Microsoft Advanced Threat Analytics es un sistema “inteligente” de protección contra ataques cibernéticos internos y externos.
El funcionamiento esta basado en cuatro parámetros fundamentales.
- Analizar
- Estudiar
- Detectar
- Alertar
Puedes encontrar una breve descripción en la siguiente imagen, que seguro, te servirá de referencia.
Aunque tal vez para entender mejor que es Microsoft ATA se le pueda dar una descripción menos técnica.
¿Qué es Microsoft Advanced Threat Analytics?
Se podría decir, que Microsoft Advanced Threat Analytics o ATA es un auditor de seguridad, y por lo tanto, realizará las tareas de un auditor de seguridad como se describe en la imagen superior.
Esto supone un gran cambio en cuanto a la seguridad informática ya que, hasta ahora, la protección por software, se basaba demasiado en las amenazas conocidas y no tanto en el comportamiento de los propios usuarios, sistemas u otros dispositivos y recursos de la red cuando los atacantes llevan mucho tiempo, por no decir toda la vida, basando sus ataques en el comportamiento…
Para poder obtener esta información Advanced Threat Analytics toma información de:
- Integración de SIEM (Información de Seguridad y Administración de Eventos o Security Information and Event Management)
- Eventos de Windows remotos
La integración de SIEM así como los eventos de Windows tienen realmente el mismo propósito, ofrecer información de seguridad útil a Microsoft ATA.
Y ahora que conocemos mejor qué es Microsoft Advanced Threat Analytics debemos pasar al siguiente punto.
¿Qué modulos o componentes integran ATA?
Al igual que pasa con otros serdores de Microsoft, por ejemplo, Exchange Server, ATA también dispone en este momento de tres módulos de trabajo, o dicho de otra forma, tres funciones nucleares.
Centro ATA
Esto vendría a ser como el panel de control del sistema y es el encargado de recibir la información de seguridad de la red.
Entre las funciones destacadas del centro ATA tenemos:
- Administración de las puertas de enlace y las puertas de enlace ligeras de ATA
- Recibir datos de las puertas de enlace
- Detectar las actividades sospechosas
- Aprender sobre el comportamiento en la red mediante algoritmos y detectar ataques avanzados
- Ejecuta la consola de ATA y opcionalmente, envía correos electrónicos notificando de activdad inusual
Cabe tener en cuenta que ATA solo puede analizar el tráfico de un bosque, en caso de tener más de uno, será necesario implementar un centro ATA por cada uno de estos.
Puertas de enlace y puertas de enlace ligeras de ATA
De estas dos la principal diferencia es que la puerta de enlace ligera se implementa sobre un host que es controlador de dominio o bien recibe datos externos, mientras que la puerta de enlace ATA no puede implementarse en un controlador de dominio.
Además estas cumplirán las siguientes funciones:
- Capturar y analizar el tráfico de la red de los controladores de dominio
- Recibir eventos de Windows desde servidores SIEM, Syslog o de los propios controladores de dominio directamente
- Realizar tareas de resolución de entidades de red
- Enviar datos al Centro ATA
- Supervisar los controladores de dominio
Con todo esto no debemos olvidar que podemos NO implementar ATA en todos los controladores de dominio de la red, o no configurar una puerta de enlace por cada uno de estos, pero, esto tendrá un impacto negativo en cuanto a la eficacia de la detección de actividades raras en la red.
Componentes de red
Para que ATA pueda analizar el tráfico de la red y las actividades de los controladores de dominio serán necesarios:
- Configurar un reflejo de puerto.
Mediante este reflejo se enviará un duplicado de todo el tráfico de red del controlador de dominio - Enviarle los eventos.
Si es un sistema SIEM habrá que configurar este para que mande los eventos a ATA, en cambio si es un controlador de dominio deberemos de enviar únicamente el Evento con Id. 4776.
Esta información ha sido obtenido de docs.microsoft.com
Puees acceder a esta información ampliada en Arquitectura de ATA – Microsoft.
