Microsoft Azure Advanced Threat Protection

Принцип действия Azure ATP

Microsoft Azure ATP, купить который Вы можете купить в нашем интернет-магазине по низкой цене, использует собственный механизм сетевого анализа для сбора и проверки сетевого трафика по нескольким протоколам проверки подлинности, авторизации и сбора информации (Kerberos, DNS, RPC, NTLM и другие). Microsoft Azure ATP собирает эти сведения с использованием одного из следующих механизмов:

• развертывание датчиков Microsoft Azure ATP непосредственно на контроллерах домена;
• зеркальное отображение портов с контроллеров домена и DNS-серверов на автономный датчик Microsoft Azure ATP.

Microsoft Azure ATP собирает сведения из множества источников данных, таких как журналы и события в вашей сети, на основе которых изучает поведение пользователей и других сущностей в организации и создает их поведенческие профили. Microsoft Azure ATP может получать события и журналы из следующих источников:

• интеграция SIEM;
• пересылка событий Windows (WEF).
• непосредственно из сборщика событий Windows (для датчика);
• учет RADIUS из VPN.

Что делает Microsoft Azure ATP?

Технология Microsoft Azure ATP выявляет различные подозрительные действия, относящиеся к различным этапам проведения кибератак, в том числе перечисленные ниже.

• Разведка, в ходе которой злоумышленники собирают сведения о конфигурации среды, выявляют действующие активы и сущности и разрабатывают общий план для следующих этапов атаки.
• Боковое смещение, в ходе которого злоумышленник стремится захватить максимальное пространство внутри сети.
• Захват контроля (устойчивости), нацеленный на сбор сведений, позволяющих возобновить атаку с использованием различных точек входа, учетных данных и методов.

Эти этапы кибератак достаточно схожи и предсказуемы при любых методах нападения на организацию и любых целях атаки. Microsoft Azure ATP выявляет три основных вида угроз: вредоносные атаки, аномальное поведение и проблемы, а также риски безопасности.

Вредоносные атаки обнаруживаются детерминированно, а также путем анализа аномального поведения. Далее приводится полный список известных типов атак:

• Pass-the-Ticket (PtT)
• Pass-the-Hash (PtH)
• Overpass-the-Hash
• Forged PAC (MS14-068)
• Golden ticket
• Вредоносные запросы на репликацию
• Перечисление служб каталогов
• перечисление сеансов SMB;
• Разведывательная атака, направленная на DNS
• Горизонтальная атака методом подбора
• Вертикальная атака методом подбора
• использование мастер-ключа;
• Необычный протокол
• Переход на более слабое шифрование
• Удаленное выполнение.
• Создание вредоносной службы

Microsoft Azure ATP обнаруживает эти подозрительные действия и передает на портал рабочей области Azure ATP соответствующую информацию, включая четкое описание "кто, что, как и когда" делал. В этом примере вы видите, что на этой несложной и удобной панели представлена информация о предполагаемой атаке Pass-the-Ticket на компьютерах Client 1 и Client 2 в сети.

Microsoft Azure ATP также выявляет проблемы и риски безопасности, в том числе перечисленные ниже.

• Слабые протоколы
• Известные уязвимости протоколов
• Путь бокового смещения к конфиденциальным учетным записям

Типы угроз, которые ищет Microsoft Azure ATP

Microsoft Azure ATP обнаруживает события на следующих этапах продвинутой атаки: разведка, компрометация учетных данных, боковое смещение, повышение привилегий, полное управление доменом и т. д. При этом продвинутые атаки и внутренние угрозы обнаруживаются, прежде чем они смогут нанести ущерб организации.

На каждом этапе выявляется несколько подозрительных действий, которые относятся к проверяемому этапу. При этом каждое подозрительное действие сопоставляется с различными видами возможных атак. Эти этапы процесса атаки, на которых Microsoft Azure ATP в настоящее время выявляет угрозы, выделены в следующем изображении: