Microsoft Advanced Threat Analytics

Microsoft Advanced
Threat Analytics
Proste i szybkie rozwiązanie, które
pozwoli Ci skupić się na tym co ważne.
Zmieniający się charakter cyberataków
Dziś temat bezpieczeństwa cybernetycznego jest poruszany nie tylko w środowiskach IT i centrach danych,
ale także na spotkaniach wysokiego szczebla. Rośnie częstotliwość i siła oddziaływania ataków oraz zagrożeń.
Średnio intruz przebywa w sieci osiem miesięcy zanim zostanie wykryty. W przypadku zdecydowanej większości
włamań intruzi naruszają bezpieczeństwo danych logowania użytkowników, używając do tego celu standardowych
narzędzi informatycznych, a nie złośliwego oprogramowania.
Atak może zdarzyć się zawsze i wszędzie. Jak wykryć intruza, zanim narobi problemów?
Niepokojące statystyki: zagrożenie dla firmy
Microsoft Advanced Threat Analytics
Tradycyjne zabezpieczenia informatyczne zapewniają
ograniczoną ochronę przed wysublimowanymi cyberatakami
z wykorzystaniem ukradzionych danych logowania. Wstępna
konfiguracja, tworzenie reguł i dopracowywanie systemu są
uciążliwe i mogą trwać latami. Każdego dnia otrzymujesz
liczne raporty pełne wyników fałszywie pozytywnych. Z reguły
firmy nie dysponują zasobami koniecznymi do weryfikacji tych
danych, a nawet gdyby miały takie możliwości i czas, to nie
rozwiązuje problemu, bo te narzędzia służą do ochrony sieci
obwodowej i blokowania intruzom dostępu do głębszych
warstw infrastruktury. W dzisiejszym świecie skomplikowane
cyberataki wymagają innego podejścia.
Rozwiązanie Microsoft Advanced Threat Analytics (ATA)
oferuje prostą i szybką metodę ułatwiającą zrozumienie, co
się dzieje w sieci użytkownika, dzięki identyfikacji podejrzanej
aktywności użytkowników i urządzeń za pomocą wbudowanych
narzędzi analitycznych oraz udostępniania jasnych i konkretnych
informacji o zagrożeniach na prostej osi czasu ataków.
Rozwiązanie Microsoft Advanced Threat Analytics
wykorzystuje technologię dokładnej kontroli pakietów oraz
informacje z dodatkowych źródeł danych (zarządzanie
informacjami o zabezpieczeniach i zdarzeniami oraz usługa
Active Directory) w celu utworzenia wykresu bezpieczeństwa
organizacji i wykrywania zaawansowanych ataków niemal w
czasie rzeczywistym.
Co to jest Microsoft Advanced Threat Analytics?
ATA to lokalna platforma ułatwiająca ochronę Twojej firmy przed zaawansowanymi celowanymi atakami dzięki funkcjom
analizowania, uczenia się i odróżniania typowych od nietypowych zachowań (użytkowników, urządzeń i zasobów).
Złośliwe ataki
ATA niemal w czasie
rzeczywistym wykrywa
znane złośliwe ataki.

















Pass-the-Ticket (PtT)
Pass-the-Hash (PtH)
Overpass-the-Hash
Forged PAC (MS14-068)
Golden Ticket
Skeleton key malware
Reconnaissance
BruteForce
Zdalne wykonanie
Nietypowe zachowanie
Analityka behawioralna
stawia na rozwój uczenia
maszynowego w celu
wykrywania podejrzanych
aktywności i nietypowych
zachowań.







Nietypowe logowania
Nieznane zagrożenia
Udostępnianie haseł
Rozprzestrzenianie infekcji
Problemy i zagrożenia
związane z bezpieczeństwem
ATA identyfikuje znane
zagrożenia bezpieczeństwa,
opierając się na najbardziej
zaawansowanych badaniach
systemów zabezpieczeń.




