Tutoriel : Configurer un labo des alertes de sécurité Microsoft Defender pour Identity

L’objectif du labo des alertes de sécurité de Microsoft Defender pour Identity est d’illustrer les fonctionnalités de Defender pour Identity concernant l’identification et la détection des activités suspectes et des attaques potentielles du réseau. Ce premier tutoriel d’une série en quatre parties explique comment créer un environnement de labo permettant de tester les détections discrètes de Defender pour Identity. Le labo des alertes de sécurité se concentre sur les fonctionnalités de Defender pour Identity basées sur les signatures. Ce labo n’inclut pas le Machine Learning avancé, ni les détections de comportements basées sur utilisateur ou l’entité, car celles-ci nécessitent une période d’apprentissage avec un trafic réseau réel pouvant aller jusqu’à 30 jours. Pour plus d’informations sur les différents tutoriels de cette série, consultez la Vue d’ensemble des labos des alertes de sécurité de Defender pour Identity.

Ce didacticiel vous apprendra à effectuer les opérations suivantes :

  • configurer votre serveur de labo et vos ordinateurs ;
  • configurer Active Directory avec des utilisateurs et des groupes ;
  • Installer et configurer Defender pour Identity
  • configurer les stratégies locales pour votre serveur et vos ordinateurs ;
  • simuler un scénario de gestion du support technique à l’aide d’une tâche planifiée.

Prérequis

  1. Un contrôleur de domaine du labo et deux stations de travail de labo.

  2. Une instance Defender pour Identity qui est connectée à AD.

  3. Téléchargez et installez la dernière version du capteur Defender pour Identity sur le contrôleur de domaine de votre labo.

  4. Vous êtes familiarisé avec les stations de travail à accès privilégié et la stratégie SAMR.

Recommandations

Nous vous recommandons de suivre d’aussi près que possible les instructions de configuration du labo. Plus votre labo est proche de la configuration suggérée, plus les procédures de test de Defender pour Identity seront faciles à suivre. Une fois le labo configuré, vous serez prêt à effectuer des actions avec les outils de recherche de piratage suggérés et à vérifier leur détection par Defender pour Identity.

Votre configuration complète du labo doit ressembler le plus possible au diagramme suivant :

Defender for Identity testing lab setup

Serveurs et ordinateurs

Ce tableau détaille les ordinateurs et les configurations nécessaires. Les adresses IP sont fournies à titre de référence uniquement afin que vous puissiez suivre facilement.

Dans les exemples pour ces tutoriels, le nom NetBIOS de la forêt est CONTOSO. AZURE.

FQDN Système d''exploitation IP Objectif
ContosoDC.contoso.azure Windows Server 2012 R2 10.0.24.4 Contrôleur de domaine avec le capteur Defender pour Identity installé localement
VictimPC.contoso.azure Windows 10 10.0.24.5 PC de la victime
AdminPC.contoso.azure Windows 10 10.0.24.6 PC de l’administrateur de domaine (parfois appelé « Station de travail d’administrateur sécurisée » ou « Station de travail d’administrateur privilégiée »)

Utilisateurs et groupes Active Directory

Dans ce labo, il y a trois principaux utilisateurs et un compte de service. Le compte de service est destiné à Defender pour Identity, et est utilisé à la fois pour la synchronisation LDAP et pour SAMR.

Il existe un groupe de sécurité « Support technique » dont Ron HelpDesk est membre. Ce groupe de sécurité imite le support technique. Le groupe de sécurité est associé à un objet de stratégie de groupe qui donne des droits d’administrateur local aux membres de notre support technique sur leurs ordinateurs respectifs. Cette configuration est utilisée pour simuler un modèle réaliste d’administration dans un environnement de production.

