Microsoft Advanced Threat Analytics

Behaviorální analýza prostředí pomocí nástroje Microsoft Advanced Threat Analytics (ATA)

Microsoft Advanced Threat Analytics (ATA) je on-premise nástroj, který za pomoci behaviorální analýzy provádí sledování chování uživatelů na lokální síti, kteří využívají Windows Server Active Directory.

ATA je v portfoliu Microsoftu krátce, tento produkt vychází z akvizice izraelské společnosti Aorato a byl poprvé představen na konferenci Ignite 2015. Od té doby si nalezl spoustu zákazníků, hlavně v segmentu Enterprise.

Produkt je velmi aktivně rozvíjen, k dnešnímu dni je k dispozici již v produkční verzi 1.7 a upravování je možné provádět v rámci Windows Updates.

ATA je k dispozici v rámci licencí Enterprise CAL nebo v Office 365 plánech Enterprise Mobility + Security (EMS E3,E5), Enterprise Cloud Suite (ECS) a nově i Secure Productive Enterprise Suite (SPE). Licence je možné zakoupit i jako samostatný produkt.

Tento produkt je možné integrovat se systémy SIEM (Security Information and Event Management) a nebo například na System Center Operations Manager (SCOM) a syslog servery.
Skládá se ze dvou rolí ATA Center a ATA Gateway. ATA Center je centrální server, který provádí behaviorální analýzu nad informacemi získaných od všech ATA Gateway, které jsou převážně AD doménové kontroléry. Získané informace z doménových kontrolérů jsou následně zpracovány v ATA Center a pokud pokročilá analýza detekuje útok nebo bezpečnostní hrozbu, je informace zobrazena v ATA Center TimeLine skrze webový portál.

Webový portál ATA
 
ATA je schopná objevit velké množství známých útoků a podezřelé chování, jako je například známé Pass-the-Ticket (PtT), Pass-the-Hash (PtH), BruteForce, Anomalous logins, Remote execution, Suspicious activity, Known protocol vulnerabilities a mnoho dalšího. Každou další verzí se databáze rozšiřuje i na základě aktuálních hrozeb.

Velmi užitečná je hlavně v případě útoku hrubou silou ( tzv. BruteForce) na heslo uživatelů. Jak je vidět níže na obrázku z aplikace. ATA identifikuje na základě nestandartního chování hrubý útok na získání uživatelských hesel.

Identifikace BruteForce
 
Na základě analýzy bylo identifikováno 647 nezdařených pokusů na různé stanice z jednoho počítače. Obrovská výhoda ATA je, že velmi lehce vidíte informace o tom, jaké zařízení je pravděpodobně infikované a jaké účty se staly obětí. ATA dokonce identifkovala, že dva z napadených účtů, které jsou přímo označené, jsou pravděpodobně prolomené. Tyto informace mohou být pomocí notifikací předány odpovědným osobám a nebo jsou sledovány například Helpdeskem, který může velmi jednoduše provést proaktivní kroky k tomu, aby se útok dále nešířil.

ATA není další firewall ve vašem prostředí, ale velice efektivně vám pomůže nalézt nebo upozornit na aktuální bezpečnostní hrozby a na základě získaných informací vám pomůže k zabránění šíření útoku.

David Kalenda, Cloud Consultant