O que é a Proteção Avançada contra Ameaças do Azure?What is Azure Advanced Threat Protection?

A ATP (Proteção Avançada contra Ameaças) do Azure é uma solução de segurança baseada em nuvem que aprimora os sinais locais do Active Directory para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações de pessoas internas mal-intencionadas, direcionadas à sua organização.Azure Advanced Threat Protection (ATP) is a cloud-based security solution that leverages your on-premises Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions directed at your organization.

O Azure ATP permite aos analistas de SecOp e profissionais de segurança que lutam para detectar ataques avançados em ambientes híbridos:Azure ATP enables SecOp analysts and security professionals struggling to detect advanced attacks in hybrid environments to:

  • Monitorar usuários, comportamento de entidade e atividades com a análise baseada em aprendizadoMonitor users, entity behavior, and activities with learning-based analytics
  • Proteger as identidades do usuário e as credenciais armazenadas no Active DirectoryProtect user identities and credentials stored in Active Directory
  • Identificar e investigar atividades de usuário suspeitas e ataques avançados em toda a cadeia do ataque cibernéticoIdentify and investigate suspicious user activities and advanced attacks throughout the kill chain
  • Fornecer informações claras sobre incidentes em uma linha do tempo simples para triagem rápidaProvide clear incident information on a simple timeline for fast triage

Monitorar e criar perfis de comportamento e de atividades do usuárioMonitor and profile user behavior and activities

O Azure ATP monitora e analisa as atividades do usuário e as informações na sua rede, como permissões e associação de grupo, criando uma linha de base comportamental para cada usuário.Azure ATP monitors and analyzes user activities and information across your network, such as permissions and group membership, creating a behavioral baseline for each user. Depois, o ATP do Azure identifica anomalias com inteligência interna adaptável, fornecendo a você insights sobre atividades e eventos suspeitos, revelando as ameaças avançadas, os usuários comprometidos e as ameaças internas voltadas para a sua organização.Azure ATP then identifies anomalies with adaptive built-in intelligence, giving you insights into suspicious activities and events, revealing the advanced threats, compromised users, and insider threats facing your organization. Os sensores proprietários do ATP do Azure monitoram controladores de domínio organizacional, oferecendo uma exibição abrangente de todas as atividades do usuário de todos os dispositivos.Azure ATP's proprietary sensors monitor organizational domain controllers, providing a comprehensive view for all user activities from every device.

Proteger as identidades de usuário e reduzir a superfície de ataquesProtect user identities and reduce the attack surface

O Azure ATP fornece insights valiosos sobre as configurações de identidade e as melhores práticas de segurança.Azure ATP provides you invaluable insights on identity configurations and suggested security best-practices. Por meio de relatórios de segurança e análise de perfil do usuário, o ATP do Azure ajuda a reduzir drasticamente a superfície de ataque organizacional, tornando mais difícil comprometer as credenciais do usuário e avançar com um ataque.Through security reports and user profile analytics, Azure ATP helps dramatically reduce your organizational attack surface, making it harder to compromise user credentials, and advance an attack. Os Caminhos de Movimentação Lateral visuais do ATP do Azure ajudam você a compreender rápida e exatamente como um invasor pode mover-se lateralmente dentro da sua organização para comprometer contas confidenciais e ajuda a impedir esses riscos com antecedência.Azure ATP's visual Lateral Movement Paths help you quickly understand exactly how an attacker can move laterally inside your organization to compromise sensitive accounts and assists in preventing those risks in advance. Os relatórios de segurança do ATP do Azure ajudam a identificar os usuários e dispositivos autenticados por senhas com texto não criptografado e fornecem insights adicionais para melhorar suas políticas e a postura de segurança organizacional.Azure ATP security reports help you identify users and devices that authenticate using clear-text passwords and provide additional insights to improve your organizational security posture and policies.

Identificar atividades suspeitas e ataques avançados em toda a cadeia do ataque cibernéticoIdentify suspicious activities and advanced attacks across the cyber-attack kill-chain

Normalmente, os ataques são iniciados contra qualquer entidade acessível, como um usuário com poucos privilégios e, em seguida, se movem lateralmente com rapidez até que o invasor obtenha acesso a ativos valiosos – como contas confidenciais, administradores de domínio e dados altamente confidenciais.Typically, attacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets – such as sensitive accounts, domain administrators, and highly sensitive data. O ATP do Azure identifica essas ameaças avançadas na origem em toda a cadeia de ataque cibernético:Azure ATP identifies these advanced threats at the source throughout the entire cyber-attack kill chain:

ReconhecimentoReconnaissance

Identifique os usuários invasores e as tentativas de invasores para obter informações.Identify rogue users and attackers' attempts to gain information. Os invasores buscam informações sobre nomes de usuário, associação de grupo de usuários, endereços IP atribuídos a dispositivos, recursos e muito mais, usando diversos métodos.Attackers are searching for information about user names, users' group membership, IP addresses assigned to devices, resources, and more, using a variety of methods.

Credenciais comprometidasCompromised credentials

Identifique as tentativas de comprometer as credenciais do usuário usando ataques de força bruta, autenticações com falha, alterações na associação de grupo e outros métodos.Identify attempts to compromise user credentials using brute force attacks, failed authentications, user group membership changes, and other methods.

Movimentação lateralLateral movements

Detecte as tentativas de se mover lateralmente na rede para obter mais controle sobre usuários confidenciais utilizando métodos como Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash e muito mais.Detect attempts to move laterally inside the network to gain further control of sensitive users, utilizing methods such as Pass the Ticket, Pass the Hash, Overpass the Hash and more.

