Microsoft ATA 1.6 Yenilikleri

Microsoft ATA Mayıs 2016 itibari ile 5 Milyon kullanıcı 10 Milyon aygıtı izleyen ve son derece popüler bir güvenlik ürünü haline gelmiştir. Ürünü bilenler için bir daha detaylandırmaya gerek yok, ilk defa duyanlar ise aşağıdaki yazıları inceleyebilir

Microsoft Advanced Threat Analytics – Bölüm 1 – What is ATA

Microsoft Advanced Threat Analytics – Bölüm 2 – Planning and Requirements

Microsoft Advanced Threat Analytics – Bölüm 3 – Deployment Guide – Lab Installation

Microsoft Advanced Threat Analytics – Bölüm 4 – Configure Event Collection

http://sozluk.cozumpark.com/goster.aspx?id=4024&kelime=Microsoft-ATA

https://channel9.msdn.com/Blogs/HakanUzuner/Microsoft-Advanced-Threat-Analytics-ATA-Nedir-Nasl-alr

Peki 1.6 sürümü ile neler geldi?

UEBA pazarının lideri olan ATA bu pazar için çıtayı yükseltmiş ve yeni standartlar belirlemiştir;

Yeni Saldırı Tespitleri

Kötü niyetli kişiler her geçen gün saldırı teknikleri ve yöntemlerini değiştirdiği için ATA da bu alanda özellikle saldırganların yeni yöneldikleri alanları tespit edebilmektedir.

Reconnaissance via Net Session enumeration

DC, GPO özelliği nedeni ile bir file server gibi hizmer vermekte olup istemciler GPO ayarlarını almak için SMB üzerinden DC lere bağlanmaktadır. Kötü niyetli kişiler keşif çalışmasında bu alanı kullanıp DC’ den o andaki tüm session’ lar için kullanıcı adı ve ip bilgisi isteyebilirler.

Compromised credentials via Malicious Replication Request

Benzer şekilde yine kötü niyetli kişiler düzenli olarak replikasyon yapan DC’ ler için bu trafiği manipüle edip buradan kullanıcı şifre bilgilerini alabilirler.

Compromised Credentials via Malicious DPAPI Request

Data Protection API (DPAPI), şifre temelli bir veri koruma servisidir. Bu veri koruma servisi pek çok uygulama tarafından kullanılmaktadır kullanıcı kimlik bilgisini saklamak için kullanılır ( Örneğin bir web sitesi giriş şifresi veya bir dosya paylaşımına erişim için kullancak şifre gibi). Ek olarak bu servis olası bir şifre kaybına karşın gizlenmiş verilerin tekrar erişilmesi için bir kurtarma anahtarı sunar. Kötü niyetli kişiler bu kurtarma anahtarını ele geçirebilir ve bu durumda şifre bilgilerinide edinmiş olurlar

Yeni Dağıtım Seçeneği

ATA Lightweight Gateway sayesinde on-prem veya Iaas modeli çalışan Domain ortamlarınızda özel bir sunucu ya da port yönlendirmesi olmadan ATA Gateway kurabilirsiniz. Domain Controller makine üzerine direkt olarak kurulan bu servis sayesinde artık port yönlendirme ihtiyacı ortadan kalkmaktadır. DC üzerine kurulan bu servis DC üzerindeki kaynakların kullanımını da otomatik olarak ayarlamaktadır. Bu sayede mevcut DC üzerinde çalışan servisler veya hizmetler bundan etkilenmez. Ek olarak bu yeni model sayesinde uzak ofislerde özellikle kaynak yetersizliği veya port yönlendirme imkânı olmayan durumlar için kolay dağıtım sağlar.

Bu yeni servis modelinden sonra mimari artık aşağıdaki gibi değişmiştir

Eskiden olduğu gibi yine ATA Center ve ATA Gateway olmasına karşın artık isterseniz port yönlendirme ile ATA Gateway kurmak yerine DC üzerine ATA Lightweight Gateway kurabilirsiniz. İsterseniz bu iki modeli de aynı anda kullanabilirsiniz. Yani merkez site içerisinde ATA Gateway kullanırken uzak ofislerde port yönlendirme veya ek GW sunucusu için kaynak olmaması durumunda ATA Lightweight Gateway kurabilirsiniz.

Ancak bu modelde önemli olan DC üzerinde yeterli bilgisayar gücü olması.

Yukarıda gördüğünüz gibi DC %30 kaynak kullanırken birden bu %60 olur ise bu durumda ATA GW kaynaklarını sınırlamaktadır, fakat bu durumda izlenen trafikte kayıplar olacaktır.

ATA Gateway için bundan önceki makalelerimde sizing yani gerekli olan makine yapılandırma ayarlarını payalaşmıştım, isterseniz bu bilgiye aşağıdaki link üzerinden ulaşabilirsiniz

https://docs.microsoft.com/en-us/advanced-threat-analytics/plan-design/ata-capacity-planning

Yine bu link içerisinde ATA L-Gateway kurulumu içinde gerekli olan kaynakları görebilirsiniz

Performans ve Ölçekleme

1.6 sürümü ile artık daha performanslı çalışan ATA özellikle eski sürüme göre veri depolama alanında 5 kat daha az yer istemektedir. Performans tarafındaki iyileştirme özellikle tespit etme motorunda ( detection engine ) gerçekleştirilmiş olup bu sayede çok büyük yapılarda dahi sorunsuz bir şekilde ürünü kullanabilirsiniz.

Otomatik Update Desteği

Güvenlik alanında güncelleme çok önemli olduğu için ATA artık WSUS; SCCM veya Windows Update üzerinden otomatik olarak güncellenebilecektir. Bu sayede yeni özellikleri kazanmak için elle indirme yükleme yapmaya gerek yoktur. İlk olarak ATA Center yükseltildikten sonra yine konfigürasyon yapılmış ise ATA Gateway makineleri de otomatik olarak yükseltilecektir.

3 Parti Program Entegrasyonu

Malum ATA için SIEM önemli bir ürün olup mevcut SIEM ürünü üzerinden log alabilir ve bunu tespitlerinde kullanabilirken benzer şekilde kendi sonularını da bir SIEM ile paylaşabilir. Bu konuda hali hazırda çalıştığı SIEM ürünlerine ek olarak bu sürümde IBM QRADAR ile entegre çalışmaktadır. ( bir önceki sürüm hali hazırda RSA Security Analytics, HP Arcsight ve Splunk ile entegre çalışıyordu)