[:pb]A Microsoft anunciou hoje a disponibilidade do Microsoft Advanced Threat Analytics v1.9. Esta versão traz melhorias na performance e diversos novos recursos.
O que é o Microsoft Advanced Threat Analytics?
O Advanced Threat Analytics (ATA) é uma plataforma local que ajuda a proteger empresas contra vários tipos de ataques cibernéticos avançados e ameaças internas.
O ATA aproveita um mecanismo de análise de rede proprietário para capturar e analisar o tráfego de rede de vários protocolos (como Kerberos, DNS, RPC, NTLM entre outros) para autenticação, autorização e coleta de informações. Essas informações são coletadas pelo ATA por meio de:
– Espelhamento de porta de seus controladores de domínio e servidores DNS para o Gateway do ATA e/ou
– Implantação de um LGW (Gateway Lightweight do ATA) diretamente nos Controladores de domínio.
O ATA obtém informações de várias fontes de dados, como eventos e logs em sua rede, a fim de aprender o comportamento dos usuários e de outras entidades na organização e criar um perfil comportamental sobre eles.
O ATA pode receber eventos e logs de:
– Integração do SIEM
– WEF (Encaminhamento de Eventos do Windows)
– Diretamente do Coletor de Eventos do Windows (para o Gateway Lightweight)
A tecnologia do ATA detecta várias atividades suspeitas, concentrando-se em várias fases da cadeia do ataque cibernético, incluindo:
– Reconhecimento, durante o qual os invasores coletam informações sobre como o ambiente foi compilado criado, o que são os ativos diferentes e quais entidades existem. Geralmente, eles criam o plano para as próximas fases do ataque.
– Ciclo de movimentação lateral, durante o qual um invasor investe tempo e esforço na propagação da superfície de seu ataque dentro de sua rede.
– Controle do domínio (persistência), durante o qual um invasor captura as informações permitindo que retome sua campanha usando vários conjuntos de pontos de entrada, credenciais e técnicas.
Essas fases de um ataque cibernético são semelhantes e previsíveis, independentemente do tipo de empresa que está sob ataque ou do tipo de informação visado. O ATA procura três tipos de ataques principais: ataques mal-intencionados, comportamento anormal e riscos e problemas de segurança.
Os ataques mal-intencionados são detectados de forma determinista, olhando a lista completa de tipos de ataques conhecidos, incluindo:
- Pass-the-Ticket (PtT)
- Pass-the-Hash (PtH)
- Overpass-the-Hash
- PAC Forjado (MS14-068)
- Golden Ticket
- Replicações mal-intencionadas
- Reconhecimento
- Força Bruta
- Execução remota
Saiba mais sobre o Microsoft Advanced Threat Analytics aqui.
Novidades no Microsoft Advanced Threat Analytics v1.9
De acordo com o changelog, a versão 1.9 traz melhorias no mecanismo de detecção e agora o ATA emite um alerta quando identifica que alguém executa um novo serviço, que parece suspeito, em um controlador de domínio. Essa detecção é baseada em eventos e não em tráfego de rede. Para obter mais informações, veja o Guia de atividades suspeitas.
O recurso Senhas expostas em texto não criptografado habilita a detecção de quando as contas confidenciais e não confidenciais enviam as credenciais de conta em texto sem formatação. Isso permite a investigação e a mitigação do uso da associação simples ao LDAP no seu ambiente, o que melhora o nível de segurança da rede. Esse relatório substitui os alertas de atividades suspeitas em texto não criptografado de contas confidenciais e de serviços.
A opção Caminhos de movimento lateral para contas confidenciais lista as contas confidenciais expostas por meio de caminhos de movimento lateral. Dessa forma, é possível reduzir esses caminhos e fortalecer sua rede a fim de minimizar o risco de superfície de ataque. Assim, você pode impedir a movimentação lateral, para que os invasores não se movimentem entre usuários e computadores ao longo da rede até encontrarem o prêmio máximo da segurança virtual: suas credenciais de conta do administrador.
A versão 1.9 também inclui um novo e aprimorado perfil de entidade. O perfil de entidade fornece um painel projetado para fazer investigações completas e aprofundadas de usuários, dos recursos que eles acessaram e do histórico deles. O perfil de entidade também permite identificar usuários confidenciais que podem ser acessados por meio de caminhos de movimento lateral.
Esta versão também permite marcar manualmente grupos ou contas como confidenciais para aprimorar as detecções. Essa marcação afeta muitas detecções do ATA, como a detecção de modificação de grupos confidenciais e o caminho de movimento lateral, dependendo de quais grupos e contas são considerados confidenciais:
Confira o changelog completo da versão 1.9 clicando aqui.
A versão de atualização do Microsoft Advanced Threat Analytics v1.9 está disponível para download aqui (para empresas que já utilizam o ATA). A versão de avaliação pode ser utilizada gratuitamente por tempo limitado e pode ser encontrada no Centro de Avaliação TechNet.
Empresas interessadas nesta solução podem conferir mais informações e preços aqui.
via Baboo[:]