Microsoft Advanced Threat Analytics
Transkrypt
Microsoft Advanced Threat Analytics
Microsoft Advanced Threat Analytics Proste i szybkie rozwiązanie, które pozwoli Ci skupić się na tym co ważne. Zmieniający się charakter cyberataków Dziś temat bezpieczeństwa cybernetycznego jest poruszany nie tylko w środowiskach IT i centrach danych, ale także na spotkaniach wysokiego szczebla. Rośnie częstotliwość i siła oddziaływania ataków oraz zagrożeń. Średnio intruz przebywa w sieci osiem miesięcy zanim zostanie wykryty. W przypadku zdecydowanej większości włamań intruzi naruszają bezpieczeństwo danych logowania użytkowników, używając do tego celu standardowych narzędzi informatycznych, a nie złośliwego oprogramowania. Atak może zdarzyć się zawsze i wszędzie. Jak wykryć intruza, zanim narobi problemów? Niepokojące statystyki: zagrożenie dla firmy Microsoft Advanced Threat Analytics Tradycyjne zabezpieczenia informatyczne zapewniają ograniczoną ochronę przed wysublimowanymi cyberatakami z wykorzystaniem ukradzionych danych logowania. Wstępna konfiguracja, tworzenie reguł i dopracowywanie systemu są uciążliwe i mogą trwać latami. Każdego dnia otrzymujesz liczne raporty pełne wyników fałszywie pozytywnych. Z reguły firmy nie dysponują zasobami koniecznymi do weryfikacji tych danych, a nawet gdyby miały takie możliwości i czas, to nie rozwiązuje problemu, bo te narzędzia służą do ochrony sieci obwodowej i blokowania intruzom dostępu do głębszych warstw infrastruktury. W dzisiejszym świecie skomplikowane cyberataki wymagają innego podejścia. Rozwiązanie Microsoft Advanced Threat Analytics (ATA) oferuje prostą i szybką metodę ułatwiającą zrozumienie, co się dzieje w sieci użytkownika, dzięki identyfikacji podejrzanej aktywności użytkowników i urządzeń za pomocą wbudowanych narzędzi analitycznych oraz udostępniania jasnych i konkretnych informacji o zagrożeniach na prostej osi czasu ataków. Rozwiązanie Microsoft Advanced Threat Analytics wykorzystuje technologię dokładnej kontroli pakietów oraz informacje z dodatkowych źródeł danych (zarządzanie informacjami o zabezpieczeniach i zdarzeniami oraz usługa Active Directory) w celu utworzenia wykresu bezpieczeństwa organizacji i wykrywania zaawansowanych ataków niemal w czasie rzeczywistym. Co to jest Microsoft Advanced Threat Analytics? ATA to lokalna platforma ułatwiająca ochronę Twojej firmy przed zaawansowanymi celowanymi atakami dzięki funkcjom analizowania, uczenia się i odróżniania typowych od nietypowych zachowań (użytkowników, urządzeń i zasobów). Złośliwe ataki ATA niemal w czasie rzeczywistym wykrywa znane złośliwe ataki. Pass-the-Ticket (PtT) Pass-the-Hash (PtH) Overpass-the-Hash Forged PAC (MS14-068) Golden Ticket Skeleton key malware Reconnaissance BruteForce Zdalne wykonanie Nietypowe zachowanie Analityka behawioralna stawia na rozwój uczenia maszynowego w celu wykrywania podejrzanych aktywności i nietypowych zachowań. Nietypowe logowania Nieznane zagrożenia Udostępnianie haseł Rozprzestrzenianie infekcji Problemy i zagrożenia związane z bezpieczeństwem ATA identyfikuje znane zagrożenia bezpieczeństwa, opierając się na najbardziej zaawansowanych badaniach systemów zabezpieczeń. Utrata zaufania Nieszczelne protokoły Znane słabe punkty protokołów Korzyści Wykrywanie podejrzanych aktywności i złośliwych ataków za pomocą narzędzi do analizy zachowań Używając autorskiego algorytmu, Microsoft Advanced Threat Analytics działa całą dobę i wskazuje podejrzane zachowania w systemach poprzez identyfikowanie tego, czego należy szukać. Nie trzeba tworzyć reguł, dostosowywać narzędzia ani monitorować mnóstwa raportów dot. bezpieczeństwa, ponieważ to rozwiązanie ma wbudowane wszystkie te funkcje. ATA identyfikuje także znane zaawansowane ataki i zagrożenia dla bezpieczeństwa. Przystosuj swoją firmę do zmieniających się technologii cyberataków ATA stale uczy się zachowań podmiotów wewnątrz organizacji (użytkowników, urządzeń i zasobów) i na bieżąco dostosowuje się do potrzeb przedsiębiorstwa. Ze względu na to, że intruzi używają coraz bardziej wysublimowanych metod, ATA uczy się na podstawie analiz behawioralnych i pomaga dostosować