Installation AD Rating Mode opératoire

1. Téléchargement de l'agent depuis la plateforme Board of Cyber

1. Connectez vous à votre espace Board of Cyber 
2. Rendez-vous dans la liste des domaines : 

AD Rating Menu > List of domains 

3. Identifiez l’agent que vous souhaitez utiliser et cliquez sur la roue dentée pour accéder aux paramètres 

4. Téléchargez la dernière version de l’agent en cliquant sur le bouton prévu à cet effet disponible dans l’onglet « Lien de téléchargement » 

 

5. Notez la clé d’API pour synchroniser la plateforme avec l’agent distant dans l’onglet « Modification ». 

2. Installation de l'agent 

2.1 Configuration requise de la machine où l'agent sera installé 

 

  • La machine doit être dans le domaine que l'on souhaite évaluer et avoir accès à internet. Elle n’a pas besoin de droit administrateur particulier sur le réseau. 
  • Pour installer le programme, les droits d'administrateur local sur la machine sont requis. 
  • La machine ne doit pas être un contrôleur de domaine. 
  • La machine doit être sous les versions minimales de Windows 10 Anniversary Update / Windows Server 2016. 
  • La machine doit être allumée 24/7. 
  • Le programme s'installe en suivant les conventions Windows pour les services systèmes. 
  • La machine doit avoir accès à internet : 
  • Si un pare-feu est mis en place, celui-ci doit autoriser : 
  • La communication entre le serveur hébergeant l’agent SRAgent et le serveur proxy web, si un serveur proxy web est mis en place. (Le serveur proxy doit autoriser la communication avec l'API SR : https://api-rating.boardofcyber.io
  • En absence d’un serveur proxy, le pare-feu doit autoriser la communication entre le serveur hébergeant l’agent SRAgent et internet. 

Note : L’adresse IP de l’API SRAD est dynamique et change selon la localisation géographique de l’appelant et peut varier dans le temps, ceci rend le filtrage par adresse IP de destination fastidieux. En effet, une maintenance régulière doit être mise en place pour assurer le fonctionnement dans la durée de l’agent SRAD. 

2.2 Installation de l'agent 

1. Lancez le programme d’installation sur la machine 
2. Déclarez la clé d’API (La clé d’API est unique à chaque agent !) 

Une image contenant texte, capture d’écran, affichage, logiciel

Description générée automatiquement

Note : Une clé d’API ne contient que des chiffres et des lettres en minuscules. Elle se trouve ici sur la plateforme :  

3. Terminer l'installation

 

2.3 Valider la configuration de l'agent dans la plateforme Bard of Cyber 

1. Rendez-vous dans la liste des domaines depuis la plateforme : 

AD Rating Menu > List of domains 

2.Identifiez l’agent que vous souhaitez configurer et cliquez sur la roue dentée pour accéder aux paramètres 

3. Rendez-vous dans l’onglet « Statut ».  

4. Confirmez la configuration de l’agent en cliquant sur « Valider » 

5. La liaison entre la plateforme et l’agent est configuré, le statut passe de « Configuré » à « Validé ». 

6. Une fois les premières mesures remontée dans la plateforme, l’agent sera déclaré comme « Fonctionnel » 

L'agent est configuré

3. Questions fréquentes 

 

1. J’ai installé la sonde sur une machine de mon Active Directory mais les données ne remonte pas dans la plateforme : 
  • Vérifiez que vous avez bien validé la configuration de l’agent (partie 2.3) 
  • Tentez de réinstaller l’agent sur la machine, saisissez la clé d’API (elle ne contient que des chiffres et des lettres en minuscules), tenter de valider la configuration sur la plateforme 
  • Si vous ne pouvez pas valider la configuration : 
  • Merci de joindre à votre message le fichier de logs de l’agent (C:/ProgramData/sragent/logs). Attention : ce sont des fichiers cachés... 

 

2. Sur quelle technologie repose l’agent AD rating ? 

L’agent effectue les mesures à partir du logiciel Pingcastle. 

Board of Cyber vous propose l’automatisation des mesures ainsi qu’une algorithmie de notation complétement revu, orientée risque. 

La solution dispose d’observables inédits, de recommandations détaillées pour corriger la configuration de votre Active Directory ainsi qu’une bibliographie pour vous accompagner dans l’action de correction. 

 

3. Comment l’agent récupère les informations avec un droit d’accès potentiellement faible sur la machine ?  

L’agent n’a pas besoin de compte de service. En effet, n'importe quel compte machine sur le domaine peut effectuer une connexion LDAP vers les contrôleurs du domaine et récupérer les informations nécessaires à nos analyses. Ceci est le fonctionnement normal sur l’Active Directory. 

 

4. Quelle est la différence entre un domaine bureautique et un domaine technique ?  

Dans le cas où vous avez plusieurs Active Directoy à évaluer, vous pouvez sélectionner si c’est un domaine bureautique ou technique lors du paramétrage. Un domaine bureautique représente un domaine Active Directory gérant les comptes utilisateurs et les postes des collaborateurs, par opposition à un domaine ne gérant que des ressources techniques (ex : imprimantes, serveurs, etc.). Un domaine bureautique sera perçu comme plus à risque qu’un domaine technique.  

 

5. Combien de temps est nécessaire à l’agent pour envoyer la totalité des observables ?  

Entre le moment où l'installation de l'agent est validée dans la plateforme et les premières mesures, la réception des observables est rapide, généralement dans l’heure suivante, l’organisation a accès à son tableau de bord avec tous les observables remontés. 

 

6. Comment mettre à jour l’agent ?  

La plateforme vous notifie lorsqu’une nouvelle version de l’agent est disponible. 

La mise à jour est manuelle pour l’instant, nous vous invitons à retélécharger l’agent depuis la plateforme, puis désinstaller l’agent sur la machine sur laquelle la précédente version était installée. Enfin, installez la nouvelle version en ressaisissant la clé d’API donnée dans la plateforme. 

7. Le nombre d’ordinateurs dans les informations regroupe quels types de machine ?   

La plateforme AD rating remonte tous types de machines physiques ou VM raccordées au domaine AD. Elles peuvent être des machines Windows, Linux ou Mac OS.   

 

8. Quelle est la charge de l’agent installé ?   

La charge sur la RAM/processeur, ou la charge réseau : 

  • Espace disque requis : environ 200 MO 
  • Charge RAM/Processeur : activité plus importante (mais reste très modeste) lors des mesures. 
  • Charge réseau : uniquement lors des mesures, des appels LDAP et SMB vers un des contrôleurs du domaine. 

 

9. Avez-vous un plan d’assurance sécurité lié au service AD Rating ? 

Oui, il est consultable sur demande, merci de vous adresser à votre référent projet.