MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Pageviews 2018: 3320750
Pageviews 2017: 4351543
Pageviews 2016: 3991973
Pageviews 2015: 2675433
Pageviews 2014: 2664208
Pageviews 2013: 2399409
Pageviews 2012: 3209633
Pageviews 2011: 2730038
Pageviews 2010: 1470924
Pageviews 2009: 64608

Últimos posts

Categorias

Arquivo

Tags

Microsoft Advanced Thread Analytics (ATA)

Muitos clientes que visito não fazem ideia do que é o ATA, mesmo possuindo ele no licenciamento EMS (Enterprise Mobility + Security). https://www.microsoft.com/pt-br/cloud-platform/advanced-threat-analytics

Entendendo o ATA

Para entender melhor o que é o ATA precisamos relembrar o que são produtos de segurança comportamentais (http://www.marcelosincic.com.br/post/Windows-Defender-ATP-Entenda-o-Novo-Produto.aspx).

Esse tipo de produto não se baseia em um código malicioso que é baixado a partir de um DAT com informações do código que será executado (assinatura de virus).

Nos serviços de segurança comportamental você analisa tendencias, usos comuns e atividades suspeitas, como por exemplo um usuário que nunca se logou em um servidor agora é administrador e acessa diversas maquinas.

Instalando o ATA

A instalação é muito simples, pois a comunicação online é realizada diretamente com uma URL do Azure que recebe e processa com Machine Learning os dados de logs de segurança recebidos.

Para instalar basta executar o instalador que é bem simples e intuitivo. Após instalar o servidor, podemos instalar o Gateway que é o servidor Domain Controller que será analisado coletando os logs de segurança.

Uma vez instalado a administração é bem simples e é possivel avançar nas configurações informando por exemplo o SID de um usuário para servir de diagnostico de invasão, um range de IP de maquinas vulneráveis (em DMZ por exemplo) e outros recursos.

Uma vez instalado a manutenção dele é automática tanto do servidor quando dos gateways que são monitorados.

Verificando Issues de Segurança do AD

Após alguns dias já é possivel ver no painel alguns alertas, por exemplo abaixo o aviso de que alguns computadores estão usando nivel de criptografia vulnerável:

capture20170807171826449

capture20170807171926453

capture20170807171951836

capture20170807172020133

Esse outro exemplo um caso de execução remota de comandos e scripts por parte de um servidor remoto. Claro que nesse caso eu irei encerrar o aviso, uma vez que é uma atitude esperada pois tenho o projeto Honolulu na mesma maquina que executa comandos WMI:

capture20180226144319686

capture20180226144405535

Veja que nos dois casos eu consigo saber o que aconteceu, quem foi o usuário e em que servidor/desktop a atividade suspeita ocorreu.

Alem disso, o histórico de detecções nos ajuda a entender se este é um chamado real ou apenas uma atividade especifica.

Recebendo Alertas e Relatórios

O ATA permite que configure o recebimento dos alertas e dos reports com os dados.

Posso executar reports standalone:

capture20170807172144683

Ou agendar para receber por email todos os dias, assim como os alertas:

capture20170807172207309

Como adquirir o ATA

Essa é a pergunta que muitos fazem, mas é importante lembrar que como um produto online, ele pode ser adquirido por quem tem o Microsoft 365 com Security (novo EMS, o antigo EMS ou então adquirido individual.

Lembrando que como se trata de um produto vinculado ao O365, a aquisição é por usuário, mesmo que standalone.

Posted: fev 26 2018, 18:30 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login