Microsoft Advanced Threat Analytics (ATA) 是微软新推出的威胁分析产品,主要对在后台运行,并自动分析,学习,并确定在网络上的正常行为,提醒您注意可能出现的安全问题,例如:

  • 异常的用户行为:ATA使用行为分析和自我学习,发现可疑的活动和行为异常的登陆,以及异常资源的访问,异常的工作时间,未知的威胁,密码共享和横向运动。

  • 恶意攻击:ATA检测已知的恶意攻击,包括票据的传输,伪造,侦查,远程执行等。

  • 已知的安全问题和风险:ATA识别已知的安全问题,如损坏的信任,弱协议和已知的协议漏洞。

Microsoft Advanced Threat Analytics (ATA) 是一款内部部署产品,可通过 Active Directory 及安全信息和事件管理系统自动分析、学习并识别正常和不正常的实体(用户、设备和资源)行为,帮助 IT 安全专业人士保护其企业免受针对性的高级攻击的威胁。ATA 还可通过安全研究员跨地区及在全球范围内的合作,帮助识别已知恶意攻击、安全问题和风险。检测到可疑活动后,它会在简单、方便的信息提要中提供清晰的相关威胁信息。

微软的ATA结构非常简单,主要有2个部份:一个ATA中心和一个ATA网关。

ATA中心:

  • 管理ATA网关配置设置

  • 从ATA网关接收数据

  • 检测可疑的活动和行为

  • 支持多个ATA网关

  • 运行ATA管理控制台

  • 可选:ATA中心可以被配置为当检测到可疑活动时发送电子邮件,讲事件发送到您的安全信息和事件管理(SIEM)系统。

ATA网关:

  • 通过端口镜像捕获并检查域控制器的网络流量

  • 接收从SIEM或Syslog服务器事件

  • 从域中检索用户和计算机数据

  • 网络监控能力(用户和计算机)

  • 传输相关数据到ATA中心

  • 监视多个域控制到一个ATA网关

对于ATA的部署架构也非常简单,不需要改变现有的环境以及安装agent,只需要把域控的流量镜像给我们的ATA网关,再有我们的ATA网关将数据传输给我们的ATA中心进行分析处理展现,当然还不需要什么高级的权限,一个普通的域帐户就可以实现对身份访问的高级安全分析。

这样的架构非常适合在不同分支机构部署多个ATA网关,然后在总部一个ATA中心即可完成身份威胁的分析及预警了,是不是很酷。

ATA主要针对的是身份威胁分析,因此主要是针对企业的AD系统自己完成行为学习到行为分析再到威胁行为的警告通知,例如:

可以发现我的企业环境中以往遭受过的蛮力攻击,哪些帐户受到影响:

分析用户或计算机的行为,活动状态,以及最后访问的计算机资源以及最后登陆过的域内计算机

同时可以发现企业内部的计算机或用户存在密码泄漏或正在被当作肉鸡的帐户发起攻击时的所有行为操作进行警告提醒。

这个好东西唯一的缺点就是没有在我们国家提供,而且没有中文,这是最为遗憾的,当然最为技术爱好者来说,给大家分享下这个产品并把试用的结果分享出来还是非常有意义的。

在这里非常感谢王老师(http://wzde2012.blog.51cto.com/)的介绍以及引导让我对此产品产生了极大的兴趣并测试了一把。

谢谢大家。

本文转自 ZJUNSEN 51CTO博客,原文链接:http://blog.51cto.com/rdsrv/1719522,如需转载请自行联系原作者

Advanced Threat Analytics 2016相关推荐

  1. Microsoft Advanced Threat Analytics

    https://docs.microsoft.com/en-us/advanced-threat-analytics/what-is-ata https://www.microsoft.com/en- ...

  2. Windows Defender Advanced Threat Protection

    今天终于把Windows 10 专业版 AU上的WDATP启动了,因为我有了授权,终于有机会玩一玩WDATP这企业级的最强微软安全产品了. 服务端截图 系统上的日志 不过这家伙占CPU非常严重啊 可以 ...

