Hier je vous parlais de la sortie de la version 1.9 de Microsoft ATA. Il y a un mois, Microsoft annonçait le lancement d’Azure Advanced Threat Protection (ATP). Cette solution Cloud est l’équivalent d’ATA en apportant :
- Une détection et une identification des activités suspectes des utilisateurs et des périphériques à l'aide du Machine Learning combiné à des détections techniques connues.
- L’exploitation des signaux provenant du Cloud et de votre infrastructure On-Premises.
- L’utilisation du Graph Microsoft Intelligent Security.
- Protéger les identités et les identifiants des utilisateurs stockées dans Active Directory.
- Fournir des informations d'attaque claires sur une ligne de temps simple pour un triage rapide.
- Surveillez plusieurs points d'entrée grâce à l'intégration avec Windows Defender Advanced Threat Protection.
Azure ATP analyse donc le trafic réseau des différents protocoles (Kerberos, DNS, RPC, NTLM, etc.). Vous pouvez déployer des capteurs sur les contrôleurs de domaine ou des gateways qui écouteront les communications à destination des contrôleurs de domaine et DNS via un le principe de port mirroring. En outre, ATP peut recevoir des événements depuis une SIEM, via Windows Event Forwarding, depuis le collecteur d’événements de Windows. Parmi les attaques connus qu’Azure ATP sait détecter, on retrouve :
- Pass-the-Ticket (PtT)
- Pass-the-Hash (PtH)
- Overpass-the-Hash
- Faux PAC (MS14-068)
- Golden Ticket
- Réplication malveillante
- Énumération des services d’annuaires
- Énumération des sessions SMB
- Reconnaissance DNS
- Force brute horizontale
- Force brute verticale
- Skeleton Key
- Protocole inhabituel
- Passage à une version antérieure du chiffrement
- Exécution à distance
- Création de service malveillant
Azure ATP fait partie de l’abonnement Enterprise Mobility + Security E5 (EMS E5).
Plus d’informations sur : https://docs.microsoft.com/en-us/azure-advanced-threat-protection/atp-technical-faq