Puesto que este es un artículo de introducción pasaré por alto algunos aspectos de Microsoft Advanced Threat Analytics tales el Planeamiento de la capacidad de ATA.
Requisitos de ATA
En cuanto a las requisitos deberemos recordar lo leído hasta ahora ya que ATA tiene distintos requisitos dependiendo del componente al que hagamos referencia.
Y bueno, ahora que ya sabes algunas cosas de Microsoft Advanced Threat Analytics podemos proceder con los requisitos para su instalación.
Requisitos de instalación de Microsoft Advanced Threat Analytics
Antes de empezar con los requisitos y reconociendo que soy un poco pesado, recordemos que ATA consta de tres módulos, cada módulo con sus respectivos requisitos.
Previamente a la implementación de los módulos deberemos asegurarnos que contamos con algunos requisitos para que Advanced Threat Analytics pueda trabajar y tomar la información necesaria de la red, veamos cuales son estos.
- Usuario con privilegios de lectura de los objetos del dominio
- Es importante que el usuario además tenga la capacidad de leer el contenedor de objetos eliminados para detectar eliminaciones masivas
Este punto, a pesar de que Microsoft lo indica como recomendado, creo que podría formar parte de las buenas prácticas en la implementación de Microsoft Advanced Threat Analytics - Además del análisis del tráfico de la red y dominio recordemos que podemos enviar los eventos con Id. 4776 para mejorar la detección de ataques de tipo pass-the-hash
- En los nodos de puerta de enlace no podremos tener instalado ni WireShark ni el Analizador de mensajes
Requisitos del Centro de Advanced Threat Analytics
Sistemo operativo
Windows Server 2012 R2
Windows Server 2016
Estos pueden ser servidores miembro o en grupo de trabajo indistintamente.
Si optamos por Windows Server 2012 R2 es necesario el update KB2919355.
Puedes verificarlo ejecutando el CMDLet en PowerShell:
Get-Hotfix
Get-Hotfix -Id KB2919355
Si optamos por la instalación en un sistema virtual debemos recordar que la característica de incremento de memoria no está admitida y que en caso de necesitar realizar un punto de control deberemos apagar la máquina para evitar posibles daños en la base de datos.
Configuración de hardware
Aquí hay dos requermientos, el primero de ellos hace referencia a NUMA, que debe estar deshabilitado y el segundo a la configuración del perfil de energía que debe estar en modo de alto rendimiento.
Sincronización de hora
Los servidores de ATA así como los servidores controladores de dominio deben sincronizarse en intervalos de 5 minutos entre si.
Red
1 Adaptador de red (recomendado dos para entornos físicos con VLAN)
2 Direcciones IP, una para el centro de ATA y otra para la consola
Puertos
Para el centro ATA
TCP 443 (entrante) u otro de nuestra elección (es configurable)
Para la consola
TCP 80 (entrante)
TCP 443 (entrante)
TCP 25 (saliente)
TCP 465 (saliente)
TCP 514 (saliente)
Certificados
ATA debe tener acceso a la lista de revocaciones de certificados, si no tiene acceso, deberemos importarla manualmente.
De todas formas en el proceso de instalación podemos optar por un certificado autofirmado.
Requisitos de la puerta de enlace de Advanced Threat Analytics
Sistema operativo
Windows Server 2012 R2
Windows Server 2016
Puede trabajar tanto en un servidor miembro como en uno de grupo de trabajo, pero en todo caso, los controladores de dominio a supervisar deben tener un nivel funcional de Windows 2003 o superior.
De nuevo, si elegimos Windows Server 2012 R2 revisemos el update KB2919355.
Puedes hacerlo desde PowerShell con:
Get-Hotfix
Get-Hotfix -Id KB2919355
Si nos decantamos por una máquina virtual deberemos configurar el port mirroring tal y como se detalla aquí.
En cuanto al almacenamiento se recomienda disponer al menos de 10Gb de espacio libre en disco.
