Detecção de ameaças usando técnicas de análise comportamental de usuários com Advanced Threat Protection

image

Visão Geral: Hoje iremos ver como detectar ameaças usando técnicas de análise comportamental de usuários com Advanced Threat Protection (ATP)

A Ti está mudando

image

O perímetro na qual conhecemos onde a nossa infraestrutura com computadores, servidores de dados, indentidade e aplicativos dentro de casa tem mudado nos últimos anos. Aquela visão de que tudo está ao alcance de nossos olhos e portanto mais fácil de administrar e ter controle já não é mais assim.

Híbrido está mudando a forma que abordamos a segurança do Perímetro

image

A maioria de nós hoje tem aplicações, serviços, servidores em ambientes de nuvem e a topologia que temos que conviver é a que chamamos de ambiente Híbrido ou misto (Parte dentro de casa e outra na nuvem). Entretanto, o grande desafio é manter toda essa infraestrutura funcionando e disponível e a mesmo tempo trazer segurança para os nossos usuários.

Os últimos anos testemunharam uma escalação distinta e consistente no alcance, escala e sofisticação dos ataques cibernéticos, impactando as organizações em todas as áreas verticais e locais. Essa escalada manifesta-se não só na crescente proliferação de grupos de atores de ameaças, mas também na diversidade das técnicas de ferramentas de ataque (TTPs) usadas, que vão desde exploits de dia zero até antimalware e kits de ferramentas publicamente disponíveis.

Esta paisagem de ameaças está conduzindo uma mudança no paradigma de segurança comum, levando as partes interessadas de segurança a perceber que um invasor engenhoso e determinado, em certo ponto, conseguirá ignorar os controles tradicionais de prevenção e detecção.

Para responder de forma proativa a essas ameaças, há uma necessidade de uma camada de segurança que funcione seguindo a derivação bem-sucedida desses controles e é encarregado de detectar a atividade maliciosa consecutiva a essa derivação.

Links Seguros

O recurso de Links seguros do ATP protege proativamente seus usuários contra hyperlinks maliciosos em uma mensagem. A proteção permanece sempre que clicarem no link, como links mal-intencionado dinamicamente são bloqueadas enquanto boa links podem ser acessados.

Anexos Seguros

O recurso Anexos Seguros protege você contra vírus e malware desconhecidos e fornece proteção de dia zero para seu sistema de mensagens. Todas as mensagens e os anexos que não tenham uma assinatura de vírus/malware conhecida são roteados para um ambiente especial onde a ATP usa uma variedade de técnicas de aprendizagem e análise automática para detectar conteúdo mal-intencionado. Se nenhuma atividade suspeita for detectada, a mensagem será liberada para entrega na caixa de correio.

Fonte: https://technet.microsoft.com/pt-BR/library/exchange-online-advanced-threat-protection-service-description.aspx#O que há de novo no Office 365 avançadas ameaça proteção (ATP)>

Detectando ameaças e ambientes híbridos e de nuvem

image

O Azure Advanced Threat Protection é um novo serviço de nuvem que habilita sua equipe de Operações de Segurança a detectar e investigar ataques avançados e ameaças de insider em todo o escopo de usuários e entidades em sua rede. Aproveitando a infraestrutura de nuvem e a escala Azure, o Azure ATP  é construído para suportar as cargas de trabalho mais exigentes da análise de segurança para a empresa moderna.

O ATP Azure combina algoritmos únicos de aprendizagem de máquinas, pesquisa de segurança de classe mundial e a amplitude e profundidade dos dados críticos de segurança disponíveis para a Microsoft como um grande fornecedor empresarial. Isso ajudará a proteger de vetores de ataque conhecidos e desconhecidos, detectando ameaças no início da cadeia antes de amadurecerem em danos reais.

O Azure ATP traz as capacidades da nossa solução de análise comportamental local (On Premisses), o Microsoft Advanced Threat Analytics (ATA), para a nuvem. Com base nas capacidades detalhadas de detecção de ameaças da ATA, o Azure ATP ajudará os nossos clientes a proteger suas identidades em seus diretórios de nuvem e híbridos.

Detectar

Desenvolvido pelo Microsoft Intelligent Security Graph , o Azure ATP detecta atividades mal-intencionadas, agregando e correlacionando várias fontes de dados, tráfego de rede, registros de eventos, dados VPN e outros – para criar um perfil comportamental coerente para cada usuário. A atividade maliciosa normalmente gerará comportamento anômalo, aumentando o alerta de segurança.

Complementando suas capacidades de detecção de anomalia granular, o Azure ATP  é fornecido com um conjunto de modelos deterministas que identificam implementações comuns e recém-descobertas de técnicas de invasores, como Pass-the-Hash, Overpass-the-Hash, Golden Ticket e outros.

