Microsoft Advanced Threat Analytics – Bölüm 2 – Planning and Requirements
Makalemin ilk bölümünde temel olarak ATA için çalışma mantığı, topoloji ve özelliklerinden bahsetmiştim, bu bölümde ise kurulum adımlarını anlatacağım.
Makalemin ilk bölümüne aşağıdaki link üzerinden ulaşabilirsiniz
https://www.cozumpark.com/microsoft-advanced-threat-analytics-bolum1-what-is-ata/
Öncelikle ATA Center ve ATA Gateway ayrı sunuculara kurulabileceği gibi aynı sunucu üzerine de kurulabilir. Ben lab ortamımda ayrı sunucu üzerine kurulum yapacağım. Lab ortamımda 2 DC, 1 ATA Center, 1 ATA Gateway ve iki adet client makine vardır.
Deployment adımlarımız aşağıdaki gibidir
· Planning and Requirements
· Download the ATA Public
· Install the ATA Center
· Configure ATA Gateway Domain Connectivity Settings
· Download the ATA Gateway Setup Package
· ATA Gateway installation
· Configure the ATA Gateway settings
· Configure VPN Subnets and Honeytoken user
1. Planing and Requirements
Bu bölümde ATA yüklemesi öncesi ortam gereksinimlerinin hazırlanmasını sağlayacağız. ATA makalemin ilk bölümünde de söylediğim gibi on-prem ve Directory ile çalışan bir ürün olduğu için öncelikle mevcut bir domain olması gereklidir.
AD DS tarafında Domain Controller makinelerin en az 2008 ve sonrası işletim sistemine sahip olması gerekmektedir.
ATA için kullanılacak servis hesabı AD veri tabanı için tüm objeleri okuma iznine sahip olmalıdır. ( izlenecek olan)
Yukarıdaki bölüm önemli, çünkü bazı organizasyonlarda OU bazlı izinler verildiği için bu açacağınız kullanıcının da ilgili veya izlenecek olan tüm makine ve bilgisayarların bulunduğu OU lara erişebilir ( okuma yetkisi olarak ) olması gereklidir.
Ek olarak eğer ATA’ nın toplu kullanıcı silme gibi arakları da yakalaması için “Deleted Objects container” okuma izni de vermeniz gerekli. Bunun için aşağıdaki linki inceleyebilirsiniz
https://technet.microsoft.com/library/cc816824(v=ws.10).aspx
Son olarak ATA için kullanacağınız user sadece bu iş için ayrılmış ve mümkün ise network aktivitesi olmayan bir kullanıcı hesabı olmalı (Honeytoken user)
Network gereksinim için makalemin ilerleyen bölümünde bilgi vereceğim ama özetle ATA GW ürününün tüm DC’ ler için trafiği dinliyor olması lazım, yani tüm DC lere gelen trafiğin bir kopyası ATA ye iletiliyor olmalı, tek bir DC analiz için yeterli değildir. Böyle bir senaryoda doğru sonuçlara ulaşamazsınız.
ATA ürünü Domain Controller makineler için network trafiği yanında olay günlüklerini de inceleyen ve bunu analiz edebilen bir üründür. Bu noktada Domain Controller makineler için olay günlüklerini toplan bir veya daha falza SIEM/Syslog ürününüz var ise bunların topladığı olay günlüklerini de kabul edecek şekilde ayarlama yapabilirsiniz. Eğer bir SIEM/Syslog ürününüz yok ise bu durumda DC üzerinde Windows Event Forwarding özelliğini kullanarak olay günlüklerini ATA Gateway rolüne yönlendirebilirsiniz. Bu konuda detay paylaşıyor olacağım.
Network tarafındaki son gereksinim ise aslında yükleme sırasında da değineceğim short-term lease subnet Configuration, yani kısa süreli ip dağıtan networklerin ATA ya öğretilmesi gereklidir. Örneğin VPN havuzu veya Wifi IP havuzu gibi, bunu Config bilgisini yine makalemin ilerleyen bölümlerinde paylaşıyor olacağım.
2. Download the ATA
Öncelikle aşağıdaki link üzerinden şu andaki güncel sürümü indirebilirsiniz
https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics
Sistem gereksinimleri aşağıdaki gibidir
Bunları sağladıktan sonra öncelikle ATA sunucusu olarak oluşturacağınız makine de lokal admin grubuna üye bir kullanıcı ile logon olup kurulumları yapmanız gerekli.
Burada bir ATA yüklemesi için kaç domain controller sınırı sorusu aklınıza gelebilir. Genel kabul görmüş sınır bir ATA Gateway sunucusunun 10 domain controller makinesine destek verebilir. Ancak tabiki bu ortamınızdaki network trafiği ile çok ilişkili olarak değişiklik gösterebilir.
ATA Gateway’ in desteklediği Domain Controller sürümleri Windows Server 2008 ve sonrasıdır. Yetki olarak ise sadece bir domain user kullanıcısı yeterlidir ( ATA makinelerinde lokal admin grubu üyesi olması kurulum için gereklidir). ATA bir güvenlik ürünü olduğu için toplu olarak kullanıcı veya obje silme işlemlerini takip edebilmesi için ek bir yetki gerekebilir (https://technet.microsoft.com/library/cc816824(v=ws.10).aspx). Bu yetki deleted object container için olup bu sayede yukarıda da belirttiğim gibi toplu silme işlemlerini yakalayabiliriz.
Network tarafında ise tüm Domain Controller makinelerinin trafiğinin ATA Gateway makinesine ek olarak iletilmesi. Yani port mirroring özelliği sayesinde DC network trafiğinin bir kopyası ATA Gateway’ e iletilmelidir. Eğer Hyper-V kullanıyorsanız bunu kolayca yapabilirsiniz.
