Microsoft Advanced Threat Analytics (ATA) 是微软新推出的威胁分析产品,主要对在后台运行,并自动分析,学习,并确定在网络上的正常行为,提醒您注意可能出现的安全问题,例如:
- 异常的用户行为:ATA使用行为分析和自我学习,发现可疑的活动和行为异常的登陆,以及异常资源的访问,异常的工作时间,未知的威胁,密码共享和横向运动。
- 恶意攻击:ATA检测已知的恶意攻击,包括票据的传输,伪造,侦查,远程执行等。
- 已知的安全问题和风险:ATA识别已知的安全问题,如损坏的信任,弱协议和已知的协议漏洞。
Microsoft Advanced Threat Analytics (ATA) 是一款内部部署产品,可通过 Active Directory 及安全信息和事件管理系统自动分析、学习并识别正常和不正常的实体(用户、设备和资源)行为,帮助 IT 安全专业人士保护其企业免受针对性的高级攻击的威胁。ATA 还可通过安全研究员跨地区及在全球范围内的合作,帮助识别已知恶意攻击、安全问题和风险。检测到可疑活动后,它会在简单、方便的信息提要中提供清晰的相关威胁信息。
微软的ATA结构非常简单,主要有2个部份:一个ATA中心和一个ATA网关。
ATA中心:
- 管理ATA网关配置设置
- 从ATA网关接收数据
- 检测可疑的活动和行为
- 支持多个ATA网关
- 运行ATA管理控制台
- 可选:ATA中心可以被配置为当检测到可疑活动时发送电子邮件,讲事件发送到您的安全信息和事件管理(SIEM)系统。
ATA网关:
- 通过端口镜像捕获并检查域控制器的网络流量
- 接收从SIEM或Syslog服务器事件
- 从域中检索用户和计算机数据
- 网络监控能力(用户和计算机)
- 传输相关数据到ATA中心
- 监视多个域控制到一个ATA网关
对于ATA的部署架构也非常简单,不需要改变现有的环境以及安装agent,只需要把域控的流量镜像给我们的ATA网关,再有我们的ATA网关将数据传输给我们的ATA中心进行分析处理展现,当然还不需要什么高级的权限,一个普通的域帐户就可以实现对身份访问的高级安全分析。
这样的架构非常适合在不同分支机构部署多个ATA网关,然后在总部一个ATA中心即可完成身份威胁的分析及预警了,是不是很酷。
ATA主要针对的是身份威胁分析,因此主要是针对企业的AD系统自己完成行为学习到行为分析再到威胁行为的警告通知,例如:
可以发现我的企业环境中以往遭受过的蛮力攻击,哪些帐户受到影响:
分析用户或计算机的行为,活动状态,以及最后访问的计算机资源以及最后登陆过的域内计算机
同时可以发现企业内部的计算机或用户存在密码泄漏或正在被当作肉鸡的帐户发起攻击时的所有行为操作进行警告提醒。
这个好东西唯一的缺点就是没有在我们国家提供,而且没有中文,这是最为遗憾的,当然最为技术爱好者来说,给大家分享下这个产品并把试用的结果分享出来还是非常有意义的。
在这里非常感谢王老师(http://wzde2012.blog.51cto.com/)的介绍以及引导让我对此产品产生了极大的兴趣并测试了一把。
谢谢大家。