Conheça o Azure Advanced Threat Protection (ATP)


O ATP é um serviço de nuvem que ajuda a proteger o ambiente híbrido da sua empresa de múltiplos tipos de ataques. Basicamente, o ATP é uma engine de rede proprietária para capturar e analisar o tráfego de rede de múltiplos protocolos como Kerberos, DNS, RPC e NTLM, para autorização, autenticação e centralização destas informações. 

Coleta de informações 

Tais informações são coletadas pelo ATP por meio de deploy de sensores ATP do Azure, diretamente em seus controladores de domínio e espelhamento de portas dos controladores de domínio e servidores DNS para os sensores ATP standalone do Azure. 

O Azure ATP coleta informações de variadas fontes de dados como logs e eventos na rede para aprender sobre o comportamento dos usuários e outras entidades da empresa, assim, criando um perfil sobre eles. As informações coletadas pelo Azure ATP podem ser recebidas por: 

  • SIEM Integration; 
  • Windows Event Forwarding (WEF); 
  • Diretamente do Windows Event Collector (pelo sensor); 
  • RADIUS Accouting das VPNs; 

Etapas do ataque 

Um ataque é constituído de várias etapas. Para entender como o ATP do Azure age em cada uma delas, é necessário primeiro entender como elas funcionam. 

Reconhecimento: nesta etapa os invasores coletam informações sobre como o ambiente é construído, quais são os diferentes ativos e quais entidades existem. É aqui normalmente que o plano das próximas fases do ataque é construído; 

Ciclo de movimento lateral: aqui o invasor investe tempo e esforço para espalhar o ataque na sua rede; 

Domínio: este é um dos pontos mais críticos. É aqui que o invasor captura de fato as informações da sua rede e, ainda assim, permite que elas continuem com seu fluxo normal por meio dos vários pontos de entrada, credenciais e outras técnicas. Este ataque é comumente conhecido como Man in the Middle. 

Como o ATP do Azure protege você e sua empresa 

Estes tipos de ataques são comuns a qualquer ambiente e empresa. Para oferecer proteção o ATP do Azure busca por três principais tipos de ataque: ataques maliciosos, comportamento incomum e problemas de segurança. 

Tanto os ataques maliciosos quanto o comportamento incomum são detectados deterministicamente. Abaixo temos uma lista dos tipos de ataques mais conhecidos: 

  • Pass-the-Ticket (PtT) 
  • Pass-the-Hash (PtH) 
  • Overpass-the-Hash 
  • Forged PAC (MS14-068) 
  • Golden Ticket 
  • Malicious replication 
  • Directory Service Enumeration 
  • SMB Session Enumeration 
  • DNS Reconnaissance 
  • Horizontal Brute Force  
  • Vertical Brute Force 
  • Skeleton Key 
  • Unusual Protocol 
  • Encryption Downgrade 
  • Remote execution 
  • Malicious Service Creation 

O ATP do Azure é capaz de identificar estas atividades suspeitas e gerar um workload completo com uma visão de “quem”, “o que”, “quando” e “como” para o administrador do domínio. Abaixo você pode ver um dashboard de como este workload é apresentado. 

Em relação aos problemas de segurança, o ATP do Azure é capaz de identificar: 

  • Protocolos fracos; 
  • Vulnerabilidades de protocolo conhecidas; 
  • Movimentos laterais para contas sensíveis. 

Saiba mais 

Trouxemos aqui uma breve apresentação sobre o ATP do Azure. Como ele protege sua empresa por meio da coleta de informações da rede, os tipos de ataque que sua empresa está suscetível a receber, como o ATP protege você destes ataques e como essa proteção é apresentada ao administrador do domínio. 

Se você quiser sabe mais sobre deploy, planejamento e projeto, recomendamos que acesse o docs para ter maiores informações. 

Doc 1

Doc 2


Autor: Microsoft Tech