[資安小常識] OMS 最新安全功能

       Microsoft Operations Management Suite (OMS) Log Analytics 橫跨內部部署資料中心與雲端,致力於加深對 IT 環境的洞察力。Security and Audit 解決方案用資料幫助驅動更全面的安全措施。新功能增進了使用者體驗、擴大了原本的能力範圍。 Security and Audit 新儀錶板介面        Security and Audit 的新介面可以說是 OMS 安全相關資訊的總整理。不論一天、一周、或是其他自訂的時間長度內,所有的事件、伺服器的狀態報告都能在這裡一覽無疑。新介面含有網頁版和行動版。儀錶板包含三部分: 1.Security Domain Dashboard 安全包含多種領域、有多種資料來源和需要被視覺化的數據,新介面提供儀表板更多 domain dashboard 選項: Identity and Access: 呈現驗證和控制存取事件相關的安全資訊 Networking: 收集自 OMS WireData 解決方案的網路資料所做的安全提要 Azure Security Center: Azure Security Center (為 Azure 中的資源提供加強安全防護和偵測)的連結 Malware…


[資安小常識] OMS Log & Security

Operations Management Suite (OMS) 中的 Operational Insight,匯集了來自混和雲環境中、實體機器、虛擬機器、跨平台的完整系統紀錄檔資料。OMS中的安全解決方案利用 Log Analytics 豐富的視覺化和強大的搜尋功能,替我們從繁雜的紀錄檔中做出準確,系統性的整理。而新功能除了找到相關資料和事件以外,也加強了客製化追蹤和評量能力,以及對Linux更完善的支援。   OMS Security & Compliance Solutions           安全問題涵蓋廣泛,相關聯的資料自然多而雜。Solution Gallery中也能看到多樣的解決方案。有追蹤惡意程式和保護狀態的Malware Assessment,也有System Update Assessment建議或標記遺漏的更新。另外對於安全議題非常重要的事件紀錄檔,有Security and Audit作為核心解決方案:收集事件、找到異常的登入、高權限、原則更動、可疑活動模式等並搜尋弱點。           對於傳統的安全系統需求,以上的解決方案利用Log Analytics達到了IDS 的需求,而OMS的災難復原能力滿足了IPS的需求。OMS 利用Azure Backup 和Azure Site Recovery在雲端的儲存體和虛擬機器分別保護資料和工作負載,並且用Azure Automation自動化應對措施,而不再只是被動的面對安全問題。OMS的備份與復原能力其實有比安全更廣泛的用途:同步工作、移植機器、開發與版本測試等,皆是使用者的實際應用。另外 Azure 的其他的資料分析服務更是讓來自雲端的OMS超越IDS & IPS格局的潛力。   OMS Data Security           Data segregation: 資料儲存在編碼保護的BLOB儲存體中,並受到有條理的標記分類           Data retention: 能夠依解決方案和需求彈性調整資料儲存時間和空間價位。           Physical Security: 來自雲端的OMS有Azure的值得信任的安全能力。          …


[資安小常識] 淺談 Azure Security Center

原則基礎的安全系統管理方式提供單一管道監控系統是否符合安全原則、並排解系統違規問題,讓各 CISO 得以管理組織系統安全,成為他們口中的「聖杯」。 透過擴建微軟或第三方可信任雲端安全資料分析和可靠的威脅智慧回報,再將這些能力緊密整合您組織的身分存取管理策略、內部部署安全資訊、SIEM,將原則基礎方法往前跨一大步,更接近 CISO 們心中理想的安全樂土。 基本上這就是 Azure Security Center 在做的事:為您的 Azure 訂閱中的資源提供安全監控和原則管理的整合。這是 Microsoft Azure 的全新功能,並且已經推出公開預覽版。 Azure Security Center 的能力分類成預防、偵測、和回應(以下截圖中的紅色標記),是和「保護、偵測、和回應」的安全策略相仿的便利設計,許多企業客戶都已經開始使用。 原則基礎監控 Azure Security Center 讓組織能監控和管理 Azure 中虛擬機器、網路資源、SQL 資源、和應用程式。在您的 Azure 訂閱上設定安全原則並啟用資料集(如以下及截圖),將根據 Azure 上的安全設置和收集事件的資料及分析定義您想看到的安全專業建議。當資料集啟用後,其代理程式將自動安裝於 Azure 訂閱中符合安全原則的各個虛擬機器。這能讓資源內所發生的事情,在 Azure Security Center 中獲得資料驅動的觀點。決定要將您在 Azure 資源中收集的資料存至何處(Azure 地區),以維繫組織內可能存在的存放原則。 安全專業建議 Azure Security Center 定期分析您 Azure 資源的安全狀態。您從 Azure 訂閱中的虛擬機器所收集的資料讓 Azure Security Center 能監控您違反原則的 Azure…