  3. O365 EMS M365的区别?

    目录 O365是什么? EMS是什么? M365是什么? O365 & EMS & M365的区别 注意事项 O365是什么? O365全称Office 365,是微软推出的一款生产力 ...

  4. Avast:两年内第二起针对CCleaner的内网入侵活动

    捷克网络安全软件制造商Avast近期公开了一起影响其内部网络安全的事件. 在发布的一份声明中,该公司表示,有外部攻击者入侵了公司内部网络,而攻击者的目的是往CCleaner软件中植入后门,就像2017 ...

  5. 如何对AD和Exchange进行安全加固满足护网需要?

    自2017年WannaCry病毒席卷全球之后,持续演变,挖矿及勒索病毒数量两年暴涨1500%,现已成为网络安全的最大威胁,而勒索金额也从以往的以万为单位飙升到百万美元级别. AD域由于存在着大量的特权 ...

  6. What is the purpose for IT Pro in Windows 10 Creators Update

    Windows 10, version 1703-also known as the Windows 10 Creators Update-is designed for today's modern ...

  7. UEBA——通过用户画像识别安全威胁

    UEBA and Machine Learning - Download Free Guide for CISOs‎ Adinfo.niara.com/UEBA/Guide-For-CISOs‎ Le ...

  8. IBM Security Guardium V10的新增功能

    编者注:有关V10.1.2的更新和增强,请参阅较新的文章"新的和增强的Guardium离群值检测". 主要版本-这就是原因! 今天的数据保护世界比以往任何时候都更加复杂. 数据收集 ...

  9. 授人以鱼不如授人以渔——CPU漏洞的Symantec解决之道

    授人以鱼不如授人以渔 --CPU漏洞的Symantec解决之道 前言 1月4日,国外安全研究机构公布了两组CPU漏洞,由于漏洞严重而且影响范围广泛,引起了全球的关注,成为2018开年以来第一个信息安全 ...

最新文章

  1. 《线性代数》概念定理大全!
  2. MySQL删除数据库(DROP DATABASE语句)
  3. Network 之二 Ethernet(以太网)中的 MAC、MII、PHY 详解
  4. FileSystemObject和Folders使用详细介绍
  5. 20145226夏艺华 《Java程序设计》第2周学习总结
  6. Java利用jacob实现文档格式转换
  7. python切换虚拟环境和全局_为什么python虚拟环境启动后依然使用全局的python和pip...
  8. 第五章 shell学习之文件的排序、合并和分割
  9. CAD文字快速添加框
  10. 微信小程序video控件的使用
  11. 百宝云常用运算符教程
  12. CSS3的癫疯展示——3D立方体动画(你要的全景视图来了)
  13. 一图带你了解全球疫情爆发背后的隐藏机会
  14. Stderr: VBoxManage.exe: error: VT-x is not available (VERR_VMX_NO_VMX) VBoxM
  15. 记一次安装 ubuntu 18.04 双系统 (双硬盘)
  16. 【leetcode】108. 将有序数组转换为二叉搜索树
  17. 打印机共享后每天要重新连接
  18. 一套史诗级版vue详解!
  19. 最大公共字符串,最大公共子序列,编辑距离,myers等算法
  20. 东方博宜OJ——1.整数运算题解

热门文章

  1. 编写第二个页面:新闻阅读列表页面
  2. 【原创】MySQL里求给定的时间是所在月份的第几个礼拜
  3. 《BI那点儿事》数据流转换——派生列
  4. Sql Server系列:键和约束
  5. 云计算与虚拟化了解二三事
  6. eclipse项目中关于导入的项目里提示HttpServletRequest 不能引用的解决办法
  7. Server 2008 R2 AD RMS完整部署:一、用户创建篇
  8. wamp下更改mysql密码
  9. Windows系统克隆***与防范
  10. 链接选项 rpath 的原理和应用