Complète Nom complet Compte SAM Objectif
Jeff Leatherman JeffL Bientôt victime d’une attaque par hameçonnage d’une efficacité impressionnante
Ron HelpDesk RonHD Ron est la « personne à contacter » de l’équipe informatique de Contoso. RonHD est membre du groupe de sécurité « Support technique » .
Samira Abbasi SamiraA Chez Contoso, cet utilisateur est notre administrateur de domaine.
Service Defender pour Identity AATPService Compte de service de Defender pour Identity account

Environnement de labo de base Defender pour Identity

Pour configurer le labo de base, nous allons ajouter des utilisateurs et des groupes à Active Directory, modifier une stratégie SAM et un groupe sensible dans Defender pour Identity.

Alimenter Active Directory avec des utilisateurs sur ContosoDC

Pour simplifier le labo, nous avons automatisé le processus de création d’utilisateurs et de groupes fictifs dans Active Directory. Ce script est exécuté comme une condition préalable à ce tutoriel. Vous pouvez utiliser ou modifier le script pour alimenter l’environnement Active Directory de votre labo. Si vous préférez ne pas utiliser de script, vous pouvez le faire manuellement.

En tant qu’administrateur de domaine, sur ContosoDC, exécutez la commande suivante pour alimenter Active Directory avec des utilisateurs :

# Store the user passwords as variables
$SamiraASecurePass = ConvertTo-SecureString -String 'NinjaCat123' -AsPlainText -Force
$ronHdSecurePass = ConvertTo-SecureString -String 'FightingTiger$' -AsPlainText -Force
$jefflSecurePass = ConvertTo-SecureString -String 'Password$fun' -AsPlainText -Force
$AATPService = ConvertTo-SecureString -String 'Password123!@#' -AsPlainText -Force

# Create new AD user SamiraA and add her to the domain admins group
New-ADUser -Name SamiraA -DisplayName "Samira Abbasi" -PasswordNeverExpires $true -AccountPassword $samiraASecurePass -Enabled $true
Add-ADGroupMember -Identity "Domain Admins" -Members SamiraA

# Create new AD user RonHD, create new Helpdesk SG, add RonHD to the Helpdesk SG
New-ADUser -Name RonHD -DisplayName "Ron Helpdesk" -PasswordNeverExpires $true -AccountPassword $ronHdSecurePass -Enabled $true
New-ADGroup -Name Helpdesk -GroupScope Global -GroupCategory Security
Add-ADGroupMember -Identity "Helpdesk" -Members "RonHD"

# Create new AD user JeffL
New-ADUser -Name JeffL -DisplayName "Jeff Leatherman" -PasswordNeverExpires $true -AccountPassword $jefflSecurePass -Enabled $true

# Take note of the "AATPService" user below which will be our service account for Defender for Identity.
# Create new AD user Defender for Identity Service

New-ADUser -Name AatpService -DisplayName "Azure ATP/ATA Service" -PasswordNeverExpires $true -AccountPassword $AATPService -Enabled $true

Configurer les fonctionnalités SAM-R à partir de ContosoDC

Pour permettre au service Defender pour Identity d’effectuer correctement une énumération SAM-R et de créer des chemins de mouvement latéral, vous devez modifier la stratégie SAM. Vous devez modifier la stratégie de groupe pour ajouter le compte de service Defender pour Identity en plus des comptes configurés répertoriés dans la stratégie Accès réseau. Veillez à appliquer les stratégies de groupe à tous les ordinateurs, à l’exception des contrôleurs de domaine.

  1. Recherchez votre stratégie SAM sous : Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité > « Accès réseau : restreindre les clients autorisés à passer des appels distants à SAM » .

    Modify Group Policy to allow Defender for Identity to use Lateral Movement path capabilities.

  2. Ajoutez le compte de service Defender pour Identity, AATPService, à la liste des comptes approuvés capables d’effectuer cette action sur vos systèmes Windows modernes.

    Add the service.

Ajouter un groupe sensible à Defender pour Identity

L’ajout du groupe de sécurité « Support technique » en tant que groupe sensible vous permettra d’utiliser la fonctionnalité Graphique de mouvement latéral de Defender pour Identity. Le balisage d’utilisateurs et de groupes très sensibles qui ne sont pas nécessairement des administrateurs de domaine mais disposent de privilèges pour de nombreuses ressources est une meilleure pratique.