Analisar e Aprender

Através de técnicas de Machine Learning o ATP vai analisar o comportamento do usuário e aprender como cada um trabalha a fim de encontrar problemas relacionados a segurança do ambiente

Investigar

O Azure ATP mostra o ataque como uma linha de tempo de alerta contextual, onde cada alerta individual inclui tanto a descrição da atividade mal-intencionada que o desencadeou quanto as medidas de correção e resposta necessárias.

Uma vez que o alerta é triado e considerado digno de investigação, o Azure ATP fornece a sua equipe de segurança as ferramentas e os metadados do evento que são necessários para realizar uma investigação mais profunda sobre os usuários e entidades envolvidos. Além disso, você pode integrar com o Windows Defender Advanced Threat Protection (ATP)  que complementa o contexto de alerta com as operações realizadas nos nós de extremidade envolvidos.

Fonte: https://cloudblogs.microsoft.com/enterprisemobility/2017/09/27/introducing-azure-advanced-threat-protection/

O ATP trabalha em torno de 3 principais motores de identificação de ataques:

Análise comportamental de usuários: Comportamento do perfil de entidade normal x anormal

Análise para ataques e problemas conhecidos: Procura por ataques de segurança conhecidos

Análise avançada de ameaças: Detecta atividades suspeitas de usuários

Conclusão: De uma forma resumida o Azure ATP é uma ferramenta que vai nos ajudar a identificar ataques à credenciais de usuários em ambientes híbridos e de nuvem. Ele pode ser integrado ao Office 365 ATP e também ao Windows Defender ATP (não é o Windows Defender do Windows 10) danto proteção ao nível de url maliciosas e anexos seguros quando se fala de office 365 e em se tratando de antivírus, além da proteção baseada em assinatura de vírus (Dat) também tem a análise do comportamento do usuário que é uma camada a mais.

Daniel Santos – MVP Cloud and Datacenter Management
Twitter: www.twitter.com/danielsantos_ti
Blog: www.wordpress.com/engdanielsantos
Site Corporativo: www.dacnetwork.com.br

Anúncios
Categorias:Azure ATP, Windows Azure

Gerenciamento Unificado de dispositivos móveis com Windows Intune

Resultado de imagem para azure intune

Visão Geral: Nesse tutorial iremos endereçar questões de como gerenciar dispositivos dentro e fora da empresa. Quando falamos dispositivos móveis estamos tratando de aparelhos IOS, Android e também Windows 10. A idéia é permitir que os usuários acessem os dados da empresa de qualquer lugar, independente do dispositivo (computadores, tablets, smartphones, notebooks) ou plataforma porém de forma segura.

Temos duas modalidades de administração desses dispositivos:

1.  MDM ( Gerenciamento de dispositivo Móvel) que é gerenciamento completo do aparelho, tanto na parte de software como também dos dados em geral. É possível ter acesso a todo conteúdo do dispositivo e no caso de roubo ou perda conseguimos zerar os dados remotamente de forma que a pessoa que tomou posse dele não consiga ler nenhuma informação da empresa como fotos, vídeos, arquivos, aplicativos, etc. Esse modelo é usado quando o aparelho da empresa é disponibilizado ao usuário.

2. MAM (Gerenciamento dos aplicativos e dados empresariais) que é o gerenciamento apenas dos aplicativos empresariais como word, excel, E-mail (Office 365) e também dos dados da empresa. Nesse caso, os aplicativos e dados pessoais do usuário (fotos, vídeos, whatsapp, etc) não serão gerenciados. Esse modelo é mais utilizado quando o usuário traz o seu dispositivo para a empresa mas não quer que os dados pessoais sejam monitorados

Microsoft 365

Até a pouco tempo atrás se houvia falar em Office 365 que é a conhecida solução de produtividade da Microsoft na nuvem. Entretanto, o mundo tecnológico evolui e requer sempre novas demandas para apoiar as empresas a desenvolverem os seus trabalhos. Com isso, a Microsoft desenvolveu a solução chamada Microsoft 365 formada pelos produtos Office 365 + Windows 10 + Enterprise Mobility + Segurança. Essa solução foi criada para empoderar os clientes a se tornarem mais produtivos, trabalharem juntos num modelo de colaboração porém de forma segura.

    Momento do Enterprise Mobility: Clientes de EMS tem crescido muito e somente no último ano foi mais 57% e os esforços que a Microsoft está fazendo é para que cresça ainda mais. Essa é uma área que a empresa tem investido bastante e está muito focada para trazer novidades para melhorar o dia-a-dia de seus clientes

      O que é o Intune?

