O Azure Advanced Threat Protection (Também conhecido como Azure ATP [Proteção Avançada contra Ameaças do Azure]) é uma solução de segurança baseada em nuvem que aprimora os sinais locais do Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações de pessoas internas mal-intencionadas, direcionadas à sua organização. O Azure ATP permite aos analistas de SecOp e profissionais de segurança que lutam para detectar ataques avançados em ambientes híbridos:
- Monitorar usuários, comportamento de entidade e atividades com a análise baseada em aprendizado
- Proteger as identidades do usuário e as credenciais armazenadas no Active Directory
- Identificar e investigar atividades de usuário suspeitas e ataques avançados em toda a cadeia do ataque cibernético
- Fornecer informações claras sobre incidentes em uma linha do tempo simples para triagem rápida
Visando demonstrar as principais funções do Azure ATP seguem 4 Funções do produto que você precisa conhecer:
1. Investigar alertas e atividades do usuário
O ATP do Azure foi projetado para reduzir o ruído de alerta geral, fornecendo apenas alertas de segurança importantes e relevantes em uma linha do tempo de ataque organizacional simples e em tempo real. A exibição da linha do tempo do ataque do Azure ATP permite que você mantenha facilmente o foco no que importa, aproveitando a inteligência de análise inteligente. Use o ATP do Azure para investigar rapidamente as ameaças e receber insights de toda a organização sobre usuários, dispositivos e recursos de rede.
2. Proteger as identidades de usuário e reduzir a superfície de ataques
Azure Advanced Threat Protection (Azure ATP) fornece insights valiosos sobre as configurações de identidade e as melhores práticas de segurança. Por meio de relatórios de segurança e análise de perfil do usuário, o ATP do Azure ajuda a reduzir drasticamente a superfície de ataque organizacional, tornando mais difícil comprometer as credenciais do usuário e avançar com um ataque. Os Caminhos de Movimentação Lateral visuais do Azure ATP ajudam você a compreender rapidamente exatamente como um invasor pode mover-se lateralmente dentro da sua organização para comprometer contas confidenciais e ajuda a impedir esses riscos com antecedência. Os relatórios de segurança do ATP do Azure ajudam a identificar os usuários e dispositivos autenticados por senhas com texto não criptografado e fornecem insights adicionais para melhorar suas políticas e a postura de segurança organizacional.
3. Monitorar e criar perfis de comportamento e de atividades do usuário
O Azure ATP monitora e analisa as atividades do usuário e as informações na sua rede, como permissões e associação de grupo, criando uma linha de base comportamental para cada usuário.Depois, o ATP do Azure identifica anomalias com inteligência interna adaptável, fornecendo a você insights sobre atividades e eventos suspeitos, revelando as ameaças avançadas, os usuários comprometidos e as ameaças internas voltadas para a sua organização. Os sensores proprietários do Azure ATP monitoram controladores de domínio organizacional, oferecendo uma exibição abrangente de todas as atividades do usuário de todos os dispositivos.
4. Identificar atividades suspeitas e ataques avançados em toda a cadeia do ataque cibernético
Normalmente, os ataques são iniciados contra qualquer entidade acessível, como um usuário com poucos privilégios e, em seguida, se movem lateralmente com rapidez até que o invasor obtenha acesso a ativos valiosos – como contas confidenciais, administradores de domínio e dados altamente confidenciais. O ATP do Azure identifica essas ameaças avançadas na origem em toda a cadeia de ataque cibernético:
Reconhecimento: Identifique os usuários invasores e as tentativas de invasores para obter informações. Os invasores estão buscando informações sobre nomes de usuário, associação de grupo de usuários, endereços IP atribuídos aos dispositivos, recursos e muito mais, usando diversos métodos.
Credenciais comprometidas: Identifique as tentativas de comprometer as credenciais do usuário usando ataques de força bruta, autenticações com falha, alterações na associação de grupo e outros métodos.
Movimentação lateral: Detecte as tentativas de se mover lateralmente na rede para obter mais controle sobre usuários confidenciais utilizando métodos como Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash e muito mais.
Predominância de domínio: Destaque o comportamento do invasor caso ele venha comandar o domínio, por meio de execução remota de código no controlador de domínio e métodos como Sombra do controlador de domínio, replicação do controlador de domínio mal-intencionado, atividades de Golden Ticket e muito mais.
Quer tornar-se um especialista em produtos Microsoft?
Quer aprender mais sobre os produtos oferecidos pela Microsoft? O Microsoft Club possui tudo que você precisa saber para entrar no mercado de Cloud inscreva-se no Microsoft Club e confira.