Configuración de hardware
Establecer el perfil de energía en alto rendimiento.
Al igual que con el centro de ATA si optamos por la máquina virtual no se admitirá el incremento de memoria.
Sincronización de hora
Tanto los controladores de dominio como los nodos de ATA deben estar sincronizados a intervalos de 5 minutos entre si.
Red
2 Adaptadores de red, uno para la captura y otro para administración.
El adaptador de administración debe cumplir con:
- Direccionamiento IP estático con puerta de enlace
- Servidores DNS
- Sufijo DNS con el nombre del dominio que está supervisando
En cuanto al adaptador de captura bastará con tenerlo con una Ip no enrutable y con el port mirroring configurado.
Puertos
Esta vez si nos topamos con una lista un tanto más completa… vamos con ella.
Controladores de dominio
TCP y UDP (saliente) 389
TCP (saliente) 636
TCP (saliente) 3268
TCP (saliente) 3269
TCP y UDP (saliente) 88
TCP y UDP (saliente) 445
UDP (saliente) 123
Servidores DNS
TCP y UDP (saliente) 53
Todos los dispositivos de la red
TCP (saliente) 135
UDP (saliente) 137
Centro ATA
TCP (saliente) 443 (o el que se haya configurado) tanto para el centro como para la consola
Servidor SIEM
UDP (entrante) 514
Certificados
Al igual que en el caso anterior, el Centro de ATA debe tener acceso al CRL y de no ser así deberemos de importar manualmente la CRL.
De la misma forma, durante el proceso de instalación podremos generar certificados autofirmados.
Además, debe haber un certificado de autenticación del servidor instalado en el equipo de puerta de enlace, y este, debe ser de confianza para el Centro ATA.
Requisitos de la puerta de enlace ligera de ATA
Sistema operativo
Windows Server 2008 R2 SP1 (NO Server Core)
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016 (NO nano server)
Además el controlador de dominio podría ser de tipo RODC.
E igualmente a los casos anteriores requiere el update KB2919355 lo que se puede comprobar desde PowerShell con:
Get-Hotfix
Get-Hotfix -Id KB2919355
Configuración de Hardware
En este caso tenemos algunos requisitos que hasta el momento no habían sido nombrados.
El sistema debe tener dos cores y al menos 6GB de RAM.
Y también es recomendable, al igual que en los anteriores casos establecer las opciones de energía en “Alto Rendimiento”.
Sincronización de hora
Tanto el servidor de Centro de ATA, como los controladores de dominio y el host de puerta ligera deben sincronizarse en intervalos de 5 minutos entre si.
Red
Cómo la puerta de enlace ligera se implementa sobre controladores de dominio puede supervisar todos los adaptadores de red de este, aunque más adelante podremos configurar que adaptadores supervisar y cuales no.
^Puertos
Servidores DNS
TCP y UDP (salienter) 53
Todos los dispositivos de la red
TCP (saliente) 135
UDP (saliente) 137
Centro ATA
TCP (saliente) 443 (o el que se haya configurado) tanto para el centro como para la consola
Servidor SIEM
UDP (entrante) 514
Certificados
Repetimos la configuración de puerta de enlace ATA que es.
Si el centro ATA no dispone de acceso al CRL esta se debe cargar manualmente.
Durante el proceso de instalación podremos optar por un certificado autofirmado.
Debe cargarse en el almacén local de puerta ligera de ATA un certificado de confianza para el Centro ATA.
Consola ATA
Puesto que se accederá desde un navegador Web solo debemos respetar que este sea:
- Internet Explorer 10 o superior
- Microsoft Edge
- Chrome 40 o superior
Y como guinda la resolución mínima debe ser de 1700 píxeles, aunque no se especifica si es exigida o recomendada… espero que sea recomendada.
Y recuerda, que este tema se trabajará en profundidad y con más materiales en https://soporteti.pro.
Un saludo, espero que te haya gustado el artículo.