Gerek fiziksel network alt yapısı için gerekse sanal ortamlar için aşağıdaki link üzerinden destek alabilirsiniz
https://technet.microsoft.com/en-us/dn707705
Ek olarak eğer ortamınızda ek olarak Syslog server var ise ATA Gateway buradan event alacak şekilde ayarlanabilir.
Bu konuda da sahip olduğunuz ürünlere göre aşağıdaki gibi bir konfigürasyon takip edebilirsiniz
· Splunk
· Snare
ATA kurulumu için Windows Server 2012 R2 işletim sistemi gerekli olup, makine domainde veya workgroup ortamda olabilir.
Preview sürümü için ATA Center donanım gereksinimleri aşağıdaki gibidir
2 DC izleme için
8 Cores – 32 GB RAM
100 GB alan ATA Center
1 TB alan ATA database
10 DC izleme için
16 Cores
72 GB RAM
100 GB alan ATA Center
10 TB alan ATA databases
ATA doğru analiz yapmak için her DC için 21 gün kullanıcı verisini saklamak zorundadır. Bu nedenle gerekli alanı aşağıdaki gibi hesaplayabilirsiniz.
DC başına aşağıdaki alanları hesaba katabilirsiniz
Düşük yük yoğunluğuna sahip DC için – 500GB
Ortalama yük yoğunluğuna sahip DC için – 1.000 GB
Yüksek yük yoğunluğuna sahip DC için – 5.000 GB
Network tarafında ise bir network kartı iki ip adresi gereklidir. Bunun temel sebebi eğer ATA Center ile ATA Gateway ayrı makinelerde kurulacak ise 1 ip adresi GW ile Center arasındaki iletişim için, diğeri ise ATA Center rolünün sağladığı Management Console (IIS) için gereklidir. Bunun temel nedeni ise her iki bağlantı içinde SSL 443 nolu port kullanılır. Tek ip üzerinden aynı portun kullanılması sorun oluşturacağı için iki ayrı ip adresi gereklidir. Ancak benim senaryomdaki gibi tek makine üzerine kurmanız halinde tek ip adresi yeterli olacaktır.
Eğer benim senaryomdaki gibi aynı makine üzerine kurulum yaparsanız sahip olduğunuz tek ip ATA Center Management Console IIS için olup “ATA Center IP Address” olarak 127.0.0.2 adresini seçmeliyiz. Ancak bu durumda tabiki diğer GW ürünlerinin bu ATA Center’ a bağlanamaz.
ATA Center için kullanılan portlar ise aşağıdaki gibidir;
Burada Inbound IP adres 1, ATA Center service ip adresi, IP adres 2 ise ATA Management Web site IIS ip adresidir.
Sertifika gereksinimi ise aşağıdaki gibi iki temel servis için gereklidir
Internet Information Services (IIS) – Web server certificate
ATA Center service – Server authentication certificate
Bunun için self-signed sertifika kullanabilirsiniz ki preview sürümünde bunu değiştiremiyorsunuz. Tabiki bu durumda farklı bir makine üzerinden IIS Management Console erişiminde hata alacaksınız.
Sanal ortam desteği bulunmak ile beraber snapshot almadan önce tavsiye edilen ATA Center’ ı kapatmanızdır. Bu olası veri tabanı bozulmalarını engelleyecektir.
Yükleme sırasında aşağıdaki bileşenler yüklenmektedir.
Internet Information Services (IIS)
MongoDB
ATA Center service ve ATA Management IIS site
Custom Performance Monitor data collection set
Self-signed certificates (eğer yükleme sırasında seçmişseniz)
ATA Yönetim konsolu için IE veya Google Chrome 40 üstü sürümler desteklenir.
ATA Gateway yüklemesi için ise https://support.microsoft.com/en-us/kb/2919355/ yaması yüklü olmalıdır, bu nedenle tavsiyem ata yüklemesi öncesinde Windows update çalıştırmanız.
ATA Gateway ayrı bir makine olacak ise onun içinde Workgroup veya Domain üyesi olabilir. Sistem gereksinimleri yine Center ile benzerlik göstermekte olup, temel olarak disk ihtiyaçlarını dikkate almanız gereklidir.
ATA Gateway için port gereksinimleri ise aşağıdaki gibidir
Network tarafında minimum iki network kartı gerekmektedir. İstenirse daha çok network kartı kullanılabilir. Temel olarak birisi yönetim diğeri capture için kullanılmaktadır.
Management adapter olarak isimlendirdiğimiz network kartı şirket network’ üne erişmek için kullanılan statik ip adresine sahip olan karttır. Eğer ATA GW workgroup bir makine üzerine kurulu ise dinlediğiniz dc’ nin içerisinde bulunduğu domain adını düzgün bir şekilde aşağıdaki gibi girilmiş olması gerekli.
Capture adapter ise DC’ lerden gelen trafiği dinlemek için kullanılan network kartıdır. Bu adaptör için DNS kayıdı, GW bilgisi olmayacak ve ip adreside 1.1.1.1/8 gibi network yapınızdan farklı bir ip adresi olmalıdır.
ATA Gateway yüklemesi sırasında ise aşağıdaki bileşenler kurulur
KB 3047154 (Sanal sistemler için kurmanız önerilmez)
ATA Gateway Service
Microsoft Visual C++ 2013 Redistributable
Custom Performance Monitor data collection set
Not: Message Analyzer, Wireshark veya diğer network capture yazılımlarını ATA Gateway üzerine yüklemeyin. Eğer network trafiğini yakalamak isterseniz Microsoft Network Monitor yükleyebilirsiniz.
Yükleme adımlarından ilkini tamamlamış olduk. Bir sonraki bölümde ATA Center Kurulumu ile devam edeceğim.