Microsoft Advanced Threat Analytics

Microsoft Advanced Threat Analytics (ATA) è un prodotto on-premises nato dall’acquisizione da parte di Microsoft di Aorato il 13 Novembre 2014. Aorato è un prodotto dedicato all’Enterprise Security la cui sofisticata tecnologia utilizza machine learning per rilevare attività sospette in una rete aziendale.

Le statistiche sono infatti impietose come era stato dischiarato nella sessione How to protect your corporate from advanced attacks – unveiling Microsoft Advanced Threat Analytics a Microsoft Ignite 2015 la fotografia ad un anno fa della sicurezza aziendale è la seguente:

  • In media le vittime di un attacco impiegano più di 200 giorni a rilevare l’intrusione
  • Il 75% delle intrusioni sono causate da credenziali compromesse

Questo evidenzia che c’è sicuramente un problema a livello di monitoraggio dell’infrastruttura dal punto di vista della sicurezza, il motivo però non è soltanto che le aziende non mettono in campo soluzioni di monitoraggio, ma che spesso le soluzioni di monitoraggio offrono la possibilità di ottenere molti dati ma non offrono soluzioni semplici di correlazione degli stessi o meglio ancor di analisi automatizzata e proattività.

Nel post Microsoft Advanced Threat Analytics public preview release is now available! Idan Plotnik (Principal Group Manager del Microsoft Advanced Threat Analytics team ed ex CEO di Aorato) illustra la vision con cui nel 2010 Aorato avevano affrontato le tecnologie che sono alla base di ATA. Ovvero Aorato ha basato lo sviluppo sulla convinzione che l’unico modo per rilevare attacchi avanzati è una combinazione di entità (utenti, dispositivi e risorse), analisi del comportamento che oggi viene definita come User Behavior Analytics (UBA) e rilevazione in tempo reale delle tattiche dell’attaccante definite come Techniques and Procedures (TTPs).

Di seguito i punti chiave che, come riporta Idan Plotnik, sono stati alla base dei ragionamenti in Aorato frutto delle esperienze acquisite nella  protezione delle infrastrutture aziendali da violazioni di sicurezza:

Using only machine learning algorithms in User Behavioral Analytics is not enough to detect advanced attacks: a more comprehensive approach is needed

In most cases, the algorithms will detect anomalies after the fact when there is a good chance the attacker was already successful. The way to detect advanced attacks, is through the combination of detecting security issues and risks, attacks in real-time based on TTPs, and behavioral analysis leveraging Machine Learning algorithms. Only this combined approach gives you a comprehensive, timely view of your security posture.

Analysis of Multiple Data sources is the key to detecting advanced attacks.

Analyzing logs will only tell you half the story and in the worst case will provide you false positives. The real evidence is located in the network packets. This is why you need the combination of deep packet inspection (DPI), log analysis, and information from Active Directory to detect advanced attacks.

Per maggiori informazioni sul funzionamento si veda la descrizione fornita da Idan Plotnik sempre nel post Microsoft Advanced Threat Analytics public preview release is now available!.

Se volete invece approfondire i dettagli implementativi io e Roberto Massa abbiamo pubblicato in ICTPower.it il primo di una serie di articoli su ATA disponibile al seguente Microsoft ATA Advanced Threat Analytics: Architettura di sistema.

ATA è stato reso disponibile in preview il 4 Maggio 2015 ed è stato rilasciato il 27 Agosto 2015 e il 5 Maggio 2016 è stata rilasciata la versione 1.6.

E’ possibile scaricare la versione valutativa di 90 giorni al seguente Microsoft Advanced Threat Analytics | TechNet Evaluation Software.

image

ATA come illustrato in How to buy Advanced Threat Analytics può essere acquistato come prodotto stand-alone mediante una Client Management License (CML) – available per user o per Operating System Environment (OSE) oppure come parte delle seguenti suites:

  • Enterprise Client Access License (CAL) Suite
  • Enterprise Mobility Suite (EMS)
  • Enterprise Cloud Suite (ECS)

Di seguito alcuni dettagli sul licensing disponibili nel Microsoft Advanced Threat Analytics Licensing Datasheet:

A user CML permits the management of any OSE accessed by one user. An OSE CML permits management of one OSE accessed by any user.

ATA licenses are required only for client OSEs (or server OSEs used as client OSEs) that are on or accessed by end user devices authenticated by an Active Directory managed by Advanced Threat Analytics

Q. How many licenses do I have to buy to use ATA?
A. You must license as many users or OSEs as are being monitored by the ATA software. Licenses are only required for client OSEs (or server OSEs used as client OSEs) that are on or accessed by end user devices authenticated by an Active Directory that ATA is monitoring. Therefore the number of licenses you need will depend on:
– The domain controllers you configure ATA to monitor
– The users or user devices contained in the AD forests or domains that are managed by those domain controllers

Q. Why is licensing focused on the OSE, not the user?
A. By licensing all client OSEs (or server OSEs used as client OSEs) that are on or accessed by end user devices, a customer is effectively licensing all users that use those devices. Consequently, customers may find it simpler to license on a per-user basis.

Note that ATA acquired via the ECAL Suite per device license permits monitoring of any OSE on one device
.


Q. Do I need to buy licenses for disabled or inactive users in the Active Directories that ATA is monitoring (e.g. user IDs of former employees that have been disabled, but may still be stored)?

A. No, there is no need to buy licenses for disabled accounts. The ATA product will still monitor all traffic, including any potential authentication attempts using a deactivated user ID, but we do not require you to purchase a license for them.

Q. I have a central SIEM system installed. Do I need to buy separate licenses to monitor SIEM or Syslog server events with ATA?
A. No. While can ATA collect and analyze relevant information from your SIEM or Syslog servers, a separate or additional license is not required to monitor this data source.

Per ulteriori informazioni si veda il Microsoft Advanced Threat Analytics Licensing Datasheet.

[Update 01] E’ disponibile su ICTPower.it il secondo articolo su ATA: Microsoft Advanced Threath Analitycs: Prerequisiti.