Cloud Computing

Microsoft Advanced Threat Analytics ATA 1.6 Yenilikler ve Kurulum

Microsoft ATA Mayıs 2016 itibari ile 5 Milyon kullanıcı 10 Milyon aygıtı izleyen ve son derece popüler bir güvenlik ürünü haline gelmiştir. Ürünü bilenler için bir daha detaylandırmaya gerek yok, ilk defa duyanlar ise aşağıdaki yazıları inceleyebilir

Microsoft Advanced Threat Analytics – Bölüm 1 – What is ATA

Microsoft Advanced Threat Analytics – Bölüm 2 – Planning and Requirements

Microsoft Advanced Threat Analytics – Bölüm 3 – Deployment Guide – Lab Installation

Microsoft Advanced Threat Analytics – Bölüm 4 – Configure Event Collection

http://sozluk.cozumpark.com/goster.aspx?id=4024&kelime=Microsoft-ATA

https://channel9.msdn.com/Blogs/HakanUzuner/Microsoft-Advanced-Threat-Analytics-ATA-Nedir-Nasl-alr

Peki 1.6 sürümü ile neler geldi?

UEBA pazarının lideri olan ATA bu pazar için çıtayı yükseltmiş ve yeni standartlar belirlemiştir;

Yeni Saldırı Tespitleri

Kötü niyetli kişiler her geçen gün saldırı teknikleri ve yöntemlerini değiştirdiği için ATA da bu alanda özellikle saldırganların yeni yöneldikleri alanları tespit edebilmektedir.

Reconnaissance via Net Session enumeration

DC, GPO özelliği nedeni ile bir file server gibi hizmer vermekte olup istemciler GPO ayarlarını almak için SMB üzerinden DC lere bağlanmaktadır. Kötü niyetli kişiler keşif çalışmasında bu alanı kullanıp DC’ den o andaki tüm session’ lar için kullanıcı adı ve ip bilgisi isteyebilirler.

Compromised credentials via Malicious Replication Request

Benzer şekilde yine kötü niyetli kişiler düzenli olarak replikasyon yapan DC’ ler için bu trafiği manipüle edip buradan kullanıcı şifre bilgilerini alabilirler.

Compromised Credentials via Malicious DPAPI Request

Data Protection API (DPAPI), şifre temelli bir veri koruma servisidir. Bu veri koruma servisi pek çok uygulama tarafından kullanılmaktadır kullanıcı kimlik bilgisini saklamak için kullanılır ( Örneğin bir web sitesi giriş şifresi veya bir dosya paylaşımına erişim için kullancak şifre gibi). Ek olarak bu servis olası bir şifre kaybına karşın gizlenmiş verilerin tekrar erişilmesi için bir kurtarma anahtarı sunar. Kötü niyetli kişiler bu kurtarma anahtarını ele geçirebilir ve bu durumda şifre bilgilerinide edinmiş olurlar

Yeni Dağıtım Seçeneği

ATA Lightweight Gateway sayesinde on-prem veya Iaas modeli çalışan Domain ortamlarınızda özel bir sunucu ya da port yönlendirmesi olmadan ATA Gateway kurabilirsiniz. Domain Controller makine üzerine direkt olarak kurulan bu servis sayesinde artık port yönlendirme ihtiyacı ortadan kalkmaktadır. DC üzerine kurulan bu servis DC üzerindeki kaynakların kullanımını da otomatik olarak ayarlamaktadır. Bu sayede mevcut DC üzerinde çalışan servisler veya hizmetler bundan etkilenmez. Ek olarak bu yeni model sayesinde uzak ofislerde özellikle kaynak yetersizliği veya port yönlendirme imkânı olmayan durumlar için kolay dağıtım sağlar.

Bu yeni servis modelinden sonra mimari artık aşağıdaki gibi değişmiştir

clip_image002

Eskiden olduğu gibi yine ATA Center ve ATA Gateway olmasına karşın artık isterseniz port yönlendirme ile ATA Gateway kurmak yerine DC üzerine ATA Lightweight Gateway kurabilirsiniz. İsterseniz bu iki modeli de aynı anda kullanabilirsiniz. Yani merkez site içerisinde ATA Gateway kullanırken uzak ofislerde port yönlendirme veya ek GW sunucusu için kaynak olmaması durumunda ATA Lightweight Gateway kurabilirsiniz.

clip_image004

Ancak bu modelde önemli olan DC üzerinde yeterli bilgisayar gücü olması.

clip_image005

 

Yukarıda gördüğünüz gibi DC %30 kaynak kullanırken birden bu %60 olur ise bu durumda ATA GW kaynaklarını sınırlamaktadır, fakat bu durumda izlenen trafikte kayıplar olacaktır.

