微軟針對內部使用者的存取行為監控,推出Advanced Threat Analytics(ATA),主打與自家的Active Directory(AD)目錄服務深度整合,可依附於AD網域樹系的架構之中,是微軟近期相當受到矚目的資安產品。
高度與AD目錄的整合,對於大多數企業而言,可能也代表較為容易建置,以及收到的資料更具代表性,不過,對於企業內部無法加入AD網域的Linux、Unix伺服器,就必須仰賴資安事件管理平臺SIEM的收集而來,之後,ATA才能納入分析。
就這個產品而言,其實也包含在微軟企業行動化管理方案Enterprise Mobility Suite,以及雲服務管理方案Enterprise Cloud Suite之中,因此在獨立產品之外,也能藉由上述方案租用ATA。
ATA計價的方式最為透明,可依據使用者或是企業內部設備的數量計算,是這次唯一在原廠網站中,就能直接取得建議價格資訊的產品。
對於控管範圍的界定,也是ATA的特色,微軟認為,每個網域樹系結構,就是1個資安領域(Security boundary),因此,建議應以每個樹系作為部署ATA的單位。
此外,ATA對於企業的網域控制器(DC)也有所要求,必須是執行Windows Server 2008以上版本的作業系統,才能搭配運作。
以動態布告欄顯示最新的可疑事件,並以圖解呈現
ATA會從AD收集的系統登入與網路層行為等記錄中,運用內建的統計模型與機器學習模型,研判出疑似異常的存取行為,並以縱向的時間軸的方式呈現在儀表板中。
相較於其他透過時間軸呈現企業整體資安風險指數的解決方案,ATA的儀表板相當特別,它採用類似於Facebook動態資訊的縱向時間軸,從上方陸續推送最新的訊息給管理者,呈現每個時間點發生的事件,包含敘述事件的問題點,並提供建議處理方式,算是相當貼心的設計。對於不具網管背景的管理者而言,如果行為監控儀表板只有顯示發生了那些嚴重、違反資安政策的事件,不一定知道要如何下手調查,而ATA剛好降低這樣的使用門檻。
具有詳細的文字說明之餘,ATA也以圖解方式呈現觸動警示的事件過程,管理人員能快速了解發生的問題類型。而且,我們也可藉由點選其中的紅色電腦和伺服器圖示,深入了解受影響的使用者、電腦與伺服器。
例如,ATA一旦發現某個使用者利用晚上非工作時段,嘗試登入多臺電腦,並存取多個平常不會存取的主機時,管理者可在網頁介面上,直接點選紅色的電腦與伺服器圖示,檢視與此行為有關的設備。
對於這類情況,ATA系統同時將提出處置方式的建議。首先,是將這些有問題的電腦隔離,再予以調查;然後與AD帳號擁有者聯繫,確認這些疑似異常的行為,是否為當事人自行操作。
不過,因為這樣的介面,每個事件就會佔據掉ATA儀表板相當多的版面,一旦通知事件變多時,可能會難以掌握整體企業的資安風險程度。
就像我們很可能使用Facebook的時間一久,只瀏覽動態消息看板,也許會無法聚焦在真正想看的內容一樣,對於管理者想要關注的重大事件,也許會被其他重要性較低、發生較為頻繁的資訊佔據大多數的版面,而無法找到應該優先解決的問題。
所幸,ATA在動態牆左側提供2層式過濾功能,第1層是處理的進度,分別為正在發生、已解決、已結案等3種,其中每一種又可依據事件風險程度(高、中、低)區分。假如想要指定更詳細的過濾條件,ATA也在上方的工具列中,配置搜尋框以供進階搜尋。
微軟Advanced Threat Analytics以動態牆顯示近期發生、可能有風險的異常行為,並區分高(紅色)、中(黃色)、低(黑色)等3種等級。管理者也可過濾,指定瀏覽指定危險程度,或是過往未解決(Dismissed)的事件。
從使用者個人檔案下手,再深入追查關連事件
針對單一事件,管理者可再點選使用者的頭像,檢視這個帳號的群組、登入系統的情況,以及相關的主管與下屬,這些有關的資料。管理者可以調查所有相關的群組中,是否出現與指定事件有關的疑似問題;或是使用者可能有大量錯誤登入的記錄,甚至很可能他的上屬主管的帳號,也遭受攻擊等。
這裡ATA也為使用者帳號行為變化,設立了動態布告欄,管理者可以藉此追蹤與特定的使用者有關連的事件,例如在異常存取行為之前,我們能發現有大量測試帳號密碼的行為,使得這個帳號疑似遭到破解受到利用,而經由所有事件資料的匯總,即能證實是一起從外部竊取帳號的APT攻擊。
微軟Advanced Threat Analytics特色總覽 藉由使用者行為分析,管理者可從ATA直接檢視系統發現的資安問題,並探究受影響的使用者、電腦,以及是否與其他事件有關連。
|
產品資訊
● 廠商:微軟
● 電話:(02)3725-3888
● 建議售價:每個使用者每月費用為3.5美元(未稅)
● 版本:1.5
● 建置方式:實體伺服器或VM
● 架構:分析主機與Log接收主機
● 硬體需求:4個核心處理器、48GB記憶體、200GB硬碟空間
● 作業系統需求:Windows Server 2012 R2
● 資料庫軟體:MangoDB
● 設備監控:無需安裝代理程式
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】
【相關報導請參考「內部存取行為監控系統」採購大特輯】