segurança cibernética - conheça o ata, a solução da microsoft para proteger sua empresa

Advanced Threat Analytics

Estatísticas sobre segurança

200+ 75%+ $500B $3.5M

Causando um prejuízo financeiro significativo, impacto na reputação da marca, perda de dados confidenciais e cargos executivos

Explorando as credenciais do usuário na grande maioria dos ataques

Mudança na natureza dos ataques de segurança cibernética

Usando ferramentas legítimas de TI ao invés de malware—mais difíceis de detectarFicando na rede em média oito meses antes da detecção

Os invasores cibernéticos atuais estão:


Custando uma perda financeira significativa, impacto na reputação da marca, perda de dados confidenciais e cargos executivos

Comprometendo as credenciais do usuário na grande maioria dos ataques Usando ferramentas legítimas de TI ao invés de malware - mais difíceis de detectar Ficando na rede em média oito meses antes da detecção




Comprometendo as credenciais do usuário na grande maioria dos ataques Usando ferramentas legítimas de TI ao invés de malware—mais difíceis de detectarFicando na rede em média oito meses antes da detecção




Comprometendo as credenciais do usuário na grande maioria dos ataques Usando ferramentas legítimas de TI ao invés de malware —maisdifíceis de detectarFicando na rede em média oito meses antes da detecção


As ferramentas tradicionais de segurança de TI geralmente são:

O problema

Complexas

Configuração inicial, ajuste fino, regra de limite e criação de linha de base podem levar um longo tempo.

Propensas a falsos positivos

Você recebe tantos relatórios diários com falsos positivos que exigem um tempo precioso que você não tem.

Projetadas para ajudar a proteger o perímetro

Quando as credenciais do usuário são roubadas e os invasores estão na rede,as suas defesas atuais fornecem proteção limitada.

O que é o Microsoft Advanced Threat Analytics?

Uma plataforma no local para identificar ataques avançados de segurança antes que causem danos

As empresas de cartão de crédito monitoram o comportamento dos titulares dos cartões.

Se houver qualquer atividade anormal, elas notificarão o titular do cartão para verificar a compra.

O Microsoft Advanced Threat Analytics (ATA) traz este conceito para os usuários e a TI de uma organização

Comparação:

Anexo de email

Introdução ao Microsoft Advanced Threat Analytics

Introdução ao Microsoft Advanced Threat Analytics

Análises comportamentai

s

Detecção de ataques e problemas conhecidos

Detecção avançada de

ameaças

Uma plataforma no local para identificar ataques avançados de segurança rapidamente, permitindo que os profissionais de TI reduzam significantemente os danos

Testemunha todas as autenticações e autorizações para os recursos organizacionais no perímetro corporativo ou em dispositivos móveis

Suporte à mobilidade

Integração ao SIEM Fácil implantação Conecta-se com fluidez ao

gerenciador de eventos e informações de segurança (SIEM)

Oferece opções para encaminhar alertas de segurança para o SIEM ou enviar emails a pessoas específicas

Usa espelhamento de porta para facilitar uma implantação sem contratempos e sem agentes junto com os Serviços de Domínio do Active Directory (AD DS)

Não afeta a topologia de rede existente

Principais recursos

Benefícios do Microsoft Advanced Threat Analytics Uma solução no local para identificar ataques avançados de segurança antes que

causem danos

Não é necessário criar regras ou políticas, implantar agentes ou monitorar diversos relatórios de segurança. A inteligência necessária está pronta para analisar e aprender continuamente.

O ATA aprende com o comportamento da entidade organizacional (usuários, dispositivos e recursos) e ajusta-se para refletir as mudanças na evolução da sua empresa.

A linha do tempo de ataque é um feed claro, eficiente e conveniente que apresenta os itens importantes em uma linha do tempo, mostrando-lhe "quem, o quê, quando e como".

Os alertas acontecem somente quando atividades suspeitas são agregadas contextualmente, comparando o comportamento da entidade com o próprio comportamento e com outras entidades no caminho de interação.

