Microsoft Advanced Threat Analytics (ATA) - платформа для защиты от кибератак и внутренних угроз

Microsoft Advanced Threat Analytics (ATA) - платформа для локальной сети, которая помогает защитить организацию от многих типов современных целевых кибератак и внутренних угроз

Типы угроз, которые ищет ATA

ATA обнаруживает события на следующих этапах продвинутой атаки: разведка, компрометация учетных данных, боковое смещение, повышение привилегий, полное управление доменом и т. д. При этом продвинутые атаки и внутренние угрозы обнаруживаются, прежде чем они смогут нанести ущерб организации. На каждом этапе выявляется несколько подозрительных действий, которые относятся к проверяемому этапу. При этом каждое подозрительное действие сопоставляется с различными видами возможных атак. Эти этапы процесса атаки, на которых ATA в настоящее время выявляет угрозы, выделены на рисунке ниже.



Установка ATA

Инструкции по развертыванию, настройке и запуску решения ATA

Шаг 1. Скачивание и установка центра ATA.
Шаг 2. Настройка параметров подключения для домена шлюза ATA.
Шаг 3. Скачивание пакета установки шлюза ATA
Шаг 4. Установка шлюза ATA.
Шаг 5. Настройка параметров шлюза ATA.
Шаг 6. Настройка пользователя Honeytoken

Возможности ATA

Технология ATA выявляет различные подозрительные действия, относящиеся к различным этапам проведения кибератак, в том числе перечисленные ниже.
• Разведка, в ходе которой злоумышленники собирают сведения о конфигурации среды, выявляют действующие активы и сущности и разрабатывают общий план для следующих этапов атаки.
• Боковое смещение, в ходе которого злоумышленник стремится захватить максимальное пространство внутри сети.
• Захват контроля (устойчивости), нацеленный на сбор сведений, позволяющих возобновить атаку с использованием различных точек входа, учетных данных и методов.
Эти этапы кибератак достаточно схожи и предсказуемы при любых методах нападения на организацию и любых целях атаки. ATA выявляет три основных вида угроз: атака злоумышленников, аномальное поведение и проблемы/риски безопасности.
Атаки злоумышленников определяются детерминировано по полному списку известных типов атак, в том числе:
• Pass-the-Ticket (PtT)
• Pass-the-Hash (PtH)
• Overpass-the-Hash
• Forged PAC (MS14-068)
• Golden ticket
• Вредоносные запросы на репликацию
• Разведывательная атака
• Атака методом подбора
• Удаленное выполнение.
Часто задаваемые вопросы об ATA
https://docs.microsoft.com/ru-ru/advanced-threat-analytics/understand-explore/ata-technical-faq
 
 

Azure RMS. Часть 1. Предварительные действия

Azure RMS. Часть 1. Предварительные действия




RMS - служба управления правами Microsoft. За последнее время RMS сменил несколько названий: Active Directory Rights Management Service (для локальной среды Active Directory), Azure Active Directory Rights Management, Azure Information Protection.

Другие названия службы Azure Information Protection https://docs.microsoft.com/ru-ru/information-protection/understand-explore/aka

Поскольку поддержка RMS для локальной среды Active Directory прекратится 31 января 2018 года, то останется только облачная служба управления правами и далее она будет называться Azure Information Protection, но для краткости в инструкциях будем использовать - RMS.



Часть 1. Предварительные действия
Часть 2. Удаление предыдущей версии Azure Active Directory Connector
Часть 2. Установка новой версии Azure Active Directory Connector
Часть 3. Продолжение установки после прерывания в результате ошибки
Часть 4. Синхронизация информации

1. Добавление тестовых лицензиий Office 365 (лицензий Службы управления правами)
2. Добавление настроек параметров локальной среды Active Directory

Часть 5. Подключение к своей подписке Office 365

1. Ошибка Доменное имя уже добавлено в другой клиент Office 365
2. Выключение синхронизации через PowerShell
3. Удаление пользователей в домене
4. Удаление домена
5. Подключение к своей подписке Office 365
6. Подтверждение добавленного домена
7. Ошибка записей, хранящихся у регистратора
8. Синхронизация учетных записей

Часть 6. Настройка шаблонов RMS

1. Регистрация подписки в Azure
2. Настройка шаблонов RMS в Azure
3. Недоступность портала manage.windowsazure.com

Получение бесплатной 30-дневной пробной версии Enterprise Mobility + Security

Для начала заходим на сайт https://www.microsoft.com/ru-ru/cloud-platform/enterprise-mobility-security-trial и скачиваем бесплатную 30-дневную пробную версию Enterprise Mobility + Security E5, в которую входят лицензии RMS.



Сама процедура регистрации очень проста и не вызовет затруднений, если Вы регистрировали хоть раз любую учетную запись в сети Интернет. Кстати, если у Вас уже есть учетная запись или существующая подписка, то после заполнения формы нажимаем не кнопку Далее, а сразу кнопку Войти:



Azure Active Directory Connector

Azure Active Directory Connector - приложение, которое позволяет установить синхронизацию между локальной средой службы каталогов Active Directory и Azure Active Directory.

Для выполнения приложения Azure Active Directory Connector потребуется стандартный сервер на Windows Server 2012 R2 с объемом ОЗУ 2 GB.

Предварительные требования к компонентам

Также желательно прочесть сначала документ Перед установкой Azure AD Connect

Примечание.
Если ранее в тестовых целях выполнялась установка и настройка Azure Active Directory Connector , то необходимо проверить версию приложения и сравнить ее с версией на сайте загрузок Microsoft.

Например, локальная версия:


( Read more... )

Инженер Google сравнил антивирусы с мёртвой канарейкой

Инженер Google сравнил антивирусы с мёртвой канарейкой

https://geektimes.ru/post/282760/