ATA Gateway için bundan önceki makalelerimde sizing yani gerekli olan makine yapılandırma ayarlarını paylaşmıştım, isterseniz bu bilgiye aşağıdaki link üzerinden ulaşabilirsiniz

https://docs.microsoft.com/en-us/advanced-threat-analytics/plan-design/ata-capacity-planning

Yine bu link içerisinde ATA L-Gateway kurulumu içinde gerekli olan kaynakları görebilirsiniz

clip_image006

 

Performans ve Ölçekleme

1.6 sürümü ile artık daha performanslı çalışan ATA özellikle eski sürüme göre veri depolama alanında 5 kat daha az yer istemektedir. Performans tarafındaki iyileştirme özellikle tespit etme motorunda ( detection engine ) gerçekleştirilmiş olup bu sayede çok büyük yapılarda dahi sorunsuz bir şekilde ürünü kullanabilirsiniz.

Otomatik Update Desteği

Güvenlik alanında güncelleme çok önemli olduğu için ATA artık WSUS; SCCM veya Windows Update üzerinden otomatik olarak güncellenebilecektir. Bu sayede yeni özellikleri kazanmak için elle indirme yükleme yapmaya gerek yoktur. İlk olarak ATA Center yükseltildikten sonra yine konfigürasyon yapılmış ise ATA Gateway makineleri de otomatik olarak yükseltilecektir.

3 Parti Program Entegrasyonu

Malum ATA için SIEM önemli bir ürün olup mevcut SIEM ürünü üzerinden log alabilir ve bunu tespitlerinde kullanabilirken benzer şekilde kendi sonularını da bir SIEM ile paylaşabilir. Bu konuda hali hazırda çalıştığı SIEM ürünlerine ek olarak bu sürümde IBM QRADAR ile entegre çalışmaktadır. ( bir önceki sürüm hali hazırda RSA Security Analytics, HP Arcsight ve Splunk ile entegre çalışıyordu)

Peki, kurulum adımlarına geçelim.

Kurulum öncesi malum ortamınız için hazırlıkları bundan önceki makalelerimi inceleyerek edinebilirsiniz.

Microsoft Advanced Threat Analytics – Bölüm 2 – Planning and Requirements

Not: Eğer ATA 1.6 ile beraber gelen servis bazlı Gateway kurmak istiyorsanız yukarıdaki gereksinimlerde bulunan port yönlendirmelere ihtiyacınız yoktur.

Daha fazla kurulum öncesi gereksinim bilgisi için aşağıdaki linki kullanabilirsiniz

https://docs.microsoft.com/en-us/advanced-threat-analytics/deploy-use/preinstall-ata

Ürünü Microsoft Volume Licensing Service Center, TechNet Evaluation Center veya MSDN üzerinden indirebilirsiniz.

Ben TechNet linki paylaşıyorum

https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics

Ürünü indirdikten sonra ilk olarak Center kurulumu için hazırladığımız makinede kurulumu başlatıyoruz.

clip_image008

clip_image010

Eski sürüme göre ilk göze çarpan özellikle Windows Update ile otomatik güncelleme alması. Bizde tabiki bunu seçip ilerliyoruz.

clip_image012

Bu ekran 1.5 sürümü ile aynı olup detayları aşağıdaki gibidir;

Öncelikle ATA Center kurulacak olan makinede tek Ethernet iki ip olması gerekliydi, bunu bir önceki makalemde paylaşmıştım. Benim 10.0.1.105 ve 10.0.1.106 ip adreslerim hazır.

ATA Center Service IP address: Port

ATA Gateway ve Center görüşmesi için kullanılacak olan servis ip adresi ve port numarasıdır.

ATA Console IP Address

ATA web ara yüzü hizmeti için kullanılacak olan ip adresidir.

Her iki ip adresi için güvenlik iletişimi sağlamak adına sertifika temin edilebilir. Ben demo ortamına kurulum yaptığım için self signed sertifika kullanacağım.

clip_image013

clip_image014

Kurulum sonrasında ilk olarak servisleri kontrol edebilirsiniz, “Microsoft Advanced Threat Analytics Center” servisi çalışıyor olmalıdır. Hemen sonrasında browser yardımı ile ATA Center’ a giriş yapabilirsiniz.

clip_image016

Ek olarak veri tabanı servisini kontrol edebilirsiniz

clip_image018

Kurulum sonrasında karşımıza aşağıdaki gibi ayar ekranı çıkacaktır

clip_image019

Eğer bu ekran çıkmaz ise aşağıdaki gibi ulaşabilirsiniz.

 

clip_image021

Bu ekrana Domain erişim bilgilerini tanımlayınız. Kullanıcı standart bir domain kullanıcı hesabı seçebilirsiniz. Bu hesap güvenlik nedeni ile ATA ve benzeri bir isim içermemelidir. Yine bunu servis hesabı olarak kullanabilirsiniz, bu nedenle bu hesabı ek olarak ATA makinesinde local admin yapınız.

Not: ben demo ortamı olduğu için administrator hesabı ile bağlantı kuruyorum.

