Inicial > Azure ATP, Windows Azure > Detecção de ameaças usando técnicas de análise comportamental de usuários com Advanced Threat Protection

Detecção de ameaças usando técnicas de análise comportamental de usuários com Advanced Threat Protection

image

Visão Geral: Hoje iremos ver como detectar ameaças usando técnicas de análise comportamental de usuários com Advanced Threat Protection (ATP)

A Ti está mudando

image

O perímetro na qual conhecemos onde a nossa infraestrutura com computadores, servidores de dados, indentidade e aplicativos dentro de casa tem mudado nos últimos anos. Aquela visão de que tudo está ao alcance de nossos olhos e portanto mais fácil de administrar e ter controle já não é mais assim.

Híbrido está mudando a forma que abordamos a segurança do Perímetro

image

A maioria de nós hoje tem aplicações, serviços, servidores em ambientes de nuvem e a topologia que temos que conviver é a que chamamos de ambiente Híbrido ou misto (Parte dentro de casa e outra na nuvem). Entretanto, o grande desafio é manter toda essa infraestrutura funcionando e disponível e a mesmo tempo trazer segurança para os nossos usuários.

Os últimos anos testemunharam uma escalação distinta e consistente no alcance, escala e sofisticação dos ataques cibernéticos, impactando as organizações em todas as áreas verticais e locais. Essa escalada manifesta-se não só na crescente proliferação de grupos de atores de ameaças, mas também na diversidade das técnicas de ferramentas de ataque (TTPs) usadas, que vão desde exploits de dia zero até antimalware e kits de ferramentas publicamente disponíveis.

Esta paisagem de ameaças está conduzindo uma mudança no paradigma de segurança comum, levando as partes interessadas de segurança a perceber que um invasor engenhoso e determinado, em certo ponto, conseguirá ignorar os controles tradicionais de prevenção e detecção.

Para responder de forma proativa a essas ameaças, há uma necessidade de uma camada de segurança que funcione seguindo a derivação bem-sucedida desses controles e é encarregado de detectar a atividade maliciosa consecutiva a essa derivação.

Links Seguros

O recurso de Links seguros do ATP protege proativamente seus usuários contra hyperlinks maliciosos em uma mensagem. A proteção permanece sempre que clicarem no link, como links mal-intencionado dinamicamente são bloqueadas enquanto boa links podem ser acessados.

Anexos Seguros

O recurso Anexos Seguros protege você contra vírus e malware desconhecidos e fornece proteção de dia zero para seu sistema de mensagens. Todas as mensagens e os anexos que não tenham uma assinatura de vírus/malware conhecida são roteados para um ambiente especial onde a ATP usa uma variedade de técnicas de aprendizagem e análise automática para detectar conteúdo mal-intencionado. Se nenhuma atividade suspeita for detectada, a mensagem será liberada para entrega na caixa de correio.

Fonte: https://technet.microsoft.com/pt-BR/library/exchange-online-advanced-threat-protection-service-description.aspx#O que há de novo no Office 365 avançadas ameaça proteção (ATP)>

Detectando ameaças e ambientes híbridos e de nuvem

image

O Azure Advanced Threat Protection é um novo serviço de nuvem que habilita sua equipe de Operações de Segurança a detectar e investigar ataques avançados e ameaças de insider em todo o escopo de usuários e entidades em sua rede. Aproveitando a infraestrutura de nuvem e a escala Azure, o Azure ATP  é construído para suportar as cargas de trabalho mais exigentes da análise de segurança para a empresa moderna.

O ATP Azure combina algoritmos únicos de aprendizagem de máquinas, pesquisa de segurança de classe mundial e a amplitude e profundidade dos dados críticos de segurança disponíveis para a Microsoft como um grande fornecedor empresarial. Isso ajudará a proteger de vetores de ataque conhecidos e desconhecidos, detectando ameaças no início da cadeia antes de amadurecerem em danos reais.

O Azure ATP traz as capacidades da nossa solução de análise comportamental local (On Premisses), o Microsoft Advanced Threat Analytics (ATA), para a nuvem. Com base nas capacidades detalhadas de detecção de ameaças da ATA, o Azure ATP ajudará os nossos clientes a proteger suas identidades em seus diretórios de nuvem e híbridos.

Detectar

Desenvolvido pelo Microsoft Intelligent Security Graph , o Azure ATP detecta atividades mal-intencionadas, agregando e correlacionando várias fontes de dados, tráfego de rede, registros de eventos, dados VPN e outros – para criar um perfil comportamental coerente para cada usuário. A atividade maliciosa normalmente gerará comportamento anômalo, aumentando o alerta de segurança.

Complementando suas capacidades de detecção de anomalia granular, o Azure ATP  é fornecido com um conjunto de modelos deterministas que identificam implementações comuns e recém-descobertas de técnicas de invasores, como Pass-the-Hash, Overpass-the-Hash, Golden Ticket e outros.

Analisar e Aprender

Através de técnicas de Machine Learning o ATP vai analisar o comportamento do usuário e aprender como cada um trabalha a fim de encontrar problemas relacionados a segurança do ambiente

Investigar

O Azure ATP mostra o ataque como uma linha de tempo de alerta contextual, onde cada alerta individual inclui tanto a descrição da atividade mal-intencionada que o desencadeou quanto as medidas de correção e resposta necessárias.

Uma vez que o alerta é triado e considerado digno de investigação, o Azure ATP fornece a sua equipe de segurança as ferramentas e os metadados do evento que são necessários para realizar uma investigação mais profunda sobre os usuários e entidades envolvidos. Além disso, você pode integrar com o Windows Defender Advanced Threat Protection (ATP)  que complementa o contexto de alerta com as operações realizadas nos nós de extremidade envolvidos.

Fonte: https://cloudblogs.microsoft.com/enterprisemobility/2017/09/27/introducing-azure-advanced-threat-protection/

O ATP trabalha em torno de 3 principais motores de identificação de ataques:

Análise comportamental de usuários: Comportamento do perfil de entidade normal x anormal

Análise para ataques e problemas conhecidos: Procura por ataques de segurança conhecidos

Análise avançada de ameaças: Detecta atividades suspeitas de usuários

Conclusão: De uma forma resumida o Azure ATP é uma ferramenta que vai nos ajudar a identificar ataques à credenciais de usuários em ambientes híbridos e de nuvem. Ele pode ser integrado ao Office 365 ATP e também ao Windows Defender ATP (não é o Windows Defender do Windows 10) danto proteção ao nível de url maliciosas e anexos seguros quando se fala de office 365 e em se tratando de antivírus, além da proteção baseada em assinatura de vírus (Dat) também tem a análise do comportamento do usuário que é uma camada a mais.

Daniel Santos – MVP Cloud and Datacenter Management
Twitter: www.twitter.com/danielsantos_ti
Blog: www.wordpress.com/engdanielsantos
Site Corporativo: www.dacnetwork.com.br

Anúncios
Categorias:Azure ATP, Windows Azure
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s

%d blogueiros gostam disto: