Microsoft Advanced Threat Analytics

Microsoft Advanced Threat Analytics (ATA) est une solution Microsoft qui fait partie de la suite EMS (Entreprise Mobility + Security). Cette solution de sécurité vous aidera à protéger votre système d’information dans sa globalité en se basant sur un élément essentiel: l’Annuaire Active Directory.

 

Fonctionnement

Microsoft ATA se base essentiellement sur le trafic Active Directory local de l’organisation pour fonctionner, mais pas uniquement; il est aussi capable de prendre plusieurs informations provenant de plusieurs sources de données tels que les journaux d’Evènements Windows ou depuis un SIEM par exemple.

En d’autres termes, Microsoft ATA utilise un moteur d’analyse réseau propriétaire qui lui permet de capturer et d’analyser le trafic réseau de plusieurs protocoles :

  • Kerberos
  • RPC, DNS
  • NTLM, LDAP etc

Une fois le trafic capturé, il est capable, grâce à du Machine Learning, d’analyser le comportement des utilisateurs, des machines et de toutes les entités qui constituent votre système d’information pour vous alerter en cas d’évènement anormal ou potentiellement d’attaques informatiques.

Microsoft ATA est capable de détecter toutes sortes d’attaques informatiques connues de nos jours. Il est capable de briser les chaines de cycber-attaques qui se composent de trois étapes:

  • Reconnaissance: généralement, c’est la première phase durant laquelle l’attaquant essaye d’obtenir des informations sur votre environnement interne (c’est-à-dire apprendre & comprendre votre architecture et découvrir les composants que vous possédez),
  • Mouvement latéral: durant cette étape, l’attaquant va se propager et étendre sa surface d’attaque au sein du système d’information,
  • Persistance: cette phase permet à l’attaquant de capturer toutes les informations prises au niveau du système d’information et de capitaliser afin de reprendre son attaque différemment.

Il est important de noter que cette solution peut être installée « en local » ou en mode « Cloud ».

Présentation Microsoft Advanced Threat Analytics

Positionnement AiM

Au travers de son partenariat avec Microsoft et de son expertise sur les outils de la suite « Enterprise Mobility + Security », AiM peut vous accompagner sur la mise en place de cette solution et sur les stratégies y relatives.

Nos architectes ont d’ores et déjà de belles réalisations auprès de clients et une réelle valeur-ajoutée que ce soit pour la réalisation de POC, de déploiement en production ou encore de définition de stratégies.

De plus, AiM fait partie du programme CSP (Cloud Solution Provider) de Microsoft et peut ainsi également vous proposer l’acquisition des licences nécessaires à ce type de projet et vous faire bénéficier d’une approche « souscription » amenant une très grande flexiblité.

Le département Cloud & Infrastructure d’AiM se tient à votre disposition pour toutes questions ou besoin que vous pourriez avoir sur la suite « EM+S » ainsi que sur le produit Threats Analytics.