文/周峻佑 | 2016-05-06發表

微軟針對內部使用者的存取行為監控,推出Advanced Threat Analytics(ATA),主打與自家的Active Directory(AD)目錄服務深度整合,可依附於AD網域樹系的架構之中,是微軟近期相當受到矚目的資安產品。

高度與AD目錄的整合,對於大多數企業而言,可能也代表較為容易建置,以及收到的資料更具代表性,不過,對於企業內部無法加入AD網域的Linux、Unix伺服器,就必須仰賴資安事件管理平臺SIEM的收集而來,之後,ATA才能納入分析。

就這個產品而言,其實也包含在微軟企業行動化管理方案Enterprise Mobility Suite,以及雲服務管理方案Enterprise Cloud Suite之中,因此在獨立產品之外,也能藉由上述方案租用ATA。

ATA計價的方式最為透明,可依據使用者或是企業內部設備的數量計算,是這次唯一在原廠網站中,就能直接取得建議價格資訊的產品。

對於控管範圍的界定,也是ATA的特色,微軟認為,每個網域樹系結構,就是1個資安領域(Security boundary),因此,建議應以每個樹系作為部署ATA的單位。

此外,ATA對於企業的網域控制器(DC)也有所要求,必須是執行Windows Server 2008以上版本的作業系統,才能搭配運作。

以動態布告欄顯示最新的可疑事件,並以圖解呈現

ATA會從AD收集的系統登入與網路層行為等記錄中,運用內建的統計模型與機器學習模型,研判出疑似異常的存取行為,並以縱向的時間軸的方式呈現在儀表板中。

相較於其他透過時間軸呈現企業整體資安風險指數的解決方案,ATA的儀表板相當特別,它採用類似於Facebook動態資訊的縱向時間軸,從上方陸續推送最新的訊息給管理者,呈現每個時間點發生的事件,包含敘述事件的問題點,並提供建議處理方式,算是相當貼心的設計。對於不具網管背景的管理者而言,如果行為監控儀表板只有顯示發生了那些嚴重、違反資安政策的事件,不一定知道要如何下手調查,而ATA剛好降低這樣的使用門檻。

具有詳細的文字說明之餘,ATA也以圖解方式呈現觸動警示的事件過程,管理人員能快速了解發生的問題類型。而且,我們也可藉由點選其中的紅色電腦和伺服器圖示,深入了解受影響的使用者、電腦與伺服器。

例如,ATA一旦發現某個使用者利用晚上非工作時段,嘗試登入多臺電腦,並存取多個平常不會存取的主機時,管理者可在網頁介面上,直接點選紅色的電腦與伺服器圖示,檢視與此行為有關的設備。

對於這類情況,ATA系統同時將提出處置方式的建議。首先,是將這些有問題的電腦隔離,再予以調查;然後與AD帳號擁有者聯繫,確認這些疑似異常的行為,是否為當事人自行操作。

不過,因為這樣的介面,每個事件就會佔據掉ATA儀表板相當多的版面,一旦通知事件變多時,可能會難以掌握整體企業的資安風險程度。

就像我們很可能使用Facebook的時間一久,只瀏覽動態消息看板,也許會無法聚焦在真正想看的內容一樣,對於管理者想要關注的重大事件,也許會被其他重要性較低、發生較為頻繁的資訊佔據大多數的版面,而無法找到應該優先解決的問題。

所幸,ATA在動態牆左側提供2層式過濾功能,第1層是處理的進度,分別為正在發生、已解決、已結案等3種,其中每一種又可依據事件風險程度(高、中、低)區分。假如想要指定更詳細的過濾條件,ATA也在上方的工具列中,配置搜尋框以供進階搜尋。

微軟Advanced Threat Analytics以動態牆顯示近期發生、可能有風險的異常行為,並區分高(紅色)、中(黃色)、低(黑色)等3種等級。管理者也可過濾,指定瀏覽指定危險程度,或是過往未解決(Dismissed)的事件。

從使用者個人檔案下手,再深入追查關連事件

針對單一事件,管理者可再點選使用者的頭像,檢視這個帳號的群組、登入系統的情況,以及相關的主管與下屬,這些有關的資料。管理者可以調查所有相關的群組中,是否出現與指定事件有關的疑似問題;或是使用者可能有大量錯誤登入的記錄,甚至很可能他的上屬主管的帳號,也遭受攻擊等。

這裡ATA也為使用者帳號行為變化,設立了動態布告欄,管理者可以藉此追蹤與特定的使用者有關連的事件,例如在異常存取行為之前,我們能發現有大量測試帳號密碼的行為,使得這個帳號疑似遭到破解受到利用,而經由所有事件資料的匯總,即能證實是一起從外部竊取帳號的APT攻擊。

 

 微軟Advanced Threat Analytics特色總覽 

藉由使用者行為分析,管理者可從ATA直接檢視系統發現的資安問題,並探究受影響的使用者、電腦,以及是否與其他事件有關連。

針對單一異常事件,提供簡易圖解說明

針對ATA發現異常的事件,儀表板中在文字說明詳細的情況,並提供處置的建議外,但最直覺的部分,在於以圖解方式呈現最主要的情況。圖中這個使用者,平時只用2臺電腦,卻突然透過平常不會使用的6臺PC ,存取DC01與其他5臺不常存取的伺服器 。

可追蹤用戶的網域群組關係與使用情形

針對行為異常的帳號,管理者從可這個使用者的專屬資料頁面中,檢視有關他的綜合資訊,像是隸屬的用戶群組、近期登入情況。

可分派從多個網域接收記錄

這個解決方案的運作,是由ATA Center分析主機,與接收流量的ATA Gateway等兩種伺服器組成,因此它們之間的連結,是企業能否順利監控的關鍵,管理者可調整每個主機接收資料的來源。以圖中的ATA Gateway為例,就設置為同時從兩個網域控制器中,收取記錄檔案。

 

 產品資訊 

●      廠商:微軟

●      電話:(02)3725-3888

●      建議售價:每個使用者每月費用為3.5美元(未稅)

●      版本:1.5

●      建置方式:實體伺服器或VM

●      架構:分析主機與Log接收主機

●      硬體需求:4個核心處理器、48GB記憶體、200GB硬碟空間

●      作業系統需求:Windows Server 2012 R2

●      資料庫軟體:MangoDB

●      設備監控:無需安裝代理程式

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

【相關報導請參考「內部存取行為監控系統」採購大特輯】

熱門新聞

Advertisement