Conheça o Microsoft Advanced Threat Analytics

por

O Microsoft ATA analisa o comportamento do AD para detectar ameaças que dificilmente seriam descobertas por outros métodos. E é possível que você já tenha direito de uso da ferramenta no seu contrato de licenciamento.

Da detecção de ataques maliciosos conhecidos até a descoberta de atividades anormais via Machine Learning e Behavioral Analytitcs, o Microsoft ATA ajuda a identificar ameaças e rapidamente atuar sobre elas. É o que uma organização recentemente descobriu a partir da implementação do Microsoft ATA feita pela Leverage.

O Microsoft ATA atua monitorando o tráfego de rede dos controladores de domínio do Active Directory, identificando comporamentos atípicos. No caso em questão, pouco tempo após a ativação, ele detectou comportamento suspeito de um servidor, o qual tentava se autenticar no AD usando diversas credenciais inválidas, similar a tentativas de brute force.

“…pouco tempo após a ativação, ele detectou comportamento suspeito de um servidor…”

A análise do incidente mostrou que o servidor em questão havia “herdado” um endereço IP pertencente a um equipamento anterior que fora desativado. Regras no firewall criadas para a publicação de serviços do servidor antigo ainda estavam presentes, expondo serviços da nova máquina que por sua vez estavam sendo explorados visando obter acesso ao AD.

 

Embora este caso também pudesse eventualmente ser detectado via outros métodos, a prática mostra que sem uma ferramenta capaz de analisar os milhares de eventos diários produzidos pelo AD e gerar alertas para aquilo que é realmente importante, reduzindo o número de falsos positivos, dificilmente você chegará a detectar isto por conta própria.

Com a capacidade de aprender automaticamente sobre a rede e identificar o que é comportamento normal e anormal, o Microsoft ATA também atua na detecção de situações que são indicadores de intrusões persistentes, tais como ataques do tipo Pass-the-Hash, usado por atacantes para obter acesso privilegiado na rede.

 

Adquirindo o Microsoft ATA

O Microsoft ATA está disponível no formato standalone via Open, mas também é parte de alguns modelos de licenciamento de volume, fazendo parte da Enterprise CAL, Enterprise Mobility e Enterprise Cloud Suite, o que significa que muitas organizações podem já possuir o direito de uso do Microsoft ATA e nem se darem conta.

 

Implementação

A ferramenta roda sobre o Windows Server e é composta por um servidor com a console de gerenciamento e um ou mais gateways de monitoramento, os quais monitoram o tráfego dos domain controllers. Consulte a Leverage sobre como podemos ajudá-lo na implementação do Microsoft ATA.

 

Recursos adicionais:

Microsoft Advanced Threat Analytics

Introdução ao Microsoft ATA (em inglês):

 

Categoria : Microsoft
Tags : , , , ,