Ameaças detectadas

Problemas de segurança: • Conta confidencial exposta na autenticação em

texto sem formatação • Serviço que expõe contas na autenticação em

texto sem formatação • Quebra de confiança• Atividade suspeita em contas honey token

Atividades suspeitas de reconhecimento e força bruta: • Reconhecimento usando DNS • Reconhecimento usando enumeração de

conta • Força bruta (LDAP, Kerberos)

Atividades suspeitas de roubo de identidade: • Pass the ticket • Pass the hash • Over-pass the hash • Skeleton key

• Forged PAC (MS14-068) • Golden ticket • Execução remota

Atividades suspeitas de comportamento anormal: • Comportamento anormal baseado em

autenticação, autorização e horas de trabalho (algoritmo de aprendizagem da máquina)

• Exclusão em massa de objeto

Como o ATA funciona?

Analisar

1

Como o Microsoft Advanced Threat Analytics funciona?

Após a instalação: • Uma configuração simples e não

invasiva de espelhamento de porta cópia todo o tráfego relacionado ao Active Directory

• Permanece invisível para invasores

• Analisa todo o tráfego do Active Directory

• Coleta eventos relevantes do SIEM e de outras fontes


ATA: • Automaticamente começa a

aprender e traçar perfis de comportamento da entidade

• Identifica o comportamento normal das entidades

• Aprende continuamente a atualizar as atividades de usuários, dispositivos e recursos

Aprender

2

O que é uma entidade? Uma entidade representa usuários, dispositivos ou recursos

Detectar

3 Microsoft Advanced Threat Analytics: • Busca comportamento anormal e identifica

atividades suspeitas • Só emite alertas se as atividades anormais

estiverem agregadas ao contexto • Usa pesquisa de segurança de alta

qualidade para detectar ataques conhecidos e problemas de segurança (regionais ou globais) O ATA não só compara o

comportamento da entidade com o seu próprio padrão, mas também com o comportamento de outras entidades do ambiente.


Alertar 4


O ATA relata todas as atividades suspeitas em uma linha do tempo de ataque simples, funcional e útil.

O ATA identifica Quem? O quê? Quando? Como?

Para cada atividade suspeita, o ATA fornece recomendações de investigação e correção.

Gerencia as definições de configuração do ATA Gateway Recebe dados do ATA Gateways e armazena no banco de dados Detecta atividades suspeitas e comportamentos anormais (aprendizado automático) Fornece interface de gerenciamento da web

Suporta múltiplos gateways

Topologia — Center

Captura e analisa o tráfego da rede do controlador de domínio através do espelhamento de porta Ouve múltiplos controladores de domínio de múltiplos domínios em um único gateway Recebe eventos do SIEM

Recupera dados sobre as entidades do domínio Realiza a resolução de entidades de rede Transfere dados relevantes para o ATA Center

Topologia — Gateway

© 2015 Microsoft Corporation. Todos os direitos reservados. Microsoft, serviço de diretório Active Directory, Windows e outros nomes de produtos são ou podem ser marcas registradas e/ou marcas comerciais nos EUA e/ou em outros países. Os nomes de empresas e produtos reais mencionados neste documento podem ser as marcas comerciais de seus respectivos proprietários. As informações no presente documento têm apenas caráter informativo e representam a visão atual da Microsoft Corporation na data desta apresentação. Como a Microsoft precisa responder a mudanças das condições de mercado, as informações não devem ser interpretadas como compromisso por parte da Microsoft, e a Microsoft não pode garantir a precisão de nenhuma informação fornecida depois da data desta apresentação. A MICROSOFT NÃO OFERECE NENHUMA GARANTIA, EXPRESSA, IMPLÍCITA OU PREVISTA EM LEI, QUANTO ÀS INFORMAÇÕES CONTIDAS NESTA APRESENTAÇÃO.

segurança cibernética - conheça o ata, a solução da microsoft para proteger sua empresa

Technology