Nesta postagem do blog, falarei sobre a implantação de proteção avançada contra ameaças do Azure e mostrarei a minha experiência fazendo uma grande implementação em um ambiente com controladores de domínio virtuais hospedados em clusters VMware. Você também pode ler sobre Azure avançada contra ameaças movimento protecção lateral , Azure ATP e integração ATP Windows Defender , e Azure ATP vs ATA .

A proteção avançada contra ameaças do Azure é um serviço de nuvem da Microsoft para detectar ameaças avançadas e é considerada uma evolução da nuvem da solução Microsoft ATA anterior.

Implantação avançada de proteção contra ameaças do Azure 222

SUPORTANDO VÁRIAS FLORESTAS USANDO UMA ÁREA DE TRABALHO

Parece que o ATP do Azure agora (versão do Azure ATP 2.41 – julho de 2018) oferece suporte a implantações de várias florestas em um único espaço de trabalho do ATP do Azure. Você precisa de pelo menos uma confiança unidirecional e o usuário dos serviços de diretório precisa ser capaz de efetuar login em ambas as florestas. Esse é o recurso que permitia a mudança para um único espaço de trabalho oposto a ter vários espaços de trabalho antes. detalhes podem ser encontrados aqui.

OPÇÕES DE IMPLANTAÇÃO DO ATP DO AZURE

Existem duas opções avançadas de implantação de proteção contra ameaças do Azure, ou seja, você tem dois métodos para coletar logs de um controlador de domínio:

  • Faça o download de um agente ( sensor ATP do Azure ) em cada controlador de domínio em seu ambiente e esse agente enviará dados diretamente para o serviço em nuvem.
  • Configure um servidor ( sensor autônomo do Azure ), que receba uma cópia de todo o tráfego enviado aos controladores de domínio por meio do espelhamento de porta.

OPÇÃO 1: SENSOR DE ATP DO AZURE 

[No mundo da ATA, isso é chamado de gateway leve]

A primeira opção é a mais fácil, pois tudo o que você precisa fazer é instalar um agente pequeno (sensor ATP do Azure) em cada controlador de domínio. Geralmente, não gosto de instalar nada em meus controladores de domínio, pois os trato como caixas protegidas. Eu nem mesmo instalo o agente do gerenciador de configuração nos controladores de domínio, pois o agente do SCCM é executado em SYSTEM, e isso significa que o administrador do SCCM pode executar coisas usando privilégios de domínio elevados

Além disso, o sensor ATP do Azure instalará o .NET framework durante o processo de instalação do sensor, o que eu não gosto, pois significa que você terá mais exposição a ameaças em seus controladores de domínio.

Vale ressaltar que as grandes empresas possuem equipes separadas para gerenciamento de segurança e gerenciamento de identidade. Se você usar a opção de sensor ATP do Azure, a equipe de gerenciamento de identidades precisará realizar a implantação do sensor e solucionar problemas se o serviço for interrompido, pois a equipe de segurança não tem direitos de administrador de domínio para realizar essas operações nos controladores de domínio. No meu caso, quero que a equipe de segurança gerencie toda a implantação e manutenção da solução ATP, portanto, prefiro dar a eles o direito de administrador no servidor de sensores autônomo ATP do Azure e escolha a opção 2 das opções de implantação avançada de proteção contra ameaças do Azure.

Também me preocupo que o sensor ATP do Azure possa afetar o desempenho do meu controlador de domínio. Mas com o planejamento de capacidade adequado e com as melhorias de desempenho que a Microsoft fez com o novo sensor de ATP do Azure, não enfrentarei nenhum problema.

A Microsoft reprojetou o sensor ATP do Azure, já que ele oferece uma melhoria de até 10 vezes em comparação ao antigo agente ATA, graças à nova plataforma de análise. Portanto, a Microsoft decidiu incluir o nome (Sensor), para deixar claro que se trata de um novo agente aprimorado e não apenas da alteração de nomes. Se você executar o gateway leve ATA e o sensor ATP do Azure em um controlador de domínio, o que é absolutamente possível, será possível observar uma enorme melhoria no desempenho “de acordo com a Microsoft” [até 10 vezes], conforme mostrado abaixo.

