Microsoft Advance Threat Analytics

Microsoft Advance Threat Analytics (ATA) es una herramienta enfocada a la seguridad de la plataforma de Active Directory para detectar en tiempo real amenazas, y acciones sospechosas sobre el dominio.

¿Qué es ATA?

Microsoft ATA es una plataforma de seguridad para Active Directory con el fin de detectar amenazas. ATA toma información de los eventos y registros de la red con el fin de aprender comportamiento de los usuarios u otras entidades creando un perfil de comportamiento.

ATA aprovecha un motor de análisis sobre la red para capturar y analizar el tráfico de red de diversos protocolos (Kerberos, DNS, NTLM entre otros), ATA obtiene información de las siguientes maneras:

  • Creación de reflejos de puertos en los DC y servidores de DNS directos hacia la puerta de enlace de ATA.
  • Implementación de ATA Light Gateway (LGW) en los DC.

ATA nos permite detectar actividades sospechosas centrándose en:

  • Reconocimiento
  • Desplazamiento lateral
  • Dominio del dominio (persistencia)

Ademas de actividades sospechosas, ATA permite detectar ataques malintencionados como cuales:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • PAC falsificado (MS14-068)
  • Golden ticket
  • Replicaciones malintencionadas
  • Reconocimiento
  • Fuerza bruta
  • Ejecución remota

Arquitectura de ATA

ATA analiza el tráfico de red de los controladores de dominio mediante el uso de la creación de reflejo de puerto a una puerta de enlace de ATA con conmutadores físicos o virtuales, o implementando la puerta de enlace ligera de ATA directamente en los controladores de dominio. ATA puede sacar provecho de los eventos de Windows (reenviados directamente desde los controladores de dominio o desde un servidor SIEM) y analizar los datos en busca de amenazas y ataques.

1

Arquitectura de ATA

El siguiente diagrama muestra el flujo de red, captura de eventos y explorar en profundidad para la funcionalidad de los componentes de ATA.

2

Componentes de ATA

  • El ATA Center recibe datos de cualquier puerta de enlace de ATA o puerta de enlace ligera de ATA que implemente.
  • El ATA Gateway se instala en un servidor dedicado que supervisa el tráfico de los controladores de dominio mediante la creación de reflejo del puerto o un TAP de red.
  • La ATA Light Gateway se instala directamente en los controladores de dominio y supervisa el tráfico directamente, sin necesidad de un servidor dedicado ni de una configuración de creación de reflejo del puerto. Es una alternativa a la puerta de enlace de ATA.

ATA Center

El ATA Center cumple la función de administras la configuración de los Gateway de ATA, recibir datos desde los ATA Gateway, detectar actividades sospechosas, ejecutar algoritmos de aprendizajes de comportamiento. El ATA Center recibe el tráfico analizado por el ATA Gateway y la ATA Light Gateway, genera perfiles, lleva a cabo una detección determinista y ejecuta el aprendizaje automático.

ATA Gateway y ATA Light Gateway

El ATA Gateway cumple la función de captura y análisis del tráfico de red en los controladores de dominio, recibir eventos de servidores de Syslog o SIEM, recuperar datos sobre usuarios y dispositivos del dominio, realizar tareas de resolución de objetos y transferir los análisis hacia el ATA Center.

ATA es una herramienta la cual llegó para dar fin a la problemática de seguridad especial para Active Directory, considerando la importancia de esta solución (AD) y que es esencial para el resto de las soluciones Microsoft mantener un control sobre AD era una tarea difícil, con la implementación de ATA en su plataforma, podrá mantener control sobre cualquier tipo de ataque, actividades sospechosas e incluso comunicación entre servidores y AD.

Ernesto León, Consultor Infraestructura, Blue Solutions.

 

Advertisements

Migrar el perfil de usuarios (cuentas de dominio o perfiles locales)

Las empresas que no poseen Active Directory y desean implementarlo, es común que presenten el problema para la migración de sus perfiles. Esto puede verse como un problema menor, pero en realidad significa un gran cambio para el usuario, ya que no solo tendrá una nueva cuenta, sino que además todas sus configuraciones se pierden y debe copiar los archivos a nuevo perfil.

En este artículo explicaremos cómo hacer la migración de perfiles en menos de 15 minutos, igualando todas las configuraciones y archivos del usuario.

Para el proceso de migración de perfiles se utilizará la herramienta User Profile Wizard 3.9, esta herramienta es gratuita y permite migrar un perfil local al nuevo perfil creado con las cuentas de dominio.

