O que é o Azure Advanced Threat Protection?What is Azure Advanced Threat Protection?

A ATP (proteção avançada contra ameaças) do Azure é uma solução de segurança baseada em nuvem que aproveita seus sinais de Active Directory locais para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas ao seu organizações.Azure Advanced Threat Protection (ATP) is a cloud-based security solution that leverages your on-premises Active Directory signals to identify, detect, and investigate advanced threats, compromised identities, and malicious insider actions directed at your organization. O Azure ATP permite que analistas SecOp e profissionais de segurança estejam lutando para detectar ataques avançados em ambientes híbridos para:Azure ATP enables SecOp analysts and security professionals struggling to detect advanced attacks in hybrid environments to:

  • Monitorar usuários, comportamento de entidade e atividades com análise baseada em aprendizadoMonitor users, entity behavior, and activities with learning-based analytics
  • Proteger identidades de usuário e credenciais armazenadas no Active DirectoryProtect user identities and credentials stored in Active Directory
  • Identificar e investigar atividades de usuário suspeitas e ataques avançados em toda a cadeia de eliminaçãoIdentify and investigate suspicious user activities and advanced attacks throughout the kill chain
  • Fornecer informações claras de incidentes em uma linha do tempo simples para uma triagem rápidaProvide clear incident information on a simple timeline for fast triage

Monitorar e criar perfil de comportamento e atividades do usuárioMonitor and profile user behavior and activities

O Azure ATP monitora e analisa as atividades e informações do usuário em sua rede, como permissões e Associação de grupo, criando uma linha de base comportamental para cada usuário.Azure ATP monitors and analyzes user activities and information across your network, such as permissions and group membership, creating a behavioral baseline for each user. Em seguida, o Azure ATP identifica anomalias com inteligência interna adaptável, fornecendo informações sobre atividades suspeitas e eventos, revelando as ameaças avançadas, os usuários comprometidos e as ameaças internas que enfrentam sua organização.Azure ATP then identifies anomalies with adaptive built-in intelligence, giving you insights into suspicious activities and events, revealing the advanced threats, compromised users, and insider threats facing your organization. Os sensores proprietários do Azure ATP monitoram controladores de domínio organizacionais, fornecendo uma visão abrangente para todas as atividades de usuário de cada dispositivo.Azure ATP’s proprietary sensors monitor organizational domain controllers, providing a comprehensive view for all user activities from every device.

Proteger identidades de usuário e reduzir a superfície de ataqueProtect user identities and reduce the attack surface

O Azure ATP fornece informações inestimávels sobre configurações de identidade e práticas recomendadas de segurança sugeridas.Azure ATP provides you invaluable insights on identity configurations and suggested security best-practices. Por meio de relatórios de segurança e análise de perfil de usuário, o Azure ATP ajuda a reduzir drasticamente a superfície de ataque organizacional, dificultando o comprometimento das credenciais do usuário e a avançar em um ataque.Through security reports and user profile analytics, Azure ATP helps dramatically reduce your organizational attack surface, making it harder to compromise user credentials, and advance an attack. Os caminhos de movimento lateral do Visual do Azure ATP ajudam você a entender rapidamente como um invasor pode se mover mais tarde dentro de sua organização para comprometer contas confidenciais e ajuda a evitar esses riscos com antecedência.Azure ATP’s visual Lateral Movement Paths help you quickly understand exactly how an attacker can move laterally inside your organization to compromise sensitive accounts and assists in preventing those risks in advance. Os relatórios de segurança do Azure ATP ajudam a identificar usuários e dispositivos que se autenticam usando senhas de texto não criptografado e fornecem informações adicionais para melhorar sua postura e políticas de segurança organizacional.Azure ATP security reports help you identify users and devices that authenticate using clear-text passwords and provide additional insights to improve your organizational security posture and policies.

Identificar atividades suspeitas e ataques avançados em toda a cadeia de eliminação de ataque cibernéticoIdentify suspicious activities and advanced attacks across the cyber-attack kill-chain

Normalmente, os ataques são iniciados em qualquer entidade acessível, como um usuário com poucos privilégios, e se movem rapidamente mais tarde até que o invasor obtenha acesso a ativos valiosos – como contas confidenciais, administradores de domínio e dados altamente confidenciais.Typically, attacks are launched against any accessible entity, such as a low-privileged user, and then quickly move laterally until the attacker gains access to valuable assets – such as sensitive accounts, domain administrators, and highly sensitive data. O Azure ATP identifica essas ameaças avançadas na origem em toda a cadeia de eliminação de ataque cibernético:Azure ATP identifies these advanced threats at the source throughout the entire cyber-attack kill chain:

ReconhecimentoReconnaissance

Identifique tentativas de usuários não autorizados e invasores para obter informações.Identify rogue users and attackers’ attempts to gain information. Os invasores estão procurando informações sobre nomes de usuário, associação de grupo dos usuários, endereços IP atribuídos a dispositivos, recursos e muito mais, usando uma variedade de métodos.Attackers are searching for information about user names, users’ group membership, IP addresses assigned to devices, resources, and more, using a variety of methods.

Credenciais comprometidasCompromised credentials

Identifique as tentativas de comprometer as credenciais do usuário usando ataques de força bruta, autenticações com falha, alterações de associação de grupo de usuários e outros métodos.Identify attempts to compromise user credentials using brute force attacks, failed authentications, user group membership changes, and other methods.

Movimentos lateraisLateral movements

Detecte tentativas de mover-se mais tarde dentro da rede para obter mais controle sobre usuários confidenciais, utilizando métodos como passar o tíquete, passar o hash, passar o hash e muito mais.Detect attempts to move laterally inside the network to gain further control of sensitive users, utilizing methods such as Pass the Ticket, Pass the Hash, Overpass the Hash and more.