[資安小常識] Microsoft CEO Satya Nadella 在 WPC 主題演講: 企業資訊安全

New approach 在行動與雲端優先的世界,筆記型電腦、自攜式行動裝置、物聯網感測器…員工從各式各樣的裝置,企業內部應用程式和高敏感度資料。雖然現今科技為企業、個人帶來更多產值,轉型的同時也讓企業暴露於更多的威脅和風險。 安全一直是微軟的焦點,而我們發現面對現今數位世界的安全威脅,需要有新的防護、偵測、因應措施。我們必須保護所有端點,不論是感測器和資料中心、或是身分和 SaaS 應用程式;我們必須加緊腳步利用雲端的規模和智慧、機器學習、行為監控,來偵測威脅;我們必須要能快速、全方位的回應,並提供客戶可操作且綜合的洞察能力。 由數十億資料來源的大數據造就了安全圖表、發展出微軟對威脅攻擊的獨特見解,提供端點更好的防護與偵測,並加速回應。安全智慧圖表受惠於我們廣大的端點資料、客戶服務、廣告服務、內部部署科技,讓我們的資料防護在客戶中有獨特地位。 微軟每年投資超過十億美元在安全研發上。而為了加深付出,我們帶來 Cyber Defense Operations Center 作為加強保護客戶資料的新計畫。我們的先鋒集合了全公司的安全因應專家,直接利用微軟上下安全專家、資料分析、工程師、開發人員、管理人員、和營運專家的專業,隨時準備因應解決安全威脅。 在業界多年對抗全球規模威脅的經驗,保持著和業界安全合作夥伴、政府、企業客戶的重要連結,我們設立了  Microsoft’s Digital Crimes Unit (DCU),多方支援面對法律問題。 我們也宣布成立 Microsoft Enterprise Cybersecurity Group (ECG) 來延伸我們對客戶安全的付出。這個團隊投入在安全解決方案、促進IT平台現代化,並安全轉移到雲端。ECG 提供安全評估、持續的監控、威脅偵測和事件回應能力。他們幫助客戶利用微軟最高等的安全和隱私科技,給資產的安全陣線更好的信心。   綜合、靈活的安全性平台 Satya 在 keynote 展示了 Windows 10、Office 365、Microsoft Azure、和 Microsoft Enterprise Mobility Suite (EMS) 的串連,與合作夥伴解決方案所共同創新的綜合、靈活的安全平台。以下是一些實例: 預防相關密碼攻擊 Microsoft Passport 和 Windows Hello 是 Windows 10 獨有功能,運用生物認證降低了認證過程對密碼的依賴性,而 Credential Guard 能防禦進階的…