Antes de hacer la migración se debe subir el equipo al dominio e ingresar con el perfil del usuario para crear la carpeta del perfil, luego se debe cerrar la sesión del dominio e ingresar la cuenta local del usuario para realizar el proceso de migración.

Descarga y uso User Profile Wizard 3.9

Para descargar la herramienta de migración desde la página del fabricante debe acceder al siguiente enlace https://www.forensit.com/downloads.html.

Esto descargará un archivo .Zip el cual debe ser extraído para acceder al contenido. Luego de extraer, se identifica el instalador de la herramienta, además de un archivo .txt que informa sobre la licencia legal del software.

1

Esta herramienta no requiere instalación, por lo que para usarla solo debe hacer doble clic en el archivo Profwiz.exe y se abrirá el asistente de migración.

  1. Siguiente

2

2. Se debe seleccionar la cuenta a migrar

3

3. Seleccionar el dominio y especificar la cuenta

4

4. Se inicia el proceso de migración y se espera que finalice

5

Luego se debe cerrar sesión y se ingresa con la cuenta de dominio, donde ésta estará configurada igual que la antigua cuenta local del usuario.

El proceso de migración puede demorar dependiendo de la cantidad de información que se deba migrar, a pesar de esto, los procesos de migración son muy ágiles y no deben tomar más de 10 a 15 minutos. Si el tiempo de migración supera los estándares indicados anteriormente se recomienda revisa los archivos de log del proceso.

Nunca debe detener el proceso de migración, esto puede dañar los archivos o corromper el perfil que está siendo migrado. Si la aplicación tiene un cierre brusco e inesperado se debe verificar el acceso al perfil y revisar los documentos y archivos contenidos.

Es recomendable, como medida de seguridad, hacer un respaldo de los archivos para los usuarios VIP (Gerencias, jefatura, área de contabilidad, entre otros…) o todos aquellos que manejen información delicada esto con el objetivo de prevenir una pérdida de información en el caso de que la migración se vea interrumpida.

 

Nicolás Herrera, Consultor Infraestructura, Blue Solutions.

 

Active Directory Right Management Services (AD RMS) ¿Puede proteger un directorio?

 AD RMS es un servicio que funciona a nivel de dominio, se encarga de proteger el contenido de documentos Office, correos electrónicos y eventualmente otro tipo de documentos como PDF.

Vamos a determinar la posibilidades que tenemos para proteger un directorio con AD RMS, convencionalmente siguiendo la línea Microsoft y según nuestra experiencia las distintas posibilidades de hacer esto efectivo.

Primeramente hablaremos de la solución más común para tratar nuestra interrogante. File Classification Infraestructure es una solución que funciona sobre el servicio de File Server de Windows Server, se encarga de la clasificación de archivos en base a reglas generadas según las necesidades de la organización. Por ejemplo, se puede clasificar los archivos en base al impacto que tiene sobre el negocio la revelación de la información.

Una buena forma de extender el uso de esta solución, es usando AD RMS Bulk Tool como tarea programada dentro de la solución para no solo clasificar la información, sino también agregar derechos sobre los documentos.

Otra herramienta que nos ayuda a responder nuestra interrogante es Active Directory Rights Management Services Bulk Protection Tool, se encarga de proteger los documentos de una carpeta en base a planillas de permisos.

Las plantillas de permisos deben ser generadas en la consola de AD RMS. En la plantilla, se puede asignar permisos por usuario o por grupo.

1

Se deben definir de forma correcta los permisos para que funcione de manera optima.

Al seleccionar permisos que tendrá el usuario o grupo de Active Directory sobre el o los documentos, los privilegios que son dependencias de otros se irán seleccionando automáticamente según su requerimiento.

2

Una vez que la plantilla está creada y disponible en un directorio compartido, se invoca a la herramienta que protege de forma masiva. Esta herramienta debe estar instalada en el  mismo servidor donde están los documentos. Se puede tomar como si fuera un servidor de archivos.

La forma de usar la herramienta es:

RMSBulk [/decrypt location] [/encrypt location rms_template [owner_email]] [/log log_file [/append] [/simple]] [/preserveattributes] [/silent]

3

La herramienta no tiene interfaz gráfica. Deja abierta la posibilidad de crear un script y automatizar el proceso. Mejor aún, crear una tarea programada con la secuencia de comandos.

En conclusión, se puede proteger los documentos contenidos en un directorio. El acceso al directorio se puede manejar en las propiedades de acceso del directorio.

Con una buena organización de directorios y plantillas, se puede automatizar la protección de documentos  a gran escala.

 Maximiliano Marín, Consultor de Infraestructura, Blue Solutions.