Implantação avançada de proteção contra ameaças 2 do Azure

Nota: foto tirada da apresentação do Microsoft Ignite aqui.

O gateway leve ATA e o sensor ATP do Azure têm uma função de limitação de recursos que monitora os recursos livres nos controladores de domínio e certificam-se de que os controladores de domínio tenham recursos suficientes para operar e nunca sejam afetados pelas operações do sensor ATP. Se o controlador de domínio ficar ocupado, o sensor de ATP do Azure limitará os recursos que consome de acordo. Embora isso garanta que o controlador de domínio nunca fique sob pressão, ele afetará gravemente o sensor ATP do Azure, pois interromperá a análise do tráfego.

Graças à Microsoft, o sensor ATP do Azure consome muito menos recursos do que o antigo gateway leve ATA, o que significa que você raramente atingirá um ponto em que o controlador de domínio fica sob pressão.

OPÇÃO 2: ATP AUTÔNOMO DO AZURE 

[No mundo da ATA, isso é chamado de gateway independente]

Aqui você pode conectar um ou mais controladores de domínio a um servidor separado (ATP do Azure autônomo), enviando o tráfego por meio do espelhamento de porta, para que o servidor do sensor autônomo ATP do Azure possa ver o tráfego sem implantar nada no próprio controlador de domínio.

Nota importante

Você deve entender que, ao implantar o sensor autônomo, você não obterá uma lista completa de detecção, como detectar o ataque DCShadow (criando um controlador de domínio não autorizado ). A maioria dos clientes, conforme relatado pela Microsoft, está usando o sensor do Azure sobre o sensor independente.

Como não estamos instalando nada em servidores do controlador de domínio, a captura do tráfego por meio do espelhamento de porta não é suficiente. Ainda precisamos obter os logs de eventos do Windows desses controladores de domínio. Isso pode acontecer configurando um encaminhamento de eventos do Windows de controladores de domínio para o servidor de sensores autônomo ATP do Azure ou se você já estiver reunindo logs de eventos do controlador de domínio por meio do sistema SIEM, então o Azure ATP standalone pode obter eventos diretamente do sistema SIEM.

Implantação avançada de proteção contra ameaças do Azure 8

PLACAS DE REDE NO SERVIDOR DO SENSOR AUTÔNOMO ATP DO AZURE

Você pode precisar de duas placas de rede no servidor do sensor autônomo ATP do Azure, uma com IP fictício não roteável e usada para espelhamento de porta e recepção de cópia do tráfego do controlador de domínio. Outra NIC com IP roteado e gateway padrão válidos, usada para enviar o tráfego para o serviço ATP do Azure na nuvem.

Implantação avançada de proteção contra ameaças do Azure 6

E SE O SEU CONTROLADOR DE DOMÍNIO ESTIVER SENDO EXECUTADO EM UMA VM?

Eu costumava ter o ambiente VMware e todos os meus controladores de domínio estão sendo executados em VMs. Eu decidi usar a opção de implantação avançada de proteção contra ameaças avançada Azure ATP do sensor do ATP e fiquei preso à coisa de espelhamento de porta.

Se você tiver o cluster VMware com alguns hosts, deixe-me dar uma recomendação [This really work form me]:

  • Para cada VM do controlador de domínio, implemente uma VM separada com duas NICs e instalo o ATP do Azure autônomo nela. Portanto, se eu tiver dez controladores de domínio, eu instalaria dez servidores de sensores autônomos do ATP do Azure.