[資安小常識] 雲端備份資料安全與 Azure Backup

備份資料的安全基礎 維護商業資料備份的品質是企業連續性(和提供優質客戶服務)的關鍵。在遭受攻擊或意外下要能簡單迅速的補回遺失資料讓業務能正常運作,確保客戶不受影響。中小型企業需要有可靠的資料備份策略。備份就是希望能有效率的復原,但資料的安全也是不可忽視的重點。 現在雲端技術普遍,也有許多選擇,雲端備份已經漸漸取代傳統的磁帶成為新的主流資料備份方式。但是雲端存取資料不等於安全。雲端資料從早到晚都有遭受攻擊的機會,如果後端沒有適當保護將帶來重大潛在風險。 雖然雲端供應商必定會為自己也為客戶設下防護,但企業本身也應該主動加入防護陣線,以補足供應商潛在的安全弱點。 以下是安全備份的基本檢查點: 對備份檔案進行編碼 備份必須經過編碼才談得上安全。不論是檔案本身或是整個個雲端硬碟都是編碼對象;開源、跨平台、免費,軟體工具有許多選擇。備份資料需要經過至少256-bit 進階編碼標準( Advanced Encryption Standard,或 AES)的編碼來包裝,否則將會易於攻擊。448-bit編碼接近無法破解,是理想的編碼強度,但多數供應商尚未達到。 由編碼後的資料流上傳雲端儲存空間 備份資料有編碼,傳送時也應該要經過編碼,一樣至少256-bit AES,並且供應商理當告知連線的編碼層級以供參考。 確保雲端供應商對儲存檔案進行編碼 供應商應該要無法存取客戶的檔案,所以企業只需要在供應商安全的資料庫中,獲得一個受到編碼保護的空間,以存放自行編碼後的檔案。當然供應商需要能證明自己的安全層級得以信任,讓客戶在無法左右的地方也能感到安心。 嚴控自己的編碼金鑰 在安全達標的情況下,供應商無法替客戶登入帳號或重設密碼。最好的做法是只給自己資料存取全。因為無法靠別人幫忙重設,所以需要記下編碼金鑰才能存取備份。而金鑰最好和備份分開,存在安全的實體空間。在良好的編碼系統下,掉了金鑰就等於掉了資料。   Azure Backup + Windows Server Azure Backup會將備份資料存放在異地複寫的儲存體中,資料會在兩個 Azure 資料中心保留 6 份複本。在雲端壓縮、加密、更長的保留時間及頻寬節流等內建功能,在確保存放和傳送都達安全標準之下,維持備份資料的高可得性和取用效率。而Azure眾多虛擬機器的相關雲端服務也讓擴建備份或是移轉的過程變得更加理想。 Windows Server 2012 R2 中新增的改良功能讓您能夠有效運用資料中心的容量,同時為 Microsoft 工作負載提供同級最佳的效能。您可以存取多種企業資源,例如工作負載、儲存空間與網路,以提升商務靈活度,同時保護企業資訊。 Windows Server 2012 R2 提供經企業級雲端與資料中心平台,可以輕鬆擴建以持續執行最大工作負載,且提供高效能的 Hyper-V 客體與大空間的虛擬硬碟。而強大的可用性可防範服務中斷的情形。自動化保富與復原讓企業用雲端得到符合成本效益的商務連續性:提升工作負載 SLA,同時降低停機風險。在與Azure Backup合用之下,能讓企業資料中心的混和環境上下都能安全存放資料,並且動靜皆宜。 資料與應用程式份散在伺服器、用戶端、雲端。包括 SharePoint、Exchange 和 SQL Server、檔案與資料夾、Windows 伺服器與用戶端,以及 Azure 基礎結構即服務…