strukturę organizacji do zmieniających się zagrożeń. Błyskawiczna koncentracja na tym, co ważne, przy użyciu prostej osi czasu ataków Nieustanne śledzenie raportów z tradycyjnych narzędzi zabezpieczających i wyszukiwanie naprawdę ważnych alertów może przekraczać możliwości organizacji. Oś czasu ataku jest przejrzystym, wydajnym i wygodnym kanałem, który pokazuje szczegółowe informacje na przestrzeni czasu. Ponadto ATA przedstawia sugerowane działania dochodzeniowe i naprawcze dla każdej podejrzanej aktywności. Ograniczenie liczby fałszywych alarmów i związanych z nimi wysiłków Tradycyjne narzędzia do zabezpieczeń infrastruktury IT często nie są w stanie obsługiwać coraz większych ilości danych, co prowadzi do niepotrzebnego alarmowania czerwonymi flagami i odciągania uwagi od rzeczywistych zagrożeń. Dzięki ATA te alerty pojawiają się wtedy, gdy podejrzane działania są kontekstowo dodawane do własnego zachowania, a także do innych elementów na ścieżce interakcji. Mechanizm wykrywania automatycznie kieruje użytkownika przez procedurę, zadając proste pytania w celu dostosowania procedury wykrywania do wprowadzonych informacji. Najważniejsze funkcje Analiza zachowania Integracja SIEM ATA uczy się wzorców zachowań podmiotów i automatycznie dostosowuje się do znanych i zatwierdzonych zmian w przedsiębiorstwie. Na przykład, niektórzy użytkownicy mają dostęp do określonych serwerów, folderów i katalogów. System uczy się ich aktywności na podstawie danych z narzędzi i zasobów używanych przez te osoby. ATA płynnie współpracuje z SIEM po kontekstowym zagregowaniu danych na oś czasu ataków. Może gromadzić dane o konkretnych zdarzeniach, które są przekazywane wraz z SIEM. Ponadto można skonfigurować ATA pod kątem wysyłania każdego podejrzanego działania do SIEM razem z łączem do tego zdarzenia na osi czasu ataku. Prosta interaktywna oś czasu ataku Oś czasu ataku ATA usprawnia pracę i poprawia jakość zabezpieczeń, wyszczególniając podejrzane działania w czasie rzeczywistym wraz z rekomendowanymi środkami naprawczymi zależnymi od konkretnego alertu. Obsługa rozwiązań mobilnych Bez względu na to, gdzie są przechowywane zasoby firmy — w sieci obwodowej, na urządzeniach przenośnych czy w dowolnym innym miejscu — uwierzytelnianie i autoryzacja są wykonywane wewnątrz ATA. Oznacza to, że zasoby zewnętrzne, takie jak urządzenia i dostawcy, są poddawane dokładnemu monitorowaniu, tak jak zasoby wewnętrzne. Schemat zabezpieczeń organizacji ATA tworzy schemat zabezpieczeń organizacji będący mapą interakcji podmiotów przedstawiającą działania użytkowników, urządzeń i zasobów wraz z ich kontekstem. Alerty w wiadomości e-mail W przypadku wykrycia podejrzanej aktywności ATA może wysyłać wiadomości e-mail do określonych użytkowników lub grup w organizacji. Każdy z tych alertów będzie zawierał łącze do konkretnego ataku na osi czasu ATA, informując odpowiednie osoby o problemach z bezpieczeństwem, nawet jeżeli odbiorca nie monitoruje osi czasu ataku. Łatwe wdrożenie ATA działa jak urządzenie fizyczne lub wirtualne. Korzysta z dublowania portów, umożliwiając bezproblemowe wdrożenie w Active Directory bez wpływu na topologię istniejącej sieci. Po wdrożeniu natychmiast automatycznie rozpoczyna analizy. Nie trzeba instalować dodatkowych rozwiązań w kontrolerach domeny, na serwerach ani na komputerach. Więcej informacji można uzyskać na stronie www.microsoft.com/ata Aby wypróbować i ocenić Microsoft Advanced Threat Analytics, odwiedź stronę www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics © 2016 Microsoft Corporation. Wszelkie prawa zastrzeżone. Ten dokument jest dostarczany w stanie „takim, w jakim jest”. Informacje i opinie przedstawione w tym dokumencie, w tym adresy URL i inne odwołania do witryn internetowych, mogą zostać zmienione bez powiadomienia. Użytkownik korzysta z tego dokumentu na własne ryzyko. Niniejszy dokument nie zapewnia żadnych praw do żadnej intelektualnej własności jakiegokolwiek produktu firmy Microsoft. Dokument ten można kopiować i korzystać z niego do wewnętrznych celów referencyjnych. Możliwe jest również jego modyfikowanie na wewnętrzny użytek pomocniczy.