Dominância de domíniosDomain dominance

Realce o comportamento do invasor se o domínio predominância for obtido, por meio da execução remota de código no controlador de domínio, e métodos como sombra de DC, replicação de controlador de domínio mal-intencionado, atividades de tíquete dourado e muito mais.Highlighting attacker behavior if domain dominance is achieved, through remote code execution on the domain controller, and methods such as DC Shadow, malicious domain controller replication, Golden Ticket activities, and more.

Investigar alertas e atividades do usuárioInvestigate alerts and user activities

O Azure ATP foi projetado para reduzir o ruído de alerta geral, fornecendo apenas alertas de segurança relevantes e importantes em uma linha do tempo de ataque organizacional simples e em tempo real.Azure ATP is designed to reduce general alert noise, providing only relevant, important security alerts in a simple, real-time organizational attack timeline. A exibição de linha do tempo de ataque do Azure ATP permite que você se concentre facilmente no que importa, aproveitando a inteligência do Smart Analytics.The Azure ATP attack timeline view allows you to easily stay focused on what matters, leveraging the intelligence of smart analytics. Use o Azure ATP para investigar rapidamente as ameaças e obter informações em toda a organização para usuários, dispositivos e recursos de rede.Use Azure ATP to quickly investigate threats, and gain insights across the organization for users, devices, and network resources. A integração direta com o Windows Defender ATP fornece outra camada de segurança aprimorada por detecção e proteção adicionais contra ameaças persistentes avançadas no sistema operacional.Seamless integration with Windows Defender ATP provides another layer of enhanced security by additional detection and protection against advanced persistent threats on the operating system.

Recursos adicionais para o Azure ATPAdditional resources for Azure ATP

Iniciar uma avaliação gratuitaStart a free trial

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Siga o Azure ATP na Comunidade de tecnologia da MicrosoftFollow Azure ATP on Microsoft Tech Community

https://techcommunity.microsoft.com/t5/Azure-Advanced-Threat-Protection/bd-p/AzureAdvancedThreatProtectionhttps://techcommunity.microsoft.com/t5/Azure-Advanced-Threat-Protection/bd-p/AzureAdvancedThreatProtection

Participe da Comunidade do Yammer do Azure ATPJoin the Azure ATP Yammer community

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Visite a página do produto Azure ATPVisit the Azure ATP product page

https://azure.microsoft.com/features/azure-advanced-threat-protection/https://azure.microsoft.com/features/azure-advanced-threat-protection/

Saiba mais sobre a arquitetura do Azure ATPLearn more about Azure ATP architecture

Arquitetura do Azure ATPAzure ATP Architecture

Microsoft IgniteMicrosoft Ignite

O Microsoft Ignite 2018 apresentou várias sessões concentradas na proteção avançada contra ameaças do Azure.Microsoft Ignite 2018 featured multiple sessions focused on Azure Advanced Threat Protection. As sessões foram registradas, portanto, se você perdeu o evento, recomendamos observar aqui:Sessions were recorded, so if you missed the event, we recommend you watch here:

Azure ATPAzure ATP

BRK3117 -SecOp e resposta a incidentes com o Azure ATP-Assista ao vídeo do YouTubeBRK3117 - SecOp and incident response with Azure ATP - watch the YouTube video

Azure ATP e IP do Azure AD (Active Directory a proteção de identidade)Azure ATP and Azure AD IP (Active Directory Identity Protection)

BRK3237 -protegendo seu ambiente de nuvem híbrida com o Azure ad Identity Protection e o Azure ATP-Assista ao vídeo do YouTubeBRK3237 - Securing your hybrid cloud environment with Azure AD Identity Protection and Azure ATP - watch the YouTube video

BRK2157 -acelere a implantação e a adoção de soluções de proteção de informações da Microsoft – Assista ao vídeo do YouTubeBRK2157 - Accelerate deployment and adoption of Microsoft Information Protection solutions - watch the YouTube video

Para obter um resumo dos comunicados do Azure ATP que foram feitos no Ignite 2018, consulte a postagem do blog – a proteção avançada contra ameaças do Azure expande integrações, detecções e recursos forenses.For a summary of Azure ATP announcements that were made at Ignite 2018, see the blog post - Azure Advanced Threat Protection Expands Integrations, Detections, and Forensic Capabilities.

Passos seguintes?What's next?

É recomendável implantar o Azure ATP em três fases:We recommend deploying Azure ATP in three phases:

Fase 1Phase 1

  1. Configure o Azure ATP para proteger seus ambientes primários.Set up Azure ATP to protect your primary environments. O modelo de implantação rápida do Azure ATP permite que você comece a proteger sua organização hoje mesmo.Azure ATP's fast deployment model enables you to start protecting your organization today. Instalar o Azure ATPInstall Azure ATP
  2. Defina contas confidenciais e contas de honeytoken.Set sensitive accounts and honeytoken accounts.
  3. Examine os relatórios e os caminhos de movimento lateral.Review reports and lateral movement paths.

Fase 2Phase 2

  1. Proteja todos os controladores de domínio e as florestas em sua organização.Protect all the domain controllers and forests in your organization.
  2. Monitorar todos os alertas – investigue a movimentação lateral & alertas de predominância de domínio.Monitor all alerts – investigate lateral movement & domain dominance alerts.
  3. Trabalhe com o Guia de alerta de segurança para entender as ameaças e fazer a triagem de ataques potenciais.Work with the Security Alert guide to understand threats and triage potential attacks.

Fase 3Phase 3

  1. Integre alertas do Azure ATP a seus fluxos de trabalho do SecOp.Integrate Azure ATP alerts into your SecOp workflows.

Veja TambémSee Also