Microsoft vient de publier une mise à jour 1.6 pour Microsoft Advanced Threat Analytics (ATA). Depuis maintenant plusieurs mois des cyber-attaques retentissantes se suivent ! Que l’on parle de Sony, Target, Orange, etc. Tous ont été touchés par des attaques suivies par des fuites de données sensibles. Dans 75 % des cas, l’intrusion réseau est due à une compromission des identifiants utilisateurs. Les attaquants ont changé leurs habitudes en utilisant les outils d’administration légitimes plutôt que des logiciels malveillants afin de se rendre invisibles et indétectables. Dans les attaques ciblées, les pirates peuvent mettre au point des logiciels dédiés à l’attaque pour ne pas détecter par les antivirus. Devant cette problématique latente, Microsoft a lancé une solution on-premises pour identifier les attaques de sécurité avancées avant qu’elles ne causent des dommages à l’entreprise. Microsoft Advanced Threat Analytics (ATA) est basée sur la technologie d’Aorato rachetée l’an dernier.
Microsoft Advanced Threat Analytics est construit sur l’analyse du comportement combiné avec la détection en temps réel des tactiques, Techniques et Procédures (TTPs) des attaquants. La solution utilise donc la technologie Deep Packet Inspection (DPI) pour analyser le trafic réseau Active Directory ainsi que les informations de sécurité et d’événements (SIEM). L’analyse comportementale ne nécessite pas la création de règles ou de stratégie, ni le déploiement d’agents. L’outil apprend continuellement des analyses effectuées. Ces techniques permettent de construire une carte et des profils pour identifier les comportements anormaux, les attaques avancées et les problèmes de sécurité connus. La solution permet de réduire considérablement les faux positifs liés à des profils définis. Le comportement de l’analyse est contextualisé en fonction des données passées et des différentes phases d’apprentissage.
Les nouveautés de cette mise à jour sont les suivantes :
- Nouvelles détections : Les requêtes DPAPI malicieuses, les requêtes de réplication malicieuses, les énumérations de session Net et plus.
- Amélioration des détections existantes : Amélioration de la logique de détection réduisant les faux positifs et faux négatifs.
- ATA Lightweight Gateway : Une nouvelle option de déploiement permet le déploiement de la Gateway ATA directement sur le contrôle de domaine éliminant ainsi la nécessité de configurer le mirroring de ports.
- Réduction par 5 du stockage : La base de données ne requiert plus que 20% de l’espace précédemment utilisé.
- Amélioration des performances : La base de données allégée et les nouveaux moteurs de détection permettent de superviser plus de contrôleur de domaine par un même ATA Center
- Support d’IBM QRadar : ATA permet la réception des évènements à partir de la solution IBM QRadar SIEM en plus de celles déjà supportées (RSA, HP Arcsight et Splunk).