  1. Dans le portail Defender pour Identity, sélectionnez Configuration.

  2. Sous Détection, sélectionnez Étiquettes d’entité.

    Defender for Identity entity tags

  3. Dans la section Sensible, tapez le nom « Support technique » pour Groupes sensibles, puis sélectionnez le signe + pour les ajouter. Tag the

  4. Sélectionnez Enregistrer.

Liste de contrôle de la configuration de base du labo Defender pour Identity

À ce stade, vous devez avoir un labo Defender pour Identity de base. Defender pour Identity doit normalement être prêt à être utilisé et les utilisateurs sont mis en place. Passez en revue la liste de vérification pour vous assurer que le labo de base est terminé.

Étape Action État
1 Capteur Defender pour Identity installé sur ContosoDC (prérequis)
2 Les utilisateurs et les groupes sont créés dans Active Directory
3 Privilèges du compte de service Defender pour Identity configurés correctement pour SAMR
4 Groupe de sécurité Support technique ajouté en tant que groupe sensible dans Defender pour Identity

Configurer les stations de travail du labo

Une fois que vous avez vérifié que votre labo Defender pour Identity de base est configuré, vous pouvez commencer à configurer la station de travail pour la préparer aux trois tutoriels suivants de cette série. Nous allons alimenter notre VictimPC et AdminPC pour donner une apparence active à ce labo.

Stratégies VictimPC locales

L’étape suivante pour votre labo consiste à terminer la configuration de la stratégie locale. VictimPC a JeffL et le groupe de sécurité du support technique en tant que membres du groupe d’administrateurs locaux. Comme dans de nombreuses organisations, JeffL est un administrateur sur son propre appareil, VictimPC.

En tant qu’administrateur local, configurez des stratégies locales en exécutant le script PowerShell automatisé :

# Add JeffL to local Administrators group on VictimPC
Add-LocalGroupMember -Group "Administrators" -Member "Contoso\JeffL"
# Add Helpdesk to local Administrators group on VictimPC
Add-LocalGroupMember -Group "Administrators" -Member "Contoso\Helpdesk"

Inspectez le groupe d’administrateurs sur VictimPC et assurez-vous qu’il semble avoir au moins le support technique et JeffL en tant que membres :

Helpdesk nd JeffV should be in the Local Admin Group for VictimPC.

Simulez la prise en charge du support technique sur VictimPC

Pour simuler un réseau actif et géré, créez une tâche planifiée sur la machine VictimPC afin d’exécuter le processus « cmd.exe » en tant que RonHD.

  1. À partir d’une console PowerShell avec élévation de privilèges sur VictimPC, exécutez le code suivant :

    $action = New-ScheduledTaskAction -Execute 'cmd.exe'
    $trigger = New-ScheduledTaskTrigger -AtLogOn
    $runAs = 'Contoso\RonHD'
    $ronHHDPass = 'FightingTiger$'
    Register-ScheduledTask -TaskName "RonHD Cmd.exe - AATP SA Playbook" -Trigger $trigger -User $runAs -Password $ronHHDPass -Action $action
    
  2. Connectez-vous à la machine en tant que JeffL. Le processus de Cmd.exe démarre dans le contexte de RonHD après l’ouverture de session, simulant la gestion de la machine par le support technique.

Désactivez l’antivirus sur VictimPC

À des fins de test, désactivez toutes les solutions antivirus en cours d’exécution dans l’environnement de labo. Vous pourrez ainsi vous concentrer sur Defender pour Identity pendant ces exercices et non pas sur les techniques permettant de contourner l’antivirus.

Si vous ne commencez pas par désactiver les solutions antivirus, il vous sera impossible de télécharger certains des outils dans la section suivante. De plus, si l’antivirus est activé une fois que les outils d’attaque sont préparés, vous devrez télécharger à nouveau les outils après la désactivation de l’antivirus.

Préparez les outils de piratage courants

Avertissement

Les outils suivants sont présentés uniquement à des fins de recherche. Microsoft ne possède pas ces outils et ne peut pas garantir ni ne garantit leur comportement. Ils sont susceptibles d’être modifiés sans préavis. Ces outils ne doivent être exécutés que dans un environnement de labo de test.