Por que você precisa de um servidor de sensores autônomo ATP dedicado do Azure por DC? Por que você não implanta um ATP do Azure para seus dois controladores de domínio no caso de ter dois DCs neste site? Vamos olhar a imagem abaixo e analisar a situação. Neste datacenter, temos dois controladores de domínio e um cluster VMware com quatro hosts. Agora, se o DC1, o DC2 e o servidor do sensor autônomo do Azure estiverem hospedados no VMware Host 1, você poderá configurar o espelhamento de porta para que o tráfego proveniente do DC1 e do DC2 seja enviado ao servidor do sensor autônomo do Azure, mas se o DC2, por exemplo, for movido para o VMware Host 2, você não pode fazer o espelhamento de porta para que o DC2 possa enviar o tráfego para o servidor do sensor localizado em um host VMware diferente.

Claro, você pode configurar uma afinidade no VMware para que o DC1, o DC2 e o servidor do sensor sempre se movam juntos entre hosts VMware, mas não tenho certeza se é uma boa ideia hospedar dois controladores de domínio no mesmo host VMware, terá um único ponto de falha.

Em vez disso, tenho o DC1 hospedado no VMware Host 1 e o DC2 hospedado no VMware Host 3, e teria dois servidores de sensores, um hospedado no VMware Host 1 com espelhamento de portas do DC1 e um hospedado no VMware Host 3 com espelhamento de porta do DC2.

Implantação avançada de proteção contra ameaças do Azure 9

  • Eu configuro uma afinidade entre cada controlador de domínio e a VM independente do sensor de ATP do Azure correspondente, para que, se o DC passar de host para outro, a VM independente do sensor de ATP do Azure correspondente mova-se com ele para o mesmo host. Isso é necessário para que o switch VMware faça o espelhamento apropriado durante o failover do host.
  • Em seguida, configuro o espelhamento de porta no switch VMware para que qualquer tráfego que vá para a VM DC seja enviado a uma das duas NICs correspondentes à VM independente do ATP do Azure.

Aqui podemos ver que tenho dois controladores de domínio em execução como VMs VMware, então tive que instalar dois servidores de sensores autônomos do ATP do Azure.

Implantação avançada de proteção contra ameaças do Azure 3

Se o DC1 for movido para o host VMware 2 por qualquer motivo, o servidor do sensor 1 do Azure ATP correspondente fará o mesmo. Isso garantirá que o espelhamento de porta realmente funcione.

Implantação avançada de proteção contra ameaças do Azure 4

O que seria ruim e não funcionaria se o DC1 fosse movido para o VMware host 2, enquanto o servidor de sensores autônomo do ATP do Azure correspondente 1 ainda estivesse hospedado no host 1 do VMware. Isso faria com que o espelhamento de porta falhasse.

Implantação avançada de proteção contra ameaças do Azure 5

Finalmente, aqui está a configuração de espelhamento de porta do VMware que funciona para mim:

Implantação avançada de proteção contra ameaças do Azure 7

OPÇÃO 3: MISTURA DE AMBOS

O objetivo aqui é capturar o tráfego de todos os seus controladores de domínio em sua floresta. Não importa como você faz isso. Você pode ter alguns dos seus controladores de domínio com o sensor ATP do Azure implantado neles (talvez em escritórios remotos em que você não deseja criar outro servidor apenas para o sensor autônomo ATP do Azure) e pode ter outros controladores de domínio enviando seu tráfego para Servidores autônomos do ATP do Azure via espelhamento de porta.

Apenas certifique-se de não ter o mesmo controlador de domínio enviando tráfego usando o sensor ATP do Azure e o espelhamento de porta para um servidor de sensor independente do ATP do Azure.

PLANEJAMENTO DE CAPACIDADE DO ATP DO AZURE

Antes de considerar a implantação de senhas avançadas de proteção contra ameaças do Azure em seu ambiente, leia a documentação da Microsoft sobre o planejamento de capacidade do ATP do Azure. A Microsoft fornece uma ferramenta de dimensionamento para ajudá-lo a fazer o planejamento de capacidade adequado.