Utrata zaufania
Nieszczelne protokoły

Znane słabe punkty
protokołów
Korzyści
Wykrywanie podejrzanych aktywności i złośliwych ataków za pomocą narzędzi do analizy zachowań
Używając autorskiego algorytmu, Microsoft Advanced Threat Analytics działa całą dobę i wskazuje podejrzane zachowania
w systemach poprzez identyfikowanie tego, czego należy szukać. Nie trzeba tworzyć reguł, dostosowywać narzędzia ani
monitorować mnóstwa raportów dot. bezpieczeństwa, ponieważ to rozwiązanie ma wbudowane wszystkie te funkcje. ATA
identyfikuje także znane zaawansowane ataki i zagrożenia dla bezpieczeństwa.
Przystosuj swoją firmę do zmieniających się technologii cyberataków
ATA stale uczy się zachowań podmiotów wewnątrz organizacji (użytkowników, urządzeń i zasobów) i na bieżąco dostosowuje
się do potrzeb przedsiębiorstwa. Ze względu na to, że intruzi używają coraz bardziej wysublimowanych metod, ATA uczy się
na podstawie analiz behawioralnych i pomaga dostosować strukturę organizacji do zmieniających się zagrożeń.
Błyskawiczna koncentracja na tym, co ważne, przy użyciu prostej osi czasu ataków
Nieustanne śledzenie raportów z tradycyjnych narzędzi zabezpieczających i wyszukiwanie naprawdę ważnych alertów
może przekraczać możliwości organizacji. Oś czasu ataku jest przejrzystym, wydajnym i wygodnym kanałem, który pokazuje
szczegółowe informacje na przestrzeni czasu. Ponadto ATA przedstawia sugerowane działania dochodzeniowe i naprawcze
dla każdej podejrzanej aktywności.
Ograniczenie liczby fałszywych alarmów i związanych z nimi wysiłków
Tradycyjne narzędzia do zabezpieczeń infrastruktury IT często nie są w stanie obsługiwać coraz większych ilości danych, co
prowadzi do niepotrzebnego alarmowania czerwonymi flagami i odciągania uwagi od rzeczywistych zagrożeń. Dzięki ATA te
alerty pojawiają się wtedy, gdy podejrzane działania są kontekstowo dodawane do własnego zachowania, a także do innych
elementów na ścieżce interakcji. Mechanizm wykrywania automatycznie kieruje użytkownika przez procedurę, zadając proste
pytania w celu dostosowania procedury wykrywania do wprowadzonych informacji.
Najważniejsze funkcje
Analiza zachowania
Integracja SIEM
ATA uczy się wzorców zachowań podmiotów i automatycznie
dostosowuje się do znanych i zatwierdzonych zmian
w przedsiębiorstwie. Na przykład, niektórzy użytkownicy
mają dostęp do określonych serwerów, folderów i katalogów.
System uczy się ich aktywności na podstawie danych
z narzędzi i zasobów używanych przez te osoby.
ATA płynnie współpracuje z SIEM po kontekstowym
zagregowaniu danych na oś czasu ataków. Może
gromadzić dane o konkretnych zdarzeniach, które
są przekazywane wraz z SIEM. Ponadto można
skonfigurować ATA pod kątem wysyłania każdego
podejrzanego działania do SIEM razem z łączem do
tego zdarzenia na osi czasu ataku.
Prosta interaktywna oś czasu ataku
Oś czasu ataku ATA usprawnia pracę i poprawia jakość
zabezpieczeń, wyszczególniając podejrzane działania w
czasie rzeczywistym wraz z rekomendowanymi środkami
naprawczymi zależnymi od konkretnego alertu.
Obsługa rozwiązań mobilnych
Bez względu na to, gdzie są przechowywane zasoby firmy —
w sieci obwodowej, na urządzeniach przenośnych czy w
dowolnym innym miejscu — uwierzytelnianie i autoryzacja
są wykonywane wewnątrz ATA. Oznacza to, że zasoby
zewnętrzne, takie jak urządzenia i dostawcy, są poddawane
dokładnemu monitorowaniu, tak jak zasoby wewnętrzne.
Schemat zabezpieczeń organizacji
ATA tworzy schemat zabezpieczeń organizacji będący
mapą interakcji podmiotów przedstawiającą działania
użytkowników, urządzeń i zasobów wraz z ich kontekstem.
Alerty w wiadomości e-mail
W przypadku wykrycia podejrzanej aktywności ATA
może wysyłać wiadomości e-mail do określonych
użytkowników lub grup w organizacji. Każdy z tych
alertów będzie zawierał łącze do konkretnego ataku
na osi czasu ATA, informując odpowiednie osoby o
problemach z bezpieczeństwem, nawet jeżeli odbiorca
nie monitoruje osi czasu ataku.
Łatwe wdrożenie
ATA działa jak urządzenie fizyczne lub wirtualne.
Korzysta z dublowania portów, umożliwiając
bezproblemowe wdrożenie w Active Directory bez
wpływu na topologię istniejącej sieci. Po wdrożeniu
natychmiast automatycznie rozpoczyna analizy.
Nie trzeba instalować dodatkowych rozwiązań w
kontrolerach domeny, na serwerach ani na komputerach.
Więcej informacji można uzyskać na stronie www.microsoft.com/ata
Aby wypróbować i ocenić Microsoft Advanced Threat Analytics, odwiedź stronę
www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics
© 2016 Microsoft Corporation. Wszelkie prawa zastrzeżone. Ten dokument jest dostarczany w stanie „takim, w jakim jest”. Informacje i opinie przedstawione w tym
dokumencie, w tym adresy URL i inne odwołania do witryn internetowych, mogą zostać zmienione bez powiadomienia. Użytkownik korzysta z tego dokumentu na
własne ryzyko. Niniejszy dokument nie zapewnia żadnych praw do żadnej intelektualnej własności jakiegokolwiek produktu firmy Microsoft. Dokument ten można
kopiować i korzystać z niego do wewnętrznych celów referencyjnych. Możliwe jest również jego modyfikowanie na wewnętrzny użytek pomocniczy.