Métodos para "controlar" Active Directory

Esta entrada viene a resumir una conversación con un responsable de seguridad que me pedía que le explicase como podría "auditar" el uso de su Active Directory. Según iba avanzando la conversación, entendía mejor el contexto y lo que se perseguía y proponiendole tres métodos, no excluyentes entre sí y que creo que pueden servir a los propósitos que buscan.

Los tres métodos propuestos son:

• Auditoria de Active Directory
• Revisión de configuración de Active Directory
• Análisis de comportamiento de Active Directory

Primero el contexto. Se trata de una organización en la que las tareas de administración de Active Directory están separadas de las tareas de seguridad. En este caso, se trata de dar una visión al departamento de seguridad sobre lo que sucede en Active Directory. La primera palabra clave que salió en la conversación es auditoría, pero en este contecto había que tener en cuenta que además de tener los eventos de auditoría de lo que sucede (un usuario ha iniciado sesión, se ha asignado un nuevo miembro a un grupo, ...) era omteresate saber cómo estaba configurado el entorno (que grupos privilegiados existen, que miembros tienen, ...) y además ser capaz de entender cuando un evento es una posible alerta (detectar comportamientos anómalos, ...).

Auditoría de Active Directory

Las funciones de auditoría en Active Directory son muy conocidas y de forma resumida se trata de counfirar los eventos de auditoría que queremos que registren en los controladores de dominio (Security Event Log). Hay muchas guías de configuración, de forma resumida los pasos son los siguientes:

• Habilitar la auditoría en los controladores de dominio para los objetos de Active Directory (https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations)
• Habilitar la auditoría en los propios objetos a monitorizar (SACL) (En el mismo documento, hay una serie de recomendaciones de objetos a auditar  https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations\#active-directory-objects-and-attributes-to-monitor)

Una vez realizadas las configuraciones lo más habitual es enviar los log de auditoría a un SIEM o a un sistema para su análisis.

Hay varios artículos muy interesantes al respecto de la auditoría en Active Directory:
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/monitoring-active-directory-for-signs-of-compromise
https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx

Revisión de configuración de Active Directory

El problema de quedarse sólo con la auditoría, es que las mejoras de configuración sólo se realizarán cuando se detecte un comportamiento no deseado, pero existen una serie de recomendaciones que podemos aplicar de manera proactiva. Mis compañeros de soporte tienen un servicio que se llama Active Directory Security Assessment que recopila la información de seguridad de un entorno de Active Directory y presentan un informe con los principales riesgos de seguridad y como resolverlos.

Una opción DIY de realizar una revisión de Active Directory (menos completa que la anterior) es usar OMS (Operations Management Suite) para ello existe un módulo "AD Assessment" que es un buen punto de partida. https://blogs.technet.microsoft.com/msoms/2016/01/12/use-operations-management-suite-for-active-directory-assessment/

Análisis de comportamiento de Active Directory

En la parte de comportamiento ya estamos hablando de otro tipo de recopilación de información. Aquí es donde encaja ATA (Advanced Threat Analytics) que permite analizar el comportamiento de usuarios y entidades (equipos) y levanta alertas ante comportamientos anómalos. Es un producto que entra dentro de la categoría UEBA (User and Entity Behavior Analytics).

El despliegue es muy sencillo y en muchos casos sin impacto en Active Directory, ya que no hace falta ningún tipo de permisos en Active Directory. Lo que se hace es “duplicar” el puerto de recibe y envía tráfico de los controladores de dominio, mediante port mirroring y todo el tráfico que entra y sale de los DC se envía también a un ATA Gateway que se encarga de analizarlo. También se puede recolectar este tráfico con un agente ATA Lightweight Gateway.

De esta manera, ATA detecta diferentes comportamientos anómalos:

• Basados en patrones. Estos comportamientos anómalos se detectan sin necesidad de un aprendizaje y se basan en comportamientos que por la secuencia de actividades entran claramente en un patrón de ataque, como son:
  • Actividades de reconocimiento (enumeraciones DNS, enumeraciones de cuentas, …)
  • Actividades sospechosas de fuerza bruta (NTLM, Kerberos, LDAP,…)
  • Implementaciones maliciosas de protocolos (DPAPI)
  • Cuentas “honey pot” con actividad
  • Pass-the-Hash, Pass-the-Ticket, Silver Ticket, Golden ticket, …
  • Y seguro que me dejo alguna
• Basados en comportamiento. Aquí se detectan comportamientos anómalos basados en el modelo de comportamiento que ha creado ATA.
  • Acceso a recursos anómalos
  • Horas de actividad anómalas
  • Ejecuciones remotas

Hay mucha más información sobre ATA en https://www.microsoft.com/en-us/cloud-platform/advanced-threat-analytics

Mis recomendaciones

Si es posible, usar los tres métodos:

• Auditar los eventos de seguridad de Active Directory que se recomiendan.
• Realizar un assessment de seguridad continuo (si puede ser con los servicios de soporte Premier, mejor).
• Utilizar una herramienta de detección de comportamientos anómalos.