Implantação avançada de proteção contra ameaças do Azure 1

IMPLANTAÇÃO AVANÇADA DE PROTEÇÃO CONTRA AMEAÇAS DO AZURE

Há muitas etapas pelas quais passaremos para concluir a implantação avançada de proteção contra ameaças do Azure:

  1. Escolha uma opção de implantação avançada de proteção contra ameaças do Azure [discutida acima].
  2. Criar um ATP do Azure ambiente de trabalho instância.
  3. Instale o sensor ATP do Azure.
  4. Etapas Adicionais

Nesta seção, estarei implantando o sensor autônomo do ATP do Azure em um servidor Windows 2012 R2, configurado com o espelhamento de porta para capturar o tráfego do controlador de domínio. Depois de passar pela arquitetura e pré  requisitos do ATP do Azure , podemos ir em frente e iniciar o processo de implantação avançada de proteção contra ameaças do Azure.

CRIAR UMA INSTÂNCIA DO ATP DO AZURE

  • Digite o portal ATP do Azure https://portal.atp.azure.com.
  • Faça login com sua conta de usuário do AD do Azure.
  • Crie uma instância (anteriormente chamada de “espaço de trabalho”).

Implantação avançada de proteção contra ameaças do Azure 201

É isso aí. Não é mais necessário criar espaços de trabalho primários e escolher o geo onde seus dados serão localizados. Sua instância do ATP do Azure é automaticamente nomeada com o nome de domínio inicial do AAD e alocada ao data center mais próximo de seu AAD e criado. Ótimo trabalho da equipe de produtos ATP do Azure para facilitar a implantação rápida deste produto.

O próximo passo é fornecer uma conta que será usada pelo sensor de ATP do Azure no local para acessar seu controlador de domínio. Esta conta só deve ter acesso de leitura ao seu anúncio. Além disso, talvez você queira conceder permissões extras, conforme especificado aqui, para configurar as permissões do SAM-R e ativar um recurso chamado caminhos de movimentação lateral .

Implantação avançada de proteção contra ameaças do Azure 13

Finalmente, faríamos o download da configuração do sensor. O mesmo pacote é usado para implantar o servidor do sensor autônomo ATP do Azure e o sensor do ATP do Azure.

INSTALE O SENSOR ATP DO AZURE

Depois de baixar o pacote, vá para o servidor do sensor autônomo do ATP do Azure, que está configurado com o espelhamento de porta para capturar o tráfego do controlador de domínio e executar a instalação. A instalação detectará imediatamente que esse servidor não é um controlador de domínio e tentará instalar o servidor do sensor autônomo ATP do Azure, e não o sensor do ATP do Azure. Observe a chave de acesso que você utilizará ao concluir o processo de instalação do sensor.

Implantação avançada de proteção contra ameaças do Azure 14

Como você pode ver, o .NET é necessário para a configuração do sensor ATP do Azure.

Implantação avançada de proteção contra ameaças do Azure 16

Implantação avançada de proteção contra ameaças do Azure 17

Implantação avançada de proteção contra ameaças do Azure 18

Finalmente, ao configurar o sensor, certifique-se de inserir a chave de acesso que você obteve no portal de gerenciamento.

Implantação avançada de proteção contra ameaças do Azure 19

Nota:  algumas considerações se você estiver executando a instalação em uma VM do VMWare, já que você pode precisar configurar a placa de rede da VM como mostrado abaixo:

Implantação avançada de proteção contra ameaças do Azure 20

Implantação avançada de proteção contra ameaças do Azure 22

Há também um problema com o sensor de ATP do Azure e o agrupamento de NICs mencionado aqui , que talvez você queira examinar. No meu caso, depois de instalar o sensor no VMWare VM, o serviço não será iniciado e tive que desinstalar o WinPcap de [Add Remove Programs] para resolver o problema.

Você também pode encontrar os logs do sensor de ATP do Azure localizados aqui [ C: \ Arquivos de Programas \ Azure Advanced Threat Protection Sensor \ ], que ajudaram a resolver muitos problemas.

Implantação avançada de proteção contra ameaças do Azure 24

Agora, voltando ao portal de gerenciamento avançado de proteção contra ameaças do Azure, podemos ver que o controlador de domínio agora está relatando os dados de volta.

