Контакты

  info@windows-soft.ru
  8 (800) 555 57 22
8 (495) 788 17 71
0

Microsoft Azure Advanced Threat Protection

Azure Advanced Threat Protection for Users на 1 месяц

396 е


Артикул:NDa19a625a
Платформа:Облачная
Тип поставки:Электронная
Язык интерфейса:Мультиязычный
Срок поставки:1-3 дня
Примечание:Доступ к облачному решению на 1 месяц.

Azure Advanced Threat Protection for Users на 12 месяцев

4 512 е


Артикул:NDa19a625a-Y
Платформа:Облачная
Тип поставки:Электронная
Язык интерфейса:Мультиязычный
Срок поставки:1-3 дня
Примечание:Доступ к облачному решению на 1 год.

Подробное описание

Принцип действия Azure ATP


Microsoft Azure ATP, купить который Вы можете купить в нашем интернет-магазине по низкой цене, использует собственный механизм сетевого анализа для сбора и проверки сетевого трафика по нескольким протоколам проверки подлинности, авторизации и сбора информации (Kerberos, DNS, RPC, NTLM и другие). Microsoft Azure ATP собирает эти сведения с использованием одного из следующих механизмов:


  • развертывание датчиков Microsoft Azure ATP непосредственно на контроллерах домена;
  • зеркальное отображение портов с контроллеров домена и DNS-серверов на автономный датчик Microsoft Azure ATP.

Microsoft Azure ATP собирает сведения из множества источников данных, таких как журналы и события в вашей сети, на основе которых изучает поведение пользователей и других сущностей в организации и создает их поведенческие профили. Microsoft Azure ATP может получать события и журналы из следующих источников:


  • интеграция SIEM;
  • пересылка событий Windows (WEF).
  • непосредственно из сборщика событий Windows (для датчика);
  • учет RADIUS из VPN.

Что делает Microsoft Azure ATP?


Технология Microsoft Azure ATP выявляет различные подозрительные действия, относящиеся к различным этапам проведения кибератак, в том числе перечисленные ниже.

  • Разведка, в ходе которой злоумышленники собирают сведения о конфигурации среды, выявляют действующие активы и сущности и разрабатывают общий план для следующих этапов атаки.
  • Боковое смещение, в ходе которого злоумышленник стремится захватить максимальное пространство внутри сети.
  • Захват контроля (устойчивости), нацеленный на сбор сведений, позволяющих возобновить атаку с использованием различных точек входа, учетных данных и методов.

Эти этапы кибератак достаточно схожи и предсказуемы при любых методах нападения на организацию и любых целях атаки. Microsoft Azure ATP выявляет три основных вида угроз: вредоносные атаки, аномальное поведение и проблемы, а также риски безопасности.

Вредоносные атаки обнаруживаются детерминированно, а также путем анализа аномального поведения. Далее приводится полный список известных типов атак:


  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Forged PAC (MS14-068)
  • Golden ticket
  • Вредоносные запросы на репликацию
  • Перечисление служб каталогов
  • перечисление сеансов SMB;
  • Разведывательная атака, направленная на DNS
  • Горизонтальная атака методом подбора
  • Вертикальная атака методом подбора
  • использование мастер-ключа;
  • Необычный протокол
  • Переход на более слабое шифрование
  • Удаленное выполнение.
  • Создание вредоносной службы

Microsoft Azure ATP обнаруживает эти подозрительные действия и передает на портал рабочей области Azure ATP соответствующую информацию, включая четкое описание "кто, что, как и когда" делал. В этом примере вы видите, что на этой несложной и удобной панели представлена информация о предполагаемой атаке Pass-the-Ticket на компьютерах Client 1 и Client 2 в сети.


пример экрана Azure ATP для атаки pass-the-ticket


Microsoft Azure ATP также выявляет проблемы и риски безопасности, в том числе перечисленные ниже.


  • Слабые протоколы
  • Известные уязвимости протоколов
  • Путь бокового смещения к конфиденциальным учетным записям

Типы угроз, которые ищет Microsoft Azure ATP


Microsoft Azure ATP обнаруживает события на следующих этапах продвинутой атаки: разведка, компрометация учетных данных, боковое смещение, повышение привилегий, полное управление доменом и т. д. При этом продвинутые атаки и внутренние угрозы обнаруживаются, прежде чем они смогут нанести ущерб организации.

На каждом этапе выявляется несколько подозрительных действий, которые относятся к проверяемому этапу. При этом каждое подозрительное действие сопоставляется с различными видами возможных атак. Эти этапы процесса атаки, на которых Microsoft Azure ATP в настоящее время выявляет угрозы, выделены в следующем изображении:


Особое внимание Azure ATP уделяет действиям бокового смещения в процессе атаки