[資安小常識] 因應2016雲端資安趨勢的皇家馬德里和Azure AD B2C

在討論雲端之前,先看看 PWC 2016 的 the Global State of Information Security Survey歸類的五大重點: 風險基礎框架的回饋 絕大多數的組織-91%-都有安全框架,而大部分都是選擇混合框架。ISO 27001是大家最常依循的準則。這樣的指導原則讓威脅更快被辨認和偵測、降低風險並釐清安全缺口。風險為主的框架讓公司不論對內或對外更有效的溝通、合作,來面對資安問題。這些框架也能幫助企業設計、監控、衡量更好的資安防護。許多人也認為敏感資料因而更有保障。 從雲端資安獲益 近年因為供應商穩定投資資料防護、隱私、網路安全、身分和存取管理等進階科技,雲端運算儼然進化為縝密的資安工具。不難想像69%的組織使用雲端資安服務來幫助保護敏感資料和隱私。 大數據的衝擊 大數據越來越大。今年59%的組織利用分析大數據來建構模型並監控資安威脅、回應事件、並審視資料來了解它的用途和來源。資料導向的方法讓資安防護從被動外圍防禦進步到能善用即時資訊設法預防攻擊。資料導向的資安讓公司更清楚網路中的異常活動並能更快速辨認和回應攻擊。 與外部合作,強化資訊安全情報 過去三年和外部合作的組織數量穩定成長。從2013年的50%成長至今年的65%,組織表示合作下加強了資訊安全、降低了風險。爭取合作的組織明顯獲益。大多組織表示外部合作讓他們更好分享和接收產業夥伴的資訊,像是Information Sharing 和 Analysis Centres (ISACs),政府和法律單位。資訊分享需求提高了許多人的警覺。 更高位階 科技驅使大家開始聚焦資安能力和人力的培養。因而資安相關高層扮演越來越重要腳色。今年54%的回報組織擁有負責安全計畫的CISO。49%擁有一位CSO。不論頭銜是什麼,這些職位和責任都是近年資安位階提升的結果。資安議題更加深入董座助長安全實施。46%的董事會參與資安預算生成,這無疑是安全經費得以提升的一大因素。另外識別主要風險、培養組織的安全意識,還有更好的總體風險管理和業務目標的安全陣線,都是值得一提的良好成果。    企業運用雲端的實例- 皇家馬德里 和 Azure AD B2C 皇家馬德里是世界聞名的足球隊,不僅冠軍獎盃數量引以為傲,龐大的粉絲團和熱情球迷對球團來說是更珍貴的資產,然而4.5億的全球關注與支持是甜蜜的負荷,行銷和管理與科技必然的結合帶來許多問題。 如果想要貼近、了解、回饋球迷,就必須要能儲存粉絲資料。但身分管理需要耗費許多IT資源:帳號密碼管理和服務、支援不同登入方式、不同類型的安全驗證、身分確認….更何況身為大球隊、用戶數量驚人且會持護擴大。撇開自己的管理難題,還要為用戶資料的安全負責,而做好資安防護又是另一個大花費。 皇家馬德里在Azure AD B2C preview就開始合作。Azure AD B2C不僅幫球團管理好用戶資料,也讓龐大多元的用戶能使用跨平台的裝置, 也支援使用主流大社群帳戶如Facebook、Google的登入。如此一來因為雲端廣泛的支援服務與跨平台所帶來的高可得行,公司為粉絲發行的APP的影響力更大。然而網路的大接觸面積也代表遭受攻擊的機會增加。有Azure AD一如往常優秀的統一管理和安全服務下,公司能較有保障的擴大服務規模。不論是多重要素驗證、威脅偵測、安全回報,或是Azure能找到的眾多資安工具,原本IT管理公司的功能,現在都能帶給客戶端同樣的效益。另外皇家馬德里的龐大客戶群,更是整個雲端和自家企業的大數據分析完美的來源。 “The Azure platform will help us provide the services we want…


[資安小常識]多重要素驗證(Multi-factor Authentication)(MFA)