      O Intune é um serviço baseado em nuvem no espaço de EMM (gerenciamento de mobilidade empresarial) que colabora para permitir que sua a força de trabalho fique produtiva e ainda mantém os dados corporativos protegidos. Com o Intune, você pode:

      • gerenciar os dispositivos móveis que sua força de trabalho usa para acessar dados da empresa.
      • gerenciar os aplicativos móveis que sua força de trabalho usa.
      • proteger informações da empresa, ajudando a controlar a forma como sua força de trabalho as acessa e compartilha.
      • garantir que dispositivos e aplicativos sejam compatíveis com os requisitos de segurança da empresa.

        Problemas de negócios comuns que o Intune ajuda a resolver

          Integração com Windows Azure

          Umas das principais novidades do Windows Intune é que ele está saindo do seu portal próprio desenvolvido em Silverlight e passa a se integrar ao portal do Windows Azure. Com isso você ganha a integração do serviço de diretório e gerenciamento de usuários na nuvem (Azure Active Directory) e consegue aplicar políticas de controle para o Office 365 tudo em uma única console.

          Dashboard do Windows Intune

          clip_image001

          O produto Windows Intune está disponível para todo tipo de empresa: Grandes corporações, empresas da área educativa como escolas e faculdades e também para o mercado SMB que é o de pequenas e médias empresas (SMB ainda em desenvolvimento).

          image

          Principais planos de aquisição do Windows Intune

          image

          Maiores informações de licenciamento: https://www.microsoft.com/pt-br/cloud-platform/microsoft-intune-pricing

          Intune para Educação: https://www.microsoft.com/pt-br/education/intune/default.aspx

          Visão geral do Windows Intune e avaliação: https://www.microsoft.com/pt-br/cloud-platform/microsoft-intune

          Daniel Santos – MVP Cloud and Datacenter Management
          Twitter: www.twitter.com/danielsantos_ti
          Blog: www.wordpress.com/engdanielsantos
          Site Corporativo: www.dacnetwork.com.br

          Como trocar o idioma do Office 2016

          image

          Visão Geral: Nesse tutorial iremos ver como trocar o idioma do office 2016

          Observe que o idioma atual é o português (Brasil)

          image

          Clique no Menu Iniciar e abra Preferências de idioma do Office 2016

          image

          Clique em Como obtenho mais idiomas de Exibição e da Ajuda do Office.com

          image

          Selecione o Idioma que você quer e clique no pacote correspondente. No meu exemplo é 32 Bits

          image

          Execute o arquivo baixado

          image

          Clique em Continuar

          image

          Instalando o pacote de idiomas…

          image

          Instalação concluída. Clique em Close

          image

          Abra novamente preferências de Idiomas e seleciona o display language e clique em Set as Default ( o idioma escolhido foi English) e clique em OK

          image

          Clique em OK

          image

          Observe que agora o meu office já está em inglês

          image

          Conclusão: Com esse tutorial vimos como alterar o idioma do Office 2016

          Daniel Santos – MVP Cloud and Datacenter Management
          Twitter: www.twitter.com/danielsantos_ti
          Blog: www.wordpress.com/engdanielsantos
          Site Corporativo: www.dacnetwork.com.br

          Categorias:Office, Office 365

          Como habilitar o Windows Search no Windows Server 2012

           

          Visão Geral: Nesse tutorial iremos ver como ativar o Windows Search no Windows Server 2012.

           

          Abra o Server Manager e clique em Adicionar adicionar funções e recursos

           

          image

           

          Clique em Próximo

           

          image

           

          Próximo

           

          image

           

          Próximo

           

          image

           

          Clique em Recursos e seleciona Serviço Windows Search e clique em próximo

           

          image

           

          Clique em Instalar

           

          image

           

           

          Reinicie o servidor após terminar a instalação

           

           

          Conclusão: Com esse tutorial vimos como instalar o serviço de Windows Search no Windows Server 2012

           

           

          Daniel Santos – MVP Cloud and Datacenter Management
          Twitter: www.twitter.com/danielsantos_ti
          Blog: www.wordpress.com/engdanielsantos
          Site Corporativo: www.dacnetwork.com.br

          Categorias:Windows Server 2012

          Instalando o Desktop Experience no Windows Server 2012 / 2012 R2

           

          Visão Geral: Nesse tutorial iremos ver como instalar o recurso Desktop Experience no Windows Server 2012 / 2012 R2

           

          Abra o Server Manager e clique em Adicionar Funções e Recursos

           

          image

           

          Clique em próximo

           

          image

           

          Clique em Próximo

           

          image

           

          Clique em Recursos e marque Experiência Desktop e em seguida Adicionar Recursos

           

          image

           