Implantação avançada de proteção contra ameaças do Azure 25

ETAPAS ADICIONAIS

Agora que você concluiu sua implantação avançada de proteção contra ameaças do Azure, há algumas coisas que você pode configurar:

INTEGRAÇÃO VPN

Uma das peças importantes ao fazer uma investigação é a capacidade de visualizar as conexões VPN, como endereços IP e locais de origem da conexão. Isso complementa a investigação fornecendo informações adicionais sobre a atividade do usuário, bem como nova detecção para conexão anormal.

Essa integração é possível através de eventos de Contabilidade do RADIUS que você pode encaminhar para os sensores do ATP do Azure. Essa integração é baseada no padrão RADIUS Accounting RFC 2866, que é suportado pela Microsoft, F5, Check Point, Cisco ASA.

No portal de gerenciamento do ATP do Azure, você só precisa ativar a Contabilidade do RADIUS e digitar um Segredo compartilhado. Detalhes completos sobre como configurar a integração podem ser encontrados aqui.

Implantação de ATP avançada de proteção contra ameaças avançada do Azure 61

CONTAS HONEYTOKEN

As contas do Honeytoken são contas fictícias que você cria com um nome que atrai hackers para atacar primeiro. Essas contas não devem ter nenhuma atividade de rede, portanto, quando o Azure ATP vê algum ruído proveniente de uma dessas contas, você sabe que há atividades suspeitas acontecendo agora. Tente nomear essas contas com nomes como SQL Admin ou Master Key .

Você pode marcar contas para serem marcadas como honeytokens dentro do portal de gerenciamento de ATP do Azure em Tags de entidade.

Implantação de ATP de proteção avançada contra ameaças do Azure 62

EXCLUSÕES

Faz sentido que haja alguns alertas falsos positivos, como quando o ATP do Azure gera alertas para o servidor do AAD Connect porque está fazendo algum tráfego de replicação do AD, o que é normal, já que está realizando a sincronização do AD no Azure AD. A melhor maneira é remover falsos positivos para este servidor seria excluir o servidor de conexão AAD de tal categoria de alerta. Você pode ser tão específico ao fazer algumas exclusões, na verdade, você pode fazer exclusões por tipo de detecção, como mostrado na figura abaixo. Para configurar exclusões, navegue até a seção Exclusões no portal de gerenciamento do Azure ATP.

Implantação ATP de proteção avançada contra ameaças do Azure 64

CONTAS SENSÍVEIS

Contas sensíveis podem ser marcadas de duas maneiras:

  • Marcação automática:  os seguintes grupos e membros dos grupos serão automaticamente considerados sensíveis:
    • A seguinte lista de grupos é considerada sensível pelo ATP do Azure. Qualquer entidade que seja membro desses grupos é considerada sensível:
      • Administradores

      • Operadores de conta de usuários avançados
      • Operadores de Servidores
      • Operadores de impressão
      • Operadores de backup
      • Replicadores
      • Usuários da Área de Trabalho Remota
      • Operadores de Configuração de Rede

      • Administradores de Domínio dos Construtores de Confiança de Floresta de Entrada
      • Controladores de Domínio
      • Proprietários do Criador de Diretiva de Grupo
      • Controladores de Domínio Somente Leitura
      • Controladores de domínio somente leitura da empresa
      • Administradores de Esquema
      • Administradores Corporativos
    • Etiquetagem manual : onde você pode marcar manualmente a conta do CEO, por exemplo, como conta sensível, pois ele pode acessar informações confidenciais. Você pode configurar a marcação manual no portal de gerenciamento do ATP do Azure, em Marcação de entidades . Você pode marcar manualmente usuários e grupos como contas confidenciais.

O que é especial sobre contas sensíveis? Até onde eu sei, quando você marca uma conta como sensível, o ATP do Azure fará mais técnicas de detecção nas contas como:

  • Detecção de modificação de grupo sensível : avisa quando a associação ao grupo é alterada, eu acho.
  • Caminho de movimento lateral : quando você olha para o gráfico de movimento lateral de dentro do portal do ATP do Azure, é possível ver que o gráfico sempre tentará desenhar uma rota de ataque com um destino igual a uma dessas contas confidenciais. Sempre que uma conta sensível faz logon em uma máquina, os sensores ATP do Azure tentam se conectar à máquina usando o protocolo SAM-R para saber quem são os membros do grupo de administradores locais nessa máquina e, em seguida, desenharão um gráfico de movimentação lateral de acordo . Em resumo, se uma conta for marcada como sensível, o ATP do Azure a considerará um alvo para sua detecção e gráficos de movimento lateral.

