Microsoft vient de publier une mise à jour 1.8 pour Microsoft Advanced Threat Analytics (ATA). Depuis maintenant plusieurs mois des cyber-attaques retentissantes se suivent ! Que l’on parle de Sony, Target, Orange, etc. Tous ont été touchés par des attaques suivies par des fuites de données sensibles. Dans 75 % des cas, l’intrusion réseau est due à une compromission des identifiants utilisateurs. Les attaquants ont changé leurs habitudes en utilisant les outils d’administration légitimes plutôt que des logiciels malveillants afin de se rendre invisibles et indétectables. Dans les attaques ciblées, les pirates peuvent mettre au point des logiciels dédiés à l’attaque pour ne pas détecter par les antivirus. Devant cette problématique latente, Microsoft a lancé une solution on-premises pour identifier les attaques de sécurité avancées avant qu’elles ne causent des dommages à l’entreprise. Microsoft Advanced Threat Analytics (ATA) est basée sur la technologie d’Aorato rachetée l’an dernier.
Microsoft Advanced Threat Analytics est construit sur l’analyse du comportement combiné avec la détection en temps réel des tactiques, Techniques et Procédures (TTPs) des attaquants. La solution utilise donc la technologie Deep Packet Inspection (DPI) pour analyser le trafic réseau Active Directory ainsi que les informations de sécurité et d’événements (SIEM). L’analyse comportementale ne nécessite pas la création de règles ou de stratégie, ni le déploiement d’agents. L’outil apprend continuellement des analyses effectuées. Ces techniques permettent de construire une carte et des profils pour identifier les comportements anormaux, les attaques avancées et les problèmes de sécurité connus. La solution permet de réduire considérablement les faux positifs liés à des profils définis. Le comportement de l’analyse est contextualisé en fonction des données passées et des différentes phases d’apprentissage.
Les nouveautés de cette mise à jour sont les suivantes :
- Amélioration des performances de l’ATA Center pour gérer jusqu’à 1M packets par seconde.
- Ajout des journaux d’audits dans le journal d’événéments pour l’ATA Center et les ATA Gateways
- Nouvelles détections :
- Modification anormale de groupes sensibles.
- Echecs d’authentification suspicieux (Comportement de type brute force)
- Tentative d’exécution à distance – WMI exec.
- Amélioration du tri des activités suspicieuses en permettant les exclusions d’entités, la suppression d’une activité suspicieuse récurrente de l’alerting, la suppression des activités suspicieuses de la timeline d’attaques.
- De nouveaux rapports permettant l’investigation avec un rapport de résumé, et un rapport affichant les groupes sensibles.
Plus d'informations sur : https://blogs.technet.microsoft.com/enterprisemobility/2017/07/26/introducing-microsoft-advanced-threat-analytics-v1-8/
Télécharger Microsoft Advanced Threat Analytics 1.8 (upgrade only version)