Introdução
Nos dias atuais, segurança vem sendo a palavra de ordem para proteção e preservação da sua integridade física e intelectual contra as mais adversas ameaças externas e a segurança da informação, não foge a essa regra, principalmente se os dados da sua companhia se encontram em jogo sofrendo ameaças de cair em mão erradas ou de serem usadas de forma errônea por agentes mal-intencionados.
Diante deste cenário a Microsoft desenvolveu o Advanced Threats Analysis (chamado neste artigo como Microsoft ATA) que ajuda a prevenir maus comportamentos de agentes de sua corporação na manipulação desses dados.

O que é Microsoft ATA?
Microsoft ATA é uma solução em segurança da informação que auxilia os profissionais de segurança em TI a protegerem sua organização de ameaças internas e avançadas ataques direcionados. Através de análises automatizadas, aprendizado e identificação de comportamento normal e anormal de entidades, que podem ser usuários, computadores, dispositivos móveis etc., Microsoft ATA auxilia na identificação de ataques maliciosos e técnicas, falhas de segurança e riscos. Usando uma inteligência de pesquisa de segurança de classe mundial, essa tecnologia inovadora é projetada a ajudar corporações com foco em identificar brechas de segurança antes que causem algum tipo de dano.

As vantagens da implementação do ATA
Ao implantar o Microsoft ATA em sua corporação, ela começa a realizar:
• Análise comportamental: Comportamento de perfil de entidade normal (normal vs. anormal);
• Análise forense de ataques conhecidos e problemas: Procura por ataques de segurança conhecidos e problemas;
Essas ações resultam em:
• Análise avançada de ameaças: Detecta atividades suspeitas de usuários, ataques conhecidos e problemas;
Associado a um Security Information and Event Management (SIEM) Microsoft ATA realiza a análise de eventos provenientes do mesmo para enriquecer a linha do tempo de ataque provendo opções de encaminhamento de alertas de segurança para o seu SIEM ou enviar e-mails para pessoas chave de seu departamento de Segurança de TI.

Como o ATA funciona
São necessários a instalação on-premisses do Microsoft ATA em servidores Windows registrados no domínio corporativo.
A instalação é feita para o Microsoft ATA Center e o Microsoft ATA Gateway

Microsoft ATA Center
O Microsoft ATA Center requer um mínimo de 30 dias de informação de análise comportamental dos usuários. O espaço em disco requerido para base de dados conforme quantidade de dados trafegados é definido abaixo:

Figura 1 – Quantidade de hardware necessária conforme requisição de pacotes

Caso você possua múltiplos domínios, some o espaço em disco por controlador de domínio para calcular o completo espaço requerido para o Microsoft ATA.

Microsoft ATA Gateway
Dependendo do tamanho de sua infraestrutura, a instalação do Microsoft ATA pode ser requisitada. O(s) Microsoft ATA Gateway(s) auxiliam na captura de dados de um SIEM e atividades das entidades registradas em um ou vários Active Directory’s.
Conforme quantidade de requisições de pacotes por controlador de domínio, o espaço em disco necessário para a instalação do Microsoft ATA Gateway pode ser assim dimensionado:

Figura 2 – Quantidade de hardware necessária conforme requisição de pacotes

Figura 3 – Arquitetura do ATA

Após a instalação, o Microsoft ATA realiza:
Na análise
• Configuração port mirroring simples, não-intrusiva que copia todo o tráfico relacionado no Active Directory;
• Mantém-se invisível aos atacantes;
• Analisa todo o tráfico de rede ao Active Directory;
• Coleta relevante eventos do SIEM e informação do Active Directory (titulos, menbros de grupos e mais).

Figura 4 – Análise do MS ATA

No aprendizado de máquina:
• Automaticamente inicia o entendimento e o comportamento do perfil da entidade;
• Identifica comportamento normal para entidades;
• Aprende continuamente para atualizar as atividades dos usuários, dispositivos e Recursos.

Figura 5 – Aprendizado de máquina do MS ATA

Na detecção:
• Procura por comportamentos anormais e identifica atividades suspeitas;
• Apenas indica bandeira vermelhas se as atividades anormais estiverem contextualmente agregadas;
• Aproveita pesquisa de segurança de classe mundial para detectar riscos de segurança e ataques quase em tempo real baseada em atacantes Táticos, Técnicos e Procedimentos (TTPs)

Figura 6 – Detecção no MS ATA

Nos alertas:
• Microsoft ATA alerta você sobre atividades anormais e suspeitas. Para futuro aumento da precisão e preservando seu tempo e recursos, o Microsoft ATA não apenas compara o comportamento da entidade por si só como também o comportamento para com outras entidades interagentes com ela antes de surgir um alerta. Isto significa que os números de falsos positivos são dramaticamente reduzidos, direcionando você a focar nas reais ameaças.

Conclusão
O Microsoft ATA é uma nova tendência em tecnologia de prevenção de ataques baseados em análise de comportamento das entidades existentes do domínio (usuários, dispositivos, eventos, etc.), aprendizado de máquina conforme eventos registrados na linha do tempo de ataque, registro de eventos não só de uma entidade, mas de todas as entidades que recebem interação da entidade principal da investigação.
Todos esses registros oriundos de um SIEM e de Active Directory’s existentes na corporação ajudam a alimentar a linha de tempo de ataque. Neste ponto é importante para os relatórios serem claros, funcionais e acionáveis na informação apresentada.
A simples linha do tempo de ataque é similar ao feed da linha do tempo de uma mídia social em uma interface web e eventos de superfície numa forma fácil de entendimento.