Úvod do Azure ATP

25. 10. 2020 Azure, IT Pro

Chcete zabezpečit vaši síť, monitorovat aktivitu uživatelů v síti a předvídat potenciální útoky? V tomto článku si představíme, co Azure Advanced Threat Protection umožňuje a jeho nasazení.

Pokud by vás zajímalo, jak Azure ATP nasadit, přejděte na náš další článek:

Azure ATP umožňuje

Detekování útoků

Azure ATP monitoruje chování všech entit v organizaci (uživatele, zařízení, zdroje dat), detekuje anomálie a následně vám jasný, real-time organizovaný přehled o incidentech, abyste mohly rychle reagovat na bezpečnostní hrozby. Jak je ukázáno v následujícím diagramu, typický útok je provedený na entitu, jako je uživatel s nízkými pravomocemi, nebo jeho zařízení, a následně se rychle pohybuje, dokud nezíská přístup k cenným prostředkům.

Průběh útoku, začínajícího od kompromitace účtu zaměstnance, končícího kompromitací sensitivních firemních dat
Anatomie pokročilého útoku | Zdroj: Microsoft Tech Community

Monitorování chování uživatelů

Azure ATP monitoruje a analyzuje aktivity uživatelů v celé síti, jako jsou např. oprávnění a členství ve skupinách, čímž si vytváří profil chování každého uživatele. Azure ATP následně identifikuje anomálie a poskytne vám přehled o podezřelých aktivitách a událostech, odhalí pokročilé hrozby, ohrožené uživatele a vnitřní hrozbám kterým čelí vaše organizace. Senzory Azure ATP monitorují celou organizaci, nasazují se na on-premisové řadiče domény a hlídají on-premisovou Active Directory a poskytují komplexní přehled o všech aktivitách uživatelů z každého zařízení.

Timeline aktivit zaměstnance na všech jeho firemních zařízeních
Časová osa aktivit zaměstnance | Zdroj: YouTube

Ochrana identit uživatelů

Azure ATP vám poskytne přehled o konfiguracích identit a doporučených postupech zabezpečení. Prostřednictvím analýz profilů uživatelů pomáhá Azure ATP dramaticky snížit možnosti pro útok na vaši organizaci, zároveň tím ztěžuje kompromitaci přihlašovacích údajů uživatelů a předvídá potencionální útok. Pohyby uživatelů, znázorněné vizuálně vám pomůžou rychle pochopit, jak se útočník může pohybovat uvnitř vaší organizace, tak, aby ohrozil citlivé účty a pomáhá předcházet těmto rizikům.

Vizuální znázornění, jak se útočník může pohybovat uvnitř vaší organizace, tak, aby ohrozil citlivé účty
Pohyb útočníka uvnitř vaší organizace, znázorněný pomocí grafu | Zdroj: YouTube

Identifikujte podezdřelé aktivity uživatelů a pokročilé útoky

Běžně jsou útoky prováděny skrz všechny dostupné entity, jako je např. uživatel s nízkými oprávněními, a poté se rychle pohybují, dokud útočník získá přístup k cenným prostředkům – např. Citlivým údajům, správcům domény a vysoce citlivým datům. Azure ATP identifikuje tyto hrozby už v době jejich vzniku.

Poskytování jasných informací o útocích na jednoduché časové ose

Azure ATP bylo navrženo tak, aby nezobrazovalo, zbytečná upozornění, ale pouze relevantní, důležitá upozornění na jednoduché real-time organizované časové ose. Časová osa Azure ATP zůstane zaměření na to, na čem skutečně záleží.

Relevantní důležitá upzornění na jednoduché časové ose
Relevantní důležitá upzornění na jednoduché časové ose | Zdroj: Microsoft Tech Community

Dodatečně, integrace Azure ATP s funkcemi Microsoft Defender Advanced Threat Protection, poskytuje další stupeň bezpečnosti, díky detekování a ochraně proti útokům na operační systém samotný.

Výhody cloudu

Díky velikosti a inteligenci Azure, vždy když detekujeme novou potencionální hrozbu, nebo způsob útoku, můžeme automaticky aktualizovat všechny aktivní tenanty. To znamená, že vaše ochranné možnosti jsou vždy aktuální.

Pokud vás téma zaujalo a chcete se dozvědět více, část článku jsem čerpal z https://docs.microsoft.com/cs-cz/azure-advanced-threat-protection/what-is-atp