ATA Planung

Hier nun wie angedroht ein weiterer Artikel zum Microsoft Advanced Threat Analytics (ATA).

Die Idee: zu ATA werden die Active Directory Daten gespiegelt, ausgewertet und auf möglichen Missbrauch bzw. Auffälligkeiten hin untersucht. Hierzu ist ein Setup von sogenannten ATA (Lightweight) Gateways nötig, welche die gespiegelten AD-Daten aufnehmen. ATA lernt nun die Umgebung kennen, wertet diese aus und meldet sicherheitsrelevante Informationen über das ATA Center. Auf dem ATA Center ist eine Timeline von Alarmen einsehbar, inklusive erster Empfehlungen der weiteren Vorgehensweise.

Die wichtigsten Infos vorab:

– ATA wird größtenteils on-premises aufgebaut. DCs in Azure oder anderen public Clouds werden mittels ATA Lightweight Gateways eingefangen (ab ATA V1.6).
– Idealerweise werden sämtliche DCs eines AD überwacht, dies erfordert sicherlich den Aufbau mehrerer ATA (Lightweight) Gateways.
– Den ATA Gateways werden die AD-Daten mittels Spiegelports von Switchen (real, virtuell) übermittelt. Die Platzierung der ATA Gateways stellt somit die erste (und größte) Herausforderung dar.
– Eine Alternative ist seit Version 1.6 das sogenannte ATA Lightweight Gateway. Dieses wird auf einem DC installiert und insofern ist kein dediziertes Gateway erforderlich. Bei beiden Gateway-Varianten sind die Systemanforderungen zu beachten!
– Sind die ATA (Lightweight) Gateways einmal platziert, dann beginnt automatisch ein Selbstlernprozess. Es ist NICHT erforderlich eine aufwendige Baseline zu erstellen, das System startet nach Positionierung vollkommen autark los.
– ATA kann in einem Workgroup Szenario aufgebaut werden.
– Die Auswertung/Interpretation der von ATA angezeigten Vorkommnisse stellt die zweite Herausforderung dar, da hierfür ggf. “Personen Tage” reserviert werden müssen.
– ATA kann unter anderem durch EMS (Microsoft Enterprise Mobility Suite) lizenziert werden. EMS ist im Vergleich zu den einzelnen Produkten recht günstig, fragt hierzu einen Cloud Solution Provider. Zur Not kann ich einen CSP empfehlen Smiley http://iteracon.de/public-site/news/show?e=19

 

ATA Topologie:

image

https://docs.microsoft.com/de-de/advanced-threat-analytics/plan-design/ata-prerequisites

ATA Kapazitätsplanung:

Für ATA kann je nach Umgebung einiges an Ressourcen gefordert sein:

https://docs.microsoft.com/de-de/advanced-threat-analytics/plan-design/ata-capacity-planning

ATA Test:

ATA Center und ATA Gateway kann zu Test- oder Laborzwecken auf einem Server installiert werden. Für den produktiven Einsatz sei eine Trennung aber empfohlen. Einen ersten Eindruck erhält man sicherlich auch, wenn nur ein DC überwacht wird. Für den produktiven Einsatz dürfte diese Sichtweise aber zu eingeschränkt sein.

Im nächsten Artikel zeige ich die Installation von ATA Center + (Lightweight) Gateways, stay tuned.

Gruß,

Karsten Hentrup…

>>

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*