憑證洩漏和身分竊盜在網路犯罪中有最高比率。資訊無所不在、所有人的資訊互相連結;新時代帶來了豐沛商業契機和廣泛便捷的應用以外,同時安全問題也因為無邊界的延伸變得防不勝防、吸引更多人推進犯罪科技。 舉例來說,憑證釣魚攻擊變得更加頻繁,許多網站入口其實是認證資料的誘餌(網站有可能受汙染,也有可能直接來自惡意組織的系統)。在Microsoft Security Intelligence Report volume 17中*,2013年11月到2014年6月期間,微軟參與用戶防護之中,追蹤到約1,700起網站憑證偷竊,包含超過2300萬份憑證被公開於網路之中。這只是處於網路邊邊角角、操作不法憑證交易的論壇與網站中一小部分的數據而已。   多重要素驗證(Multi-factor Authentication)(MFA) 過去在CPU能力成長、彩虹表、GPGPU等專為暴力破解密碼的技術帶來的挑戰下,密碼複雜度失去效力。MFA早已為了不讓密碼組孤軍奮戰而存在,並非資安的生面孔。但網站釣魚與竊盜技術的增進,行動裝置的普及、多個裝置登入一個帳號的情況下,憑證暴露的機會變多;行動化與雲端世界來臨下,MFA變成身分認證不可或缺的防線。   驗證要素 MFA結合兩個以上不同要素的獨立憑證,致力於增加防護的層次,讓未授權使用者無法存取地理位置、裝置、網路、或資料庫等等目標。 以下是三大最常見的驗證要素: Knowledge factors 知識要素 使用者利用所知道的資訊作為憑證。包含使用者名稱、PIN和密碼等字母數字組合、安全提問設計等等。 Possession factors 所有要素 任何使用者所持有,實體或虛擬,能用來獲得權限的憑證。好比隨身攜帶的員工ID、臨時發放的入場識別證、電話的SIM卡、認證碼產生器和單次密碼,或甚至裝置本身也能是限制存取的工具。 Inherence factors 繼承要素 利用使用者的生物特徵作為憑證,這是在虛擬環境下未經紀錄無法獲得的資訊。生物驗證的例子包含虹膜掃描、語音辨識、臉部識別,和指紋等等日漸進步的便捷應用。 也有人多提出下列兩項要素: Location factors 位置要素 用所在位置作為憑證。行動裝置的普及讓地理資訊應用更廣泛,GPS、手機定位系統實現有效的地理驗證。 Time factors 時間要素 有生命期限的憑證。使用者不再對資料有需求後,將權限收回。另外時間要素也能在適當監測下,輔助找出童身分不合邏輯的可疑操作,例如驗證登入時間閒置或過長,或帳號短時間內從不同地點嘗試登入。   MFA的不足 MFA有很好理解的不便利性,沒有人想要開一扇門用三把鑰匙,而且還不能放在同一鑰匙圈上。另外若是忘記碼,更多的時間和程序就是安全的代價。另外打鑰匙找鎖匠也需要成本,不論是設置MFA系統(實體或虛擬環境)、還是教育使用者開鎖,都是成本。 另外,從Ten Immutable Laws Of Security**中可以由簡單的邏輯、連鎖效應,看出資料的可得性難以壓縮,資訊安全的顧慮繁雜且傷害日益加強、容易擴散。將MFA在這些定律中的定位和現今的環境做簡單討論便可以發現其中的不足。 今天許多人都有許多虛擬身分、網路上無數個帳號,身分認證的使用量與對外接觸面積的劇增。另外網路犯罪和APT***的興盛。多重要素也經不起長時間和多方面的攻擊。 MFA就像是防護措施的防護措施,舒緩各種攻擊來源卻不會阻擋攻勢。身分認證需要完整的配套方案,以下以Azure Active Directory為例來看現今的雲端服務的相輔相成: 先前提到的帳戶過多的問題,Azure AD單一帳號登入所有應用程式和服務,這能大大降低部署好MFA保護的帳號因為其他帳號遭到破解而連帶受到威脅的機會。這也讓用者能用同一套認證系統使用所有需要的應用程式。Azure AD提供給使用者的自助入口介面更讓忘記密碼等麻煩情況可以更快解決。 Azure AD和原本內部部署Active Directory的整合和微軟的MFA能省下許多整合成本,不論是內部部署、雲端、或是遠端操作。 另外在Azure…