Bu ayarları yaptıktan sonra ek olarak aşağıdaki gibi bir seçenek göreceksiniz

clip_image023

Bu seçenek sayesinde ATA center yeni bir yükseltme aldığında otomatik olarak GW makineleri de yükseltilecektir.

Bu işlemi tamamladıktan sonra ATA Gateway makinesine gidip ATA Center URL adresinden GW yükleme dosyasını indirmemiz gerekiyor.

Bu yükleme adımını iki şekilde gerçekleştirebiliriz. Eğer ATA GW için ayrı bir makine ayarladınız ve port yönlendirme yaptıysanız bu durumda öncelikle o makinede aşağıdaki yamanın yüklü olduğunu kontrol ediniz

KB2919355

Daha sonra ATA Center üzerinden yükleme dosyasını indiriniz

Bunun için konfigürasyon bölümünden ATA Gateway sekmesine tıklıyoruz

clip_image025

İndirdiğimiz bu dosya aynı zamanda ATA Lightweight Gateway yükleme dosyasıdır, yani bu dosyayı bir DC ye yüklemeniz halinde ek bir GW makinesine gerek olmayacaktır ( ilgili DC için ).

İndirme işleminden sonra yükleme adımları aşağıdaki gibidir;

clip_image027

clip_image029

Yukarıda gördüğünüz gibi yükleme yöneticisi şu anda DC olmayan ayrı bir makinede yükleme yaptığımızı fark etti ve bize böyle bir yükleme için port yönlendirme gerektiğini hatırlatıyor.

clip_image031

Yükleme için ATA Center makinesindeki bir lokal admin kullanıcısı gerekli ki bunu domain de ki bir servis hesabını kullanarak gerçekleştirebiliriz.

clip_image033

Yükleme sonrasında tekrar ATA Center’ a bağlanıyoruz.

clip_image035

ATA GW için açıklayıcı bir tanımlama yapıyoruz, dinlediğimiz domain controller makinelerinin FQDN bilgisi yazıyoruz, capture yani port yönlendirilmiş olan interface’ i seçiyoruz.

Not: port yönlendirmeden emin olmak için aşağıdaki makaledeki gibi Network Monitor ile paketleri kontrol etmeniz gereklidir

https://docs.microsoft.com/en-us/advanced-threat-analytics/deploy-use/validate-port-mirroring

Domain synchronizer candidate seçeneği ise, bir ATA GW makinesini AD ile eşitleme konusunda sorumlu yapabiliriz ( kullanıcı, grup üyelikleri, foto, şifre değiştirme tarihi vb). Aslında bunu birkaç GW makinesi içinde yapabiliriz, ancak uzak site içerisinde bulunan GW makineleri için varsayılan olarak açık gelen bu ayarı kapatmanızı tavsiye ederim.

Eğer sistem sorunsuz çalışıyor ise 5dk gibi kısa bir sürede hem servis çalışacak (Microsoft Advanced Threat Analytics Gateway) hem de benim lab ortamımda olduğu gibi ortamınız hakkında sağ üst köşede bilgi verecektir

Not: sorun oluşması durumunda bu dizindeki log dosyasını kontrol edebilirsiniz

“%programfiles%\Microsoft Advanced Threat Analytics\Gateway\Logs”

clip_image037

Bu son ayar ile temel kurulum tamamlanmış oldu. Ek olarak VPN network tanımlanması, Honeytoken user dediğimiz tuzak kullanıcı SID girişi ve Event Log işlemleri için aşağıdaki makaleyi inceleyebilirsiniz

Microsoft Advanced Threat Analytics – Bölüm 3 – Deployment Guide – Lab Installation

Microsoft Advanced Threat Analytics – Bölüm 4 – Configure Event Collection

Diğer bir GW kurma yöntemi ise DC üzerine kurulumdur. Yani GW için ayrı bir makine ayarlamak yerine DC üzerine kurulum yapabilirsiniz. Aynı yükleme dosyasını DC üzerinde çalıştırın

Not: yükleme .NET 4.6.1 ister ve yükler, bu nedenle böyle bir değişiklik sonucunda DC’ nin yeniden başlaması istenecektir. Hem değişiklik yapmak noktasında hem de yeniden başlatma noktasında temkinli olunuz.

clip_image039

Yüklemenin Lightweight olduğunu görebiliyoruz.

clip_image041

Demo ortamındaki DC minimum gereksinimleri karşılamıyor ama ben kuruluma devam ediyorum.

clip_image043

Aynı kullanıcı ile yükleme yapıyorum.

clip_image045

Yükleme tamamlandı. Eğer sadece ATA Lightweigth kurulumu yaparsanız Center üzerinde, ayarlarda GW menüsünde aşağıdaki gibi bir ekran göreceksiniz

clip_image047

Yani ek bir Gateway makinesi yok dikkat ederseniz, sadece DC var.

Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere.

Kaynak

https://docs.microsoft.com/en-us/advanced-threat-analytics/plan-design/ata-capacity-planning

 

 

 

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu