Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Microsoft vient de publier une mise à jour pour Microsoft Advanced Threat Analytics 1.7 (ATA). Depuis maintenant plusieurs mois des cyber-attaques retentissantes se suivent ! Que l’on parle de Sony, Target, Orange, etc. Tous ont été touchés par des attaques suivies par des fuites de données sensibles. Dans 75 % des cas, l’intrusion réseau est due à une compromission des identifiants utilisateurs. Les attaquants ont changé leurs habitudes en utilisant les outils d’administration légitimes plutôt que des logiciels malveillants afin de se rendre invisibles et indétectables. Dans les attaques ciblées, les pirates peuvent mettre au point des logiciels dédiés à l’attaque pour ne pas détecter par les antivirus. Devant cette problématique latente, Microsoft a lancé une solution on-premises pour identifier les attaques de sécurité avancées avant qu’elles ne causent des dommages à l’entreprise. Microsoft Advanced Threat Analytics (ATA) est basée sur la technologie d’Aorato rachetée l’an dernier.

Microsoft Advanced Threat Analytics est construit sur l’analyse du comportement combiné avec la détection en temps réel des tactiques, Techniques et Procédures (TTPs) des attaquants. La solution utilise donc la technologie Deep Packet Inspection (DPI) pour analyser le trafic réseau Active Directory ainsi que les informations de sécurité et d’événements (SIEM). L’analyse comportementale ne nécessite pas la création de règles ou de stratégie, ni le déploiement d’agents. L’outil apprend continuellement des analyses effectuées. Ces techniques permettent de construire une carte et des profils pour identifier les comportements anormaux, les attaques avancées et les problèmes de sécurité connus. La solution permet de réduire considérablement les faux positifs liés à des profils définis. Le comportement de l’analyse est contextualisé en fonction des données passées et des différentes phases d’apprentissage.

Cette mise à jour 1 corrige les problèmes suivants :

  • Echec de la migration à partir d’ATA v1.6 (1.6.4103) ou ATA v1.6 Update 1 (1.6.4317) pour la version 1.7 ATA (1.7.5402) avec un code d’erreur de 0 x 80070643.
  • Une fois que vous avez migrez vers ATA 1.7 (1.7.5402). ATA génère toujours des notifications pour les activités suspectes dont l’état est devenu « dismissed »
  • ATA génère un grand nombre d’activités suspicieuses "Reconnaissance using directory services enumeration" après que vous ayez migré ou installé ATA v1.7 (1.7.5402).

Les nouveautés de la version 1.7 sont les suivantes :

  • Nouvelles détections : Reconnaissance en utilisant Directory Services Enumeration.
  • Amélioration des détections existantes : Amélioration de la détection du Pass-The-Hash, Pass-The-Ticket, et Unusual Protocol Implementation.
  • ATA Gateway et Lightweight Gateway supportent maintenant Windows Server 2016 dont Server Core.
  • Introduction de Role Based Access Control (RBAC) pour gérer les options de délégation.
  • Amélioration de l’expérience de configuration.

Plus d'informations sur : https://blogs.technet.microsoft.com/enterprisemobility/2016/08/31/introducing-advanced-threat-analytics-v1-7/

Télécharger Microsoft Advanced Threat Analytics 1.7 with Update 1 (upgrade only version)

Facebook Like