmeniz için SIEM menüsü yer almaktadır. Yapınızda SIEM kullanıyorsanız gerekli ayarları yaparak alertlerin aktarılmasını sağlayabilirsiniz.

SIEM menüsü altından Syslog seçeneği ON duruma getirilir.

Syslog Server menüsü altından Syslog server bilgileri girilerek, test ettikten sonra devreye alabilirsiniz.

Mail Server menüsü altından SMTP server bilgileri girilerek alert maillerinin hangi adrese gönderileceği belirlenir. ATA Konsolunu sürekli izleyemeyeceğiniz ve anlık bildirimleri alabilmeniz için Mail server ayarlarının yapılmasını öneriyoruz.

Scheduled Reports menüsü altından ATA raporlarını günlük/haftalık olarak set ederek, belirtilen mail adresine düzenli olarak gönderilmesini sağlayabilirsiniz.

Licencing bölümünde ise lisans key girilerek ATA serverınızı aktif hale getirebilirsiniz. ATA için demo kullanımı mevcut olup, yapınıza kurup incelemenize olanak sağlamaktadır.

Tüm işlemler tamamladıktan sonra ATA Console üzerinden Timeline ekranına gelerek monitör etmeye başlayabilirsiniz. Gelen alertler High, Medium ve Low olarak kategori edilmiş şekilde bu ekranda görünecektir. Gelen alertlerin üzerine tıklayarak detaylarını görebilirsiniz.

Report kısmından ATA raporlarını belirlenen tarihler arasında anlık olarak Download ederek, alabilirsiniz.

Health kısmından ATA’nın sağlık durumu, DC’lerle haberleşemediği zamanlar ile ilgili bilgileri alabilirsiniz.

ATA Konsoluna erişecek, Administrators, Users ve sadece Viewers yetkilerine sahip olacak kullanıcıları Computer Management altındaki ATA gruplarına ekleyerek yetkilendirebilirsiniz.