Advanced Threat Analytics
Advanced Threat Analytics
Estatísticas sobre segurança
200+ 75%+ $500B $3.5M
Causando um prejuízo financeiro significativo, impacto na reputação da marca, perda de dados confidenciais e cargos executivos
Explorando as credenciais do usuário na grande maioria dos ataques
Mudança na natureza dos ataques de segurança cibernética
Usando ferramentas legítimas de TI ao invés de malware—mais difíceis de detectarFicando na rede em média oito meses antes da detecção
Os invasores cibernéticos atuais estão:
Mudança na natureza dos ataques de segurança cibernética
Custando uma perda financeira significativa, impacto na reputação da marca, perda de dados confidenciais e cargos executivos
Comprometendo as credenciais do usuário na grande maioria dos ataques Usando ferramentas legítimas de TI ao invés de malware - mais difíceis de detectar Ficando na rede em média oito meses antes da detecção
Os invasores cibernéticos atuais estão:
Mudança na natureza dos ataques de segurança cibernética
Causando um prejuízo financeiro significativo, impacto na reputação da marca, perda de dados confidenciais e cargos executivos
Comprometendo as credenciais do usuário na grande maioria dos ataques Usando ferramentas legítimas de TI ao invés de malware—mais difíceis de detectarFicando na rede em média oito meses antes da detecção
Os invasores cibernéticos atuais estão:
Mudança na natureza dos ataques de segurança cibernética
Causando um prejuízo financeiro significativo, impacto na reputação da marca, perda de dados confidenciais e cargos executivos
Comprometendo as credenciais do usuário na grande maioria dos ataques Usando ferramentas legítimas de TI ao invés de malware —maisdifíceis de detectarFicando na rede em média oito meses antes da detecção
Os invasores cibernéticos atuais estão:
As ferramentas tradicionais de segurança de TI geralmente são:
O problema
Complexas
Configuração inicial, ajuste fino, regra de limite e criação de linha de base podem levar um longo tempo.
Propensas a falsos positivos
Você recebe tantos relatórios diários com falsos positivos que exigem um tempo precioso que você não tem.
Projetadas para ajudar a proteger o perímetro
Quando as credenciais do usuário são roubadas e os invasores estão na rede,as suas defesas atuais fornecem proteção limitada.
O que é o Microsoft Advanced Threat Analytics?
Uma plataforma no local para identificar ataques avançados de segurança antes que causem danos
As empresas de cartão de crédito monitoram o comportamento dos titulares dos cartões.
Se houver qualquer atividade anormal, elas notificarão o titular do cartão para verificar a compra.
O Microsoft Advanced Threat Analytics (ATA) traz este conceito para os usuários e a TI de uma organização
Comparação:
Anexo de email
Introdução ao Microsoft Advanced Threat Analytics
Introdução ao Microsoft Advanced Threat Analytics
Análises comportamentai
s
Detecção de ataques e problemas conhecidos
Detecção avançada de
ameaças
Uma plataforma no local para identificar ataques avançados de segurança rapidamente, permitindo que os profissionais de TI reduzam significantemente os danos
Testemunha todas as autenticações e autorizações para os recursos organizacionais no perímetro corporativo ou em dispositivos móveis
Suporte à mobilidade
Integração ao SIEM Fácil implantação Conecta-se com fluidez ao
gerenciador de eventos e informações de segurança (SIEM)
Oferece opções para encaminhar alertas de segurança para o SIEM ou enviar emails a pessoas específicas
Usa espelhamento de porta para facilitar uma implantação sem contratempos e sem agentes junto com os Serviços de Domínio do Active Directory (AD DS)
Não afeta a topologia de rede existente
Principais recursos
Benefícios do Microsoft Advanced Threat Analytics Uma solução no local para identificar ataques avançados de segurança antes que
causem danos
Não é necessário criar regras ou políticas, implantar agentes ou monitorar diversos relatórios de segurança. A inteligência necessária está pronta para analisar e aprender continuamente.
O ATA aprende com o comportamento da entidade organizacional (usuários, dispositivos e recursos) e ajusta-se para refletir as mudanças na evolução da sua empresa.
