Microsoft Advanced Threat Analytics


Günümüz güvenlik tehditlerinin bir gereksinimi olarak yeni nesil atakların önlenmesi için yeni nesil güvenlik ürünleri kullanılması gerekmektedir. Geleneksel güvenlik çözümlerinin alternatifi olmayan bu ürünler daha çok onların odaklanmadıkları noktalar için özel üretilmiş çözümlerdir. Örneğin bir Firewall, IDS – IPS sistemleri, dışarıdan gelecek tehditlere özel olarak koruma sağlamak için konumlandırılmış ürünlerdir. Benzer şekilde yine bu sistemler içeriden belirli komuta merkezlerine veya yine ulaşmasını istemediğiniz noktalara çıkışı engelleyecek şekilde yapılandırılabilir. İstemci tarafındaki çözümler ise daha çok o bilgisayar veya kullanıcı için bir izleme – koruma sağlar. Bu ürünler hali hazırda olmalı ve caydırıcı etkisini korumalıdır. Ancak değişen saldırı tipleri nedeni ile bu saldırı tiplerinin sonucunda oluşan açıkları kapatmak için yeni nesil güvenlik çözümleri kullanmalıyız. Microsoft ATA böyle bir üründür. Temel olarak şirket içerisindeki tüm Active Directory trafiğini izleyerek DC üzerinden gerçekleşen her kimlik doğrulama ve yetkilendirme işlemlerinin normal olup olmadığını analiz eder. Geleneksel güvenlik çözümlerinden farklı olarak şirket çalışanlarınızın profillerini çıkararak anormal davranışların tespit edilmesini sağlar. Bu sayede örneğin bir şirket çalışanı şifresini çaldırdığı zaman bu şifre ile firewall sistemlerinizi kolaylıkla geçebilir, çünkü elinde geçerli bir anahtar vardır, bu nedenle ne kadar iyi veya pahalı bir firewall’ a sahip olduğunuz bu noktada çokta önemli değildir. Önemli olan şifresi çalınan kişi o saatte sisteme bağlanıyor muydu, bağlandığı makine biliniyor mu? Yani her gün şirkette kullandığı masa üstü bilgisayarı mı yoksa bilinmedik bir makine mi? Her gün bağlandığı kaynaklara mı bağlanıyor yoksa birde eş zamanlı olarak farklı kaynaklara erişmek isteyip verimi çalıyor? İşte bunların hepsi ATA tarafından rahatlıkla tespit edilebilen atak tiplerinden birkaç tanesidir.

Özetle ATA, şirket ortamınız için davranış analizi yaparak ortamınızı öğrenir, daha sonra anormal bir davranış olması halinde bunu size raporlar. Tüm DC trafiğini dinlediği için istemcinin mobile cihaz, vpn network veya şirket içinden gelmiş olmalı önemli değildir, çünkü hangi kaynağa erişmek isterseniz isteyin mutlaka DC de bir log kaydınız olacaktır.  Davranış analizi yanından bilinen ataklara karşıda mevcut veri tabanı ile hızlı bir şekilde raporlama sunar. Ürün hakkında daha fazla bilgi ve kurulum detayları için aşağıdaki videoları ve makaleleri inceleyebilirsiniz

https://channel9.msdn.com/Blogs/HakanUzuner/Microsoft-Advanced-Threat-Analytics-ATA-Nedir-Nasl-alr

http://www.cozumpark.com/blogs/cloud_computing/archive/2015/08/30/microsoft-advanced-threat-analytics-bolum1-what-is-ata.aspx

http://www.cozumpark.com/blogs/cloud_computing/archive/2015/08/30/microsoft-advanced-threat-analytics-bolum2-planning-and-requirements.aspx

http://www.cozumpark.com/blogs/cloud_computing/archive/2015/08/30/microsoft-advanced-threat-analytics-bolum3-deployment-guide-lab-_3101_nstallation.aspx

http://www.cozumpark.com/blogs/cloud_computing/archive/2015/08/30/microsoft-advanced-threat-analytics-bolum4-configure-event-collection.aspx