Behaviorální analýza prostředí pomocí nástroje Microsoft Advanced Threat Analytics (ATA)

19 října, 2016
David Pilař

Autor

David Pilař

Head of Services společnosti SoftwareONE Czech Republic

Microsoft Advanced Threat Analytics (ATA) je on-premise nástroj, který za pomoci behaviorální analýzy provádí sledování chování uživatelů na lokální síti, kteří využívají Windows Server Active Directory.

ATA je v portfoliu Microsoftu krátce, tento produkt vychází z akvizice izraelské společnosti Aorato a byl poprvé představen na konferenci Ignite 2015. Od té doby si nalezl spoustu zákazníků, hlavně v segmentu Enterprise.

Produkt je velmi aktivně rozvíjen, k dnešnímu dni je k dispozici již v produkční verzi 1.7 a upravování je možné provádět v rámci Windows Updates.

ATA je k dispozici v rámci licencí Enterprise CAL nebo v Office 365 plánech Enterprise Mobility + Security (EMS E3,E5), Enterprise Cloud Suite (ECS) a nově i Secure Productive Enterprise Suite (SPE). Licence je možné zakoupit i jako samostatný produkt.

Tento produkt je možné integrovat se systémy SIEM (Security Information and Event Management) a nebo například na System Center Operations Manager (SCOM) a syslog servery.
Skládá se ze dvou rolí ATA Center a ATA Gateway. ATA Center je centrální server, který provádí behaviorální analýzu nad informacemi získaných od všech ATA Gateway, které jsou převážně AD doménové kontroléry. Získané informace z doménových kontrolérů jsou následně zpracovány v ATA Center a pokud pokročilá analýza detekuje útok nebo bezpečnostní hrozbu, je informace zobrazena v ATA Center TimeLine skrze webový portál.

Webový portál ATA

ATA je schopná objevit velké množství známých útoků a podezřelé chování, jako je například známé Pass-the-Ticket (PtT), Pass-the-Hash (PtH), BruteForce, Anomalous logins, Remote execution, Suspicious activity, Known protocol vulnerabilities a mnoho dalšího. Každou další verzí se databáze rozšiřuje i na základě aktuálních hrozeb.

Velmi užitečná je hlavně v případě útoku hrubou silou ( tzv. BruteForce) na heslo uživatelů. Jak je vidět níže na obrázku z aplikace. ATA identifikuje na základě nestandartního chování hrubý útok na získání uživatelských hesel.

Identifikace BruteForce

Na základě analýzy bylo identifikováno 647 nezdařených pokusů na různé stanice z jednoho počítače. Obrovská výhoda ATA je, že velmi lehce vidíte informace o tom, jaké zařízení je pravděpodobně infikované a jaké účty se staly obětí. ATA dokonce identifikovala, že dva z napadených účtů, které jsou přímo označené, jsou pravděpodobně prolomené. Tyto informace mohou být pomocí notifikací předány odpovědným osobám a nebo jsou sledovány například Helpdeskem, který může velmi jednoduše provést proaktivní kroky k tomu, aby se útok dále nešířil.

ATA není další firewall ve vašem prostředí, ale velice efektivně vám pomůže nalézt nebo upozornit na aktuální bezpečnostní hrozby a na základě získaných informací vám pomůže k zabránění šíření útoku.