Teil 2 – Microsoft Advanced Threat Analytics – Identitätsdiebstahl erkennen und verhindern

Im zweiten Teil der Reihe möchten wir unsere Lösung zur Analyse von Verhaltensweisen innerhalb der Windows – Welt vorstellen. Die Rede ist natürlich Microsoft Advanced Thread Analytics (Kurz ATA).

 

 

Mit ATA erhalten wir die Möglichkeit, das Verhalten unserer Benutzer und Entitäten gegenüber den Windows Domaincontroller in unserem Netzwerk zu analysieren und zu überwachen. ATA schützt uns und unsere AD – Benutzer vor Missbrauch, indem es Anomalien und unübliche Zugriffe und Verwendungen erkennt und meldet. Microsofts ATA ist bereits im EM+S E3 Plan enthalten.
Eine Übersicht findet man zur Verdeutlichung nochmal hier.

 

Doch wie funktioniert die Threat Analyse?

ATA arbeitet dabei in vier Schritten:

Erster Schritt ist die Analyse des gesamten Active – Directory Traffics. ATA analysiert mittels detaillierten Paketprüfungstechnologien den Traffic und erfasst alle relevanten Ereignisse. Im nächsten Schritt lernt ATA seine Benutzer kennen. Es werden mittels spezieller Lerntechnologien Profile aus den Verhaltensweisen erstellt. Dabei entsteht der sogenannte Organizational Security Graph. In diesem Graph wird der Zusammenhang von Aktivitäten der Benutzer, der Geräte und der Ressourcen veranschaulicht. Im dritten Schritt sucht ATA nach Anomalien im Verhalten der erkannten Entitäten. Aus solchen Anomalien werden Warnungen erstellt – der vierte und letzte Schritt. Erkennt ATA eine verdächtige Aktivität, bekannte Sicherheitsrisiken oder schädliche Angriffe werden nahezu in Echtzeit übersichtliche, funktionelle und für die Reaktion notwendige Informationen dargestellt.

 

 

Redakt.: Lars Zuckschwerdt