          Clique em próximo

           

          image

           

          Clique em Instalar

           

          image

           

           

          Conclusão: Com esse tutorial vimos como instalar o recurso Desktop Experience no Windows Server 2012 / 2012 R2

           

           

          Daniel Santos – MVP Cloud and Datacenter Management
          Twitter: www.twitter.com/danielsantos_ti
          Blog: www.wordpress.com/engdanielsantos
          Site Corporativo: www.dacnetwork.com.br

          Corrigindo erro open live writer parou de funcionar após fazer a instalação

          Visão Geral: Esse problema eu encontrei no Windows 10 e também no Windows 2012 e a solução foi bem simples.

           

          image

           

          no caso do Windows Server 2012 foi necessário baixar e instalar o .net framework 4.6.1

           

           

          image

           

           

          Após instalar reiniciar a máquina

           

          A recomendação para as demais versões do Windows é baixar o .net framework mais novo e instalar e em seguida reiniciar a máquina

           

          Conclusão: Com esse tutorial vimos como corrigir o erro de abertura do Open Live Writer

           

          Daniel Santos – MVP Cloud and Datacenter Management
          Twitter: www.twitter.com/danielsantos_ti
          Blog: www.wordpress.com/engdanielsantos
          Site Corporativo: www.dacnetwork.com.br

          Categorias:Open Live Writer

          Configuring Azure Site Recovery on Windows Server 2016 Essentials – Part 1

          image image

          Overview: One of the great features in Windows Server 2016 Essentials is Azure Site Recovery. ASR is the ability to replicate your entire server to Azure to disaster recovery. In this tutorial we will see how to prepare the environment and activate the ASR.

          Before you start the ASR (Azure Site Recovery) wizard you must keep in mind the environment preparation that consists of:

          1. Windows Server 2016 Essentials needs to be virtualized with Hyper-V host 2012 r2 or higher
          2. Your Windows Server 2016 Essentials needs to be up-to-date
          3. Hyper-V Host needs to be up-to-date
          4. Verify firewall rule File and Print Sharing is enable in Hyper-V host 
          5. Verify that Windows Server Essentials Firewall rules WMI Async-in, WMI Dcom-in, and WMI-in
          6. Join Hyper-V host in the Windows Server 2016 Essentials domain
          7. When creating the virtual network and storage account in Azure using the Essentials wizard always use lowercase letters with no space and special characters
          8. The name of virtual machines can not contain space and should use lowercase letters
          9. Of course you will need a Windows Azure subscription
          10. The storage account and virtual network must be in the same geographic region of Azure.

          Let’s go step by step

          1. Windows Server 2016 Essentials needs to be virtualized with Hyper-V host 2012 r2 or higher

          image

          2. Windows Server 2016 Essentials needs to be up-to-date with windows update

          image

          3. Hyper-V Host needs to be up-to-date with Windows update

          image

          4. Verify firewall rule File and Print sharing is enable in Hyper-V host

          image

          5. On Windows Server 2016 Essentials Open the Windows firewall with Advanced security and verify that the WMI Async-in, WMI Dcom-in, and WMI-in rules are released

          image

          6.  Join Hyper-V host into the Windows Server Essentials 2016 domain

          To know the name of the domain run the command nslookup (Since your dns is configured correctly will appear the name of the domain). Another way to find out is to open Active Directory users and computers

          image

          image

          image

          Click OK to restart the server

          image

          Note: Set up your Hyper-V to start Essentials vm automatically

          image

          Open Dashboard for Windows Server 2016 Essentials and click azure virtual network

          image

          Click in Integrate with Azure Virtual Network

          image

          Enter the azure administrative account and click Next

          image

          Enter the data in lowercase and click Next

          image

          Select VPN mode RRAs with Windows Server Essentials

          image

          The virtual network is being created in azure. Click Close

          image

          Note: All Essentials services must be running

          image

          Upon completion, the connection will be closed with Azure

          image

          Conclusion: With this tutorial we have seen the first part of how to configure Azure Site Recovery in Windows Server 2016 Essentials

          Go to Part 2 of this tutorial: https://engdanielsantos.wordpress.com/2017/08/28/configuring-azure-site-recovery-on-windows-server-2016-essentials-part-2/

          Daniel Santos – MVP Cloud and Datacenter Management Daniel Santos
          Twitter: www.twitter.com/danielsantos_ti Twitter: www.twitter.com/danielsantos_ti
          Blog: www.wordpress.com/engdanielsantos Blog: www.wordpress.com/engdanielsantos
          Site Corporativo: www.dacnetwork.com.br Corporate Website: www.dacnetwork.com.br