Implantação ATP de proteção avançada contra ameaças do Azure 63

ATIVAR MOVIMENTO LATERAL [CONFIGURAR PERMISSÕES DO SAM-R]

Há uma seção completa sobre a documentação da Microsoft sobre como configurar as permissões do SAM-R para que os sensores do ATP do Azure possam consultar o administrador local em máquinas nas quais contas sensíveis fazem logon, para gerar o gráfico de movimento lateral. Vou postar um post detalhado falando sobre isso.

CONFIGURAR O ENCAMINHAMENTO DE EVENTOS DO WINDOWS

Uma das partes mais importantes durante sua implantação avançada de proteção contra ameaças do Azure é configurar o encaminhamento de eventos. Se o sensor estiver instalado diretamente no controlador de domínio, nada com que se preocupar, mas se você estiver usando o sensor de ATP do Azure autônomo, lembre-se de enviar alguns eventos do Windows de seu controlador de domínio para o servidor independente do sensor de ATP do Azure usando o evento do Windows. Encaminhamento ou via integração SIEM.

Por que isso importa? Porque esses eventos [4776, 4732, 4733, 4728, 4729, 4756, 4757 e 7045] são críticos para:

  • Aprimore várias detecções para autenticação NTLM [Evento 4776]
  • Necessário para modificação de grupo sensível e criação de serviço [Eventos 4732, 4733, 4728, 4729, 4756, 4757 e 7045]

Este é um documento que mostra como fazer o encaminhamento de eventos de implantação de proteção avançada contra ameaças do Azure .

CONFIGURAR PROXY, SE NECESSÁRIO

A implantação avançada de proteção contra ameaças do Azure pode exigir que você considere sua configuração de proxy. É sempre um problema de proxy e o sensor de ATP do Azure pode trabalhar com esse problema. Aqui está a documentação da Microsoft sobre como configurar sensores ATP do Azure para trabalhar com proxy.

DOCUMENTOS DE REFERÊNCIA

Por fim, você pode dar uma olhada nos pré-requisitos, na arquitetura e na documentação de implantação avançada de proteção contra ameaças do Azure  no Microsoft Docs.

VÍDEO DE PROTEÇÃO DE AMEAÇA AVANÇADA DA MICROSOFT 365

Aqui está um vídeo que publiquei no meu canal do YouTube. Trata-se de “ Como proteger seu local de trabalho moderno com a Proteção Avançada contra Ameaças da Microsoft “. Por favor, assine o  canal  para receber atualizações sobre meus novos vídeos.

“Vou apresentar os serviços de proteção contra ameaças do Microsoft 365 e demonstrar como a proteção contra ameaças do Microsoft 365 aproveita a força do sinal, integração, aprendizado de máquina e inteligência artificial para ajudar a proteger o ambiente de trabalho moderno contra ameaças persistentes avançadas ou APT.”

 

 

 

 

 

Artigo gentilmente cedido por Ammar Hasayen 

Publicado originalmente em: https://blog.ahasayen.com/azure-advanced-threat-protection-deployment/

ABOUT THE AUTHOR

Ammar Hasayen

Ammar Hasayen

Ammar is a digital transformer, cloud architect, public speaker and blogger. He is considered a trusted advisory with the ability to quickly navigate complex multi-cultural organizations and continuously improve and motivate cross-functional teams to achieve higher productivity, collaboration, revenue gain and cross-group knowledge sharing. His contributions to the tech community helped him get awarded the Microsoft Most Valuable Professional. Ammar appears in a lot of global conferences, and he has many publications about digital transformation and next generation technologies.