Predominância de domínioDomain dominance

Destaque o comportamento do invasor caso ele venha comandar o domínio, por meio de execução remota de código no controlador de domínio e métodos como Sombra do controlador de domínio, replicação do controlador de domínio mal-intencionado, atividades de Golden Ticket e muito mais.Highlighting attacker behavior if domain dominance is achieved, through remote code execution on the domain controller, and methods such as DC Shadow, malicious domain controller replication, Golden Ticket activities, and more.

Investigar alertas e atividades do usuárioInvestigate alerts and user activities

O ATP do Azure foi projetado para reduzir o ruído de alerta geral, fornecendo apenas alertas de segurança importantes e relevantes em uma linha do tempo de ataque organizacional simples e em tempo real.Azure ATP is designed to reduce general alert noise, providing only relevant, important security alerts in a simple, real-time organizational attack timeline. A exibição da linha do tempo do ataque do Azure ATP permite que você mantenha facilmente o foco no que importa, aproveitando a inteligência de análise inteligente.The Azure ATP attack timeline view allows you to easily stay focused on what matters, leveraging the intelligence of smart analytics. Use o ATP do Azure para investigar rapidamente as ameaças e receber insights de toda a organização sobre usuários, dispositivos e recursos de rede.Use Azure ATP to quickly investigate threats, and gain insights across the organization for users, devices, and network resources. A integração homogênea com o Microsoft Defender ATP fornece outra camada de segurança reforçada com a detecção adicional e a proteção contra ameaças persistentes avançadas no sistema operacional.Seamless integration with Microsoft Defender ATP provides another layer of enhanced security by additional detection and protection against advanced persistent threats on the operating system.

Recursos adicionais do Azure ATPAdditional resources for Azure ATP

Comece uma avaliação gratuitaStart a free trial

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Siga o Azure ATP no Microsoft Tech CommunityFollow Azure ATP on Microsoft Tech Community

https://techcommunity.microsoft.com/t5/Azure-Advanced-Threat-Protection/bd-p/AzureAdvancedThreatProtection

Participe da comunidade Yammer do ATP do AzureJoin the Azure ATP Yammer community

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Visite a página de produto do Azure ATPVisit the Azure ATP product page

https://azure.microsoft.com/features/azure-advanced-threat-protection/

Saiba mais sobre a arquitetura do ATP do AzureLearn more about Azure ATP architecture

Arquitetura do ATP do AzureAzure ATP Architecture

Microsoft IgniteMicrosoft Ignite

O Microsoft Ignite 2018 traz diversas sessões voltadas para a Proteção Avançada contra Ameaças do Azure.Microsoft Ignite 2018 featured multiple sessions focused on Azure Advanced Threat Protection. As sessões foram gravadas, portanto, se você perdeu o evento, recomendamos que assista aqui:Sessions were recorded, so if you missed the event, we recommend you watch here:

ATP do AzureAzure ATP

BRK3117 – SecOp e resposta a incidentes com o ATP do Azure – Assista ao vídeo do YouTubeBRK3117 - SecOp and incident response with Azure ATP - watch the YouTube video

ATP do Azure e Azure AD IP (Active Directory Identity Protection)Azure ATP and Azure AD IP (Active Directory Identity Protection)

BRK3237 – Protegendo seu ambiente de nuvem híbrida com o Azure AD Identity Protection e o ATP do Azure – Assista ao vídeo do YouTubeBRK3237 - Securing your hybrid cloud environment with Azure AD Identity Protection and Azure ATP - watch the YouTube video

BRK2157 – Acelerar a implantação e a adoção de soluções da Proteção de Informações da Microsoft – Assista ao vídeo do YouTubeBRK2157 - Accelerate deployment and adoption of Microsoft Information Protection solutions - watch the YouTube video

Confira um resumo dos anúncios do ATP do Azure feitos no Ignite 2018 na postagem no blog – Proteção Avançada contra Ameaças do Azure Expande Integrações, Detecções e Recursos Forenses.For a summary of Azure ATP announcements that were made at Ignite 2018, see the blog post - Azure Advanced Threat Protection Expands Integrations, Detections, and Forensic Capabilities.

NovidadesWhat's next?

É recomendável implantar o ATP do Azure em três fases:We recommend deploying Azure ATP in three phases:

Fase 1Phase 1

  1. Configure o ATP do Azure para proteger seus ambientes primários.Set up Azure ATP to protect your primary environments. O modelo de implantação rápida do Azure ATP permite a você começar a proteger sua organização hoje mesmo.Azure ATP's fast deployment model enables you to start protecting your organization today. Instalar o Azure ATPInstall Azure ATP
  2. Defina as contas confidenciais e as contas de honeytoken.Set sensitive accounts and honeytoken accounts.
  3. Examine os relatórios e os caminhos de movimentação lateral.Review reports and lateral movement paths.

Fase 2Phase 2

  1. Proteja todos os controladores de domínio e florestas na sua organização.Protect all the domain controllers and forests in your organization.
  2. Monitore todos os alertas – investigue os alertas de movimentação lateral e de comando de domínio.Monitor all alerts – investigate lateral movement & domain dominance alerts.
  3. Trabalhe com o Guia de Alerta de Segurança para entender as ameaças e os ataques em potencial da triagem.Work with the Security Alert guide to understand threats and triage potential attacks.

Fase 3Phase 3

  1. Integre os alertas do Azure ATP em seus fluxos de trabalho do SecOp.Integrate Azure ATP alerts into your SecOp workflows.

Confira TambémSee Also