[:pb]A Microsoft anunciou hoje a disponibilidade do Microsoft Advanced Threat Analytics v1.9 Update 1. A versão 1.9 original foi lançada em abril deste ano.
O que é o Microsoft Advanced Threat Analytics?
O Advanced Threat Analytics (ATA) é uma plataforma local que ajuda a proteger empresas contra vários tipos de ataques cibernéticos avançados e ameaças internas.
O ATA aproveita um mecanismo de análise de rede proprietário para capturar e analisar o tráfego de rede de vários protocolos (como Kerberos, DNS, RPC, NTLM entre outros) para autenticação, autorização e coleta de informações. Essas informações são coletadas pelo ATA por meio de:
– Espelhamento de porta de seus controladores de domínio e servidores DNS para o Gateway do ATA e/ou
– Implantação de um LGW (Gateway Lightweight do ATA) diretamente nos Controladores de domínio.
O ATA obtém informações de várias fontes de dados, como eventos e logs em sua rede, a fim de aprender o comportamento dos usuários e de outras entidades na organização e criar um perfil comportamental sobre eles.
O ATA pode receber eventos e logs de:
– Integração do SIEM
– WEF (Encaminhamento de Eventos do Windows)
– Diretamente do Coletor de Eventos do Windows (para o Gateway Lightweight)
A tecnologia do ATA detecta várias atividades suspeitas, concentrando-se em várias fases da cadeia do ataque cibernético, incluindo:
– Reconhecimento, durante o qual os invasores coletam informações sobre como o ambiente foi compilado criado, o que são os ativos diferentes e quais entidades existem. Geralmente, eles criam o plano para as próximas fases do ataque.
– Ciclo de movimentação lateral, durante o qual um invasor investe tempo e esforço na propagação da superfície de seu ataque dentro de sua rede.
– Controle do domínio (persistência), durante o qual um invasor captura as informações permitindo que retome sua campanha usando vários conjuntos de pontos de entrada, credenciais e técnicas.
Essas fases de um ataque cibernético são semelhantes e previsíveis, independentemente do tipo de empresa que está sob ataque ou do tipo de informação visado. O ATA procura três tipos de ataques principais: ataques mal-intencionados, comportamento anormal e riscos e problemas de segurança.
Os ataques mal-intencionados são detectados de forma determinista, olhando a lista completa de tipos de ataques conhecidos, incluindo:
- Pass-the-Ticket (PtT)
- Pass-the-Hash (PtH)
- Overpass-the-Hash
- PAC Forjado (MS14-068)
- Golden Ticket
- Replicações mal-intencionadas
- Reconhecimento
- Força Bruta
- Execução remota
Saiba mais sobre o Microsoft Advanced Threat Analytics aqui.
Novidades no Microsoft Advanced Threat Analytics v1.9 Update 1
De acordo com o changelog publicado aqui pela Microsoft, o Microsoft Advanced Threat Analytics v1.9 Update 1 (build 1.9.7412) traz principalmente correções de bugs.
Ele também traz melhorias na performance, melhorias na segurança e correções necessárias para certificação Microsoft Accessibility Standards (MAS).
Entre os bugs corrigidos estão um que faz com que o navegador Microsoft Edge trave em certos cenários, um que faz com que a página de perfil do usuário não seja exibida na área Directory Data Information e um que faz com que a migração da versão 1.8 para a versão 1.9 do ATA falhe.
A atualização está disponível através do Microsoft Update e via download direto no Microsoft Download Center.
IMPORTANTE: Antes de instalar esta atualização, certifique-se de que você tem o ATA v1.9 (build 1.9.7312), ATA v1.8 Update 1 (build 1.8.6765) ou o ATA v 1.8 (build 1.8.6645) instalado.
via Baboo[:]