Pour exécuter les playbooks des alertes de sécurité Defender pour Identity, téléchargez et copiez les outils suivants sur VictimPC.

Outil URL
Mimikatz GitHub – Mimikatz
PowerSploit GitHub – PowerSploit
PsExec Microsoft Docs
NetSess Outils JoeWare

Nous remercions les auteurs de ces outils de recherche d’avoir permis à la communauté de mieux comprendre les cyber risques et leur impact.

Stratégies AdminPC locales

AdminPC a besoin d’un support technique ajouté au groupe d’administrateurs locaux. Ensuite, supprimez « Administrateurs de domaine » du groupe d’administrateurs locaux. Cette étape permet de s’assurer que Samira, un administrateur de domaine, n’est pas un administrateur d’AdminPC. Il s’agit d’une meilleure pratique en matière de traitement des informations d’identification. Effectuez cette étape manuellement ou utilisez le script PowerShell fourni.

  1. Ajoutez Support technique à AdminPC et supprimez « Administrateurs du domaine » du groupe d’administrateurs locaux en exécutant le script PowerShell suivant :

    # Add Helpdesk to local Administrators group
    Add-LocalGroupMember -Group "Administrators" -Member "Contoso\Helpdesk"
    # Remove Domain Admins from local Administrators group
    Remove-LocalGroupMember -Group "Administrators" -Member "Domain Admins"
    
  2. Après avoir exécuté le script, Support technique se trouve dans la liste locale Administrateurs>Membres d’AdminPC. Helpdesk in the Local Admin Group for AdminPC.

Simulez des activités de domaine à partir d’AdminPC

Des activités de domaine simulées sont nécessaires à partir de SamiraA. Cette étape peut être effectuée manuellement, ou à l’aide du script PowerShell fourni. Le script PowerShell accède au contrôleur de domaine toutes les 5 minutes et entraîne dans l’activité réseau simulée en tant que Samira.

En tant que SamiraA, exécutez le script suivant dans une invite PowerShell d’AdminPC :

while ($true)
{
    Invoke-Expression "dir \\ContosoDC\c$"
    Start-Sleep -Seconds 300
}

Liste de vérification de la configuration de la station de travail

Passez en revue la liste de vérification pour vous assurer que la configuration de la station de travail est terminée.

Étape Action État
1 Ajouter JeffL et le support technique en tant qu’administrateurs locaux sur VictimPC
2 Créer une tâche planifiée exécutée en tant que RonHD sur VictimPC
3 Désactivez la solution antivirus sur VictimPC
4 Outils de piratage préparés sur VictimPC
5 Ajouter Support technique et supprimer Administrateurs du domaine du groupe d’administrateurs locaux d’AdminPC
6 Exécutez le script PowerShell en tant que Samira pour simuler des activités de domaine

Mission accomplie !

Votre labo Defender pour Identity est maintenant prêt à être utilisé. Les méthodes utilisées dans cette configuration ont été choisies sachant que les ressources doivent être gérées (par quelque chose ou quelqu'un) et que la gestion nécessite des privilèges d’administrateur local. Il y a d’autres manières de simuler un flux de travail de gestion dans le labo :

  • Connexion et déconnexion de VictimPC avec le compte de RonHD
  • Ajout d’une autre version d’une tâche planifiée
  • Une session RDP
  • Exécution de « runas » en ligne de commande

Pour de meilleurs résultats, choisissez une méthode de simulation que vous pouvez automatiser dans votre labo à des fins de cohérence.

Étapes suivantes

Testez votre environnement de labo Defender pour Identity en utilisant les playbooks des alertes de sécurité Defender pour Identity pour chacune des phases de la chaîne de cyberattaque, en commençant par la phase de reconnaissance.

Rejoindre la communauté

Vous avez d’autres questions, ou vous voulez discuter de Defender pour Identity et de la sécurité associée avec d’autres utilisateurs ? Rejoignez la communauté Defender pour Identity dès aujourd’hui.