A linha do tempo de ataque é um feed claro, eficiente e conveniente que apresenta os itens importantes em uma linha do tempo, mostrando-lhe "quem, o quê, quando e como".
Os alertas acontecem somente quando atividades suspeitas são agregadas contextualmente, comparando o comportamento da entidade com o próprio comportamento e com outras entidades no caminho de interação.
Ameaças detectadas
Problemas de segurança: • Conta confidencial exposta na autenticação em
texto sem formatação • Serviço que expõe contas na autenticação em
texto sem formatação • Quebra de confiança• Atividade suspeita em contas honey token
Atividades suspeitas de reconhecimento e força bruta: • Reconhecimento usando DNS • Reconhecimento usando enumeração de
conta • Força bruta (LDAP, Kerberos)
Atividades suspeitas de roubo de identidade: • Pass the ticket • Pass the hash • Over-pass the hash • Skeleton key
• Forged PAC (MS14-068) • Golden ticket • Execução remota
Atividades suspeitas de comportamento anormal: • Comportamento anormal baseado em
autenticação, autorização e horas de trabalho (algoritmo de aprendizagem da máquina)
• Exclusão em massa de objeto
Como o ATA funciona?
Analisar
1
Como o Microsoft Advanced Threat Analytics funciona?
Após a instalação: • Uma configuração simples e não
invasiva de espelhamento de porta cópia todo o tráfego relacionado ao Active Directory
• Permanece invisível para invasores
• Analisa todo o tráfego do Active Directory
• Coleta eventos relevantes do SIEM e de outras fontes
Como o Microsoft Advanced Threat Analytics funciona?
ATA: • Automaticamente começa a
aprender e traçar perfis de comportamento da entidade
• Identifica o comportamento normal das entidades
• Aprende continuamente a atualizar as atividades de usuários, dispositivos e recursos
Aprender
2
O que é uma entidade? Uma entidade representa usuários, dispositivos ou recursos
Detectar
3 Microsoft Advanced Threat Analytics: • Busca comportamento anormal e identifica
atividades suspeitas • Só emite alertas se as atividades anormais
estiverem agregadas ao contexto • Usa pesquisa de segurança de alta
qualidade para detectar ataques conhecidos e problemas de segurança (regionais ou globais) O ATA não só compara o
comportamento da entidade com o seu próprio padrão, mas também com o comportamento de outras entidades do ambiente.
Como o Microsoft Advanced Threat Analytics funciona?
Alertar 4
Como o Microsoft Advanced Threat Analytics funciona?
O ATA relata todas as atividades suspeitas em uma linha do tempo de ataque simples, funcional e útil.
O ATA identifica Quem? O quê? Quando? Como?
Para cada atividade suspeita, o ATA fornece recomendações de investigação e correção.
Gerencia as definições de configuração do ATA Gateway Recebe dados do ATA Gateways e armazena no banco de dados Detecta atividades suspeitas e comportamentos anormais (aprendizado automático) Fornece interface de gerenciamento da web
Suporta múltiplos gateways
Topologia — Center
Captura e analisa o tráfego da rede do controlador de domínio através do espelhamento de porta Ouve múltiplos controladores de domínio de múltiplos domínios em um único gateway Recebe eventos do SIEM
Recupera dados sobre as entidades do domínio Realiza a resolução de entidades de rede Transfere dados relevantes para o ATA Center
Topologia — Gateway
© 2015 Microsoft Corporation. Todos os direitos reservados. Microsoft, serviço de diretório Active Directory, Windows e outros nomes de produtos são ou podem ser marcas registradas e/ou marcas comerciais nos EUA e/ou em outros países. Os nomes de empresas e produtos reais mencionados neste documento podem ser as marcas comerciais de seus respectivos proprietários. As informações no presente documento têm apenas caráter informativo e representam a visão atual da Microsoft Corporation na data desta apresentação. Como a Microsoft precisa responder a mudanças das condições de mercado, as informações não devem ser interpretadas como compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão de nenhuma informação fornecida depois da data desta apresentação. A MICROSOFT NÃO OFERECE NENHUMA GARANTIA, EXPRESSA, IMPLÍCITA OU PREVISTA EM LEI, QUANTO ÀS INFORMAÇÕES CONTIDAS NESTA APRESENTAÇÃO.