Microsofts Advanced Threat Analytics soll Firmennetze schützen

Microsoft will Firmennetze mit Advanced Threat Analytics gegen Angriffe und Eindringlinge wappnen. Die Software setzt am Active Directory an, soll lernfähig sein und präsentiert Verdächtiges in einer Zeitleiste.

In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
Microsoft Advanced Threat Analytics
Lesezeit: 2 Min.

Microsoft will seine Security-Komponente Advanced Threat Analytics (ATA) ab August allgemein zum Verkauf anbieten. Die Software ist eine Art Intrusion Detection System und soll Eindringlinge in Firmennetze sowie Angriffe schneller entdecken und die Angriffsfläche eines Netzes verringern. Dazu wertet es Windows-Events und das Active Directory (AD) aus und setzt auf Machine Learning. Die Technik erwarb der Konzern mit der Übernahme des israelischen Start-ups Aorato Ende 2014.

Microsofts Advanced Threat Analytics (ATA) soll Angriffe und Eindringlinge erkennen. ATA-Gateways analysieren den Netzverkehr und beobachten Aktivitäten von Benutzern. Das ATA-Center wertet die Informationen aus und präsentiert eine Zeitleiste mit auffälligen Ereignissen.

(Bild: Microsoft)

In einem Blogeintrag stellt der ehemalige Aorato-CEO Idan Plotnik zahlreiche Details vor. ATA bezieht Informationen aus dem Active Directory sowie dem Security Information and Event Management (SIEM) oder per Windows Event Forwarding (WEF). Es zeigt sicherheitsrelevante Ereignisse im Kontext auf einer Zeitleiste im Social-Media-Stil. Nach Microsofts Ansicht ist diese Präsentation leichter verständlich als traditionelle Security-Software, bei der Logs gelesen und mehrere isolierte Meldungen erst in einen Zusammenhang gebracht werden müssen.

Die Software untersucht die Aktivitäten von Benutzern und Systemen im AD und soll normales Verhalten allmählich besser von verdächtigen Aktivitäten unterscheiden können. Ein oder mehrere ATA-Gateway analysieren den Netzverkehr per Port-Mirroring an den Domänencontrollern (Deep Packet Inspection, DPI). Die gesammelten Daten schicken die Gateways an das ATA-Center zur Analyse und Aufbereitung. Eine Broschüre erläutert das Konzept und gibt auch einen Eindruck von der Zeitleiste.

ATA soll verdächtiges Nutzerverhalten entdecken, wozu beispielsweise ungewöhnliche Arbeitszeiten und das Weitergeben des eigenen Passworts zählen. Außerdem soll es bekannte und unbekannte Angriffe in Echtzeit erkennen, wie etwa Brute-Force-Attacken, Pass-the-Ticket oder Pass-the-Hash. Mangelhafte Konfiguration von Komponenten und Sicherheitslücken soll es ebenfalls aufdecken können. Dazu gehören etwa unsichere Protokolle oder unterbrochene Vertrauensketten.

Die Software soll separat für eine Vor-Ort-Installation zu erwerben sein sowie als Teil der Enterprise Mobility Suite, einem Paket zum Verwalten mobiler Endgeräte. Kunden mit einer Volumenlizenz sollen im Rahmen der Enterprise Client Access Zugriff auf die Software erhalten. Weitere Details sowie Preise sind derzeit nicht bekannt. (tiw)