Microsoft ATA (Advanced Threat Analytics) fait partie de la suite EMS (Entreprise Mobility + Security) qui vous aide à protéger votre système d’information dans sa globalité en se basant sur un élément essentiel d’une organisation qui est l’annuaire Active Directory.
ATA se base essentiellement sur le trafic Active Directory local de l’organisation pour fonctionner, il est aussi capable de prendre plusieurs informations provenant de plusieurs sources de données tels que les journaux d’évènement Windows, ou depuis un SIEM par exemple.
En d’autres termes, Microsoft ATA utilise un moteur d’analyse réseau propriétaire qui lui permet de capturer et d’analyser le trafic réseau de plusieurs protocoles :
Kerberos
RPC, DNS
NTLM, LDAPEtc…
Une fois le trafic capturé, il est capable grâce à du machine Learning d’analyser le comportement des utilisateurs, des machines et de toutes les entités que constitue votre système d’information pour vous alerter en cas d’attaques informatiques.
Microsoft ATA est capable de détecter toutes sortes d’attaques informatiques connues de nos jours. Il est capable de vous aider à briser les chaines de Cyber attaques qui se composent de trois étapes :
Reconnaissance Générale : c’est la première phase, où l’attaquant essaie d’avoir des informations sur votre environnement interne (c’est-à-dire apprendre votre architecture, voir les composants que vous possédez)
Mouvement latéral : L’attaquant dans cette étape va se propager et étendre sa surface d’attaque au sein du système d’information
Persistance : Cette phase permet à l’attaquant de capturer toutes les informations prises au niveau du système d’information et de capitaliser afin de reprendre son attaque différemment
Ces 3 étapes, sont importantes et si elles sont réalisées, en générale elles font de gros dégâts au niveau des systèmes d’information, de plus, se remettre d’une attaque informatique peut être douloureux financièrement pour une entreprise.
C’est pourquoi Microsoft opte et rachète une société Israélienne spécialisée dans la sécurité et analyse comportemental afin de compléter son offre en sécurité informatique.
ATA détecte et notifie les trois principaux types d’attaques suivantes :
Les attaques malveillantes
Les comportements anormaux
Les risques et problèmes de sécurité
Types d’attaques détectées par Microsoft ATA
Microsoft ATA permet de détecter les types d’attaques les plus connues :
Brute Force
Exécution à distance
Faux PAC (MS14 -068)
Pass-the-Ticket
Pass-the-Hash…
Etc…
Ce contenu vous a plu 🙂 ?
Il s’agit d’un extrait de l’Ultimate Guide sur Microsoft ATA écrit par mon ami Seyfallah TAGREROUT.
Cet eBook vous explique toutes les phases de Design, Architecture, Déploiement et Administration de cette Amazing Technology.
Il est disponible sur BecomeITExpert.com. Consultez cette page pour en savoir plus.
Blog de Hicham KADIRI | Just Another IT Guy 