[資安小常識]Enterprise Mobility Suite (EMS)作為企業邁入行動與雲端優先世界的最佳安全解決方案

在一個行動與雲端優先的世界,IT保障企業資料安全安的工作變得更具挑戰性。網路攻擊的侵略性和複雜度都在成長,IT接獲更加頻繁的安全回報,負擔日漸沉重。 又在眾多網路攻擊中,身分認證是最長常見的攻擊目標。主要原因不出兩點: 許多員工使用自己的裝置工作,但仍不熟悉如何安全持有憑證 市場上大部分安全工具過於笨重:回報過量或不易讀、微調費時 傳統資安解決方案在安全漏洞出現後的執行能力存在巨大問題。傳統IT對基礎架構的監控能力和資安技術已經隨著時間衰弱;有些產品縝密的防護也在載入大量資料後失效。分秒必爭的安全攻防下,辨認並隔離入侵者的過程容不下絲毫延遲和過量誤判。 企業需要相應的新版安全解決方案,且必須建構於 下列核心考量: 以身分認證為控制平台 對廣大資料集做機器學習並獲得洞察力 多層面的保護   微軟已經為生產力工具帶來跨層面的安全解決方案-Enterprise Mobility Suite。EMS針對IAM(identity and Access management)、MDM&MAM(Mobile Device&Application Management)、資料防護、虛擬環境操作,提供了相應的產品組合: Azure Active Directory Premium 微軟隨著雲端趨勢的腳步,先前Windows Server、Forefront Identity Manager、Active Directory 等對市場頗具信服力的內部部署成就,將引以為傲的功能帶上雲端整合,也讓以身分認證為核心的管理平台化為可能。Windows Server 2012 R2、Azure AD Premium等新版產品合作之下,已經有IaaS(Identity as a Sevice)上的優良表現。以單一帳號登入存取公司資源,並以多重認證(multi-factor authentication, MFA)讓憑證的存取行動更安全。MAM也因為新型雲端架構,能夠探索雲端中未授權的SaaS(Software as a Service),監測是否有不當裝置使用或異常資料流向。 Microsoft Intune 自雲端管理裝置(PC或行動裝置)執行MDM。多種不同作業系統平台的裝置皆能自客戶端輕鬆註冊、相反的也有完善的註銷程序。減少IT工作量之餘也能減少裝置發配的成本;提供員工選擇工作裝置的自由,也因應現今行動裝置高汰換率的問題。裝置能回報錯誤至雲端,更有效率的解決員工裝置的問題。Intune同時也是MAM的解決方案。限制應用程式之餘,也能區分工作與個人的資料應用、分離雲端和內部部署功能,允許裝置保有適當又安全的個人空間。最後,Intune和自家招牌產品Office的最佳整合是產品一大吸引力。 先前對於Intune的更多介紹:[資安小常識]Intune Azure Rights Management EMS利用Azure Rights Management做到檔案層級的資料保護,幾乎任何格式的檔案皆可直接以編碼加密。管理檢視與讀寫權限,同時限制資料流向,確保檔案存取於合法雲端或本機空間。 先前對於Azure Rights Management的更多介紹:[資安小常識]Azure…


[資安小常識] Windows Server 2003 終止支援

Windows Server 2003在2015/7/15 (台灣時間)終止了為期十二年的延伸支援。 過去一年中許多客戶已經準備計畫並遷移到當前的Windows Server 2012 R2基礎架構上,一些遷移至最新科技以支援新興需求的客戶體現了顯著的商業價值。 門窗領導廠商 Pella Corp 的業務從中獲得的額外生產力:舊有應用程式轉移至Windows Server 2012 R2後,效能因動態記憶體而提升,多重基礎架構的管理效率也受惠於Active Directory網域服務;The Walsh Group突破預算和資源限制,以獲得Windows Server 2012 R2 和 Microsoft Azure 等最新科技。在強化工作網站後,以芝加哥為基地的這家企業因此得以集合全球的勞動力和構想提升競爭力。 若企業繼續使用Windows Server 2003,將必須承擔安全風險以及系統不符合相關規範的可能。我們建議您盡早遷移系統:保護伺服器和持續接收微軟安全更新及修補程式,也為了獲得更好的營運效率、減輕IT負擔並借力當前雲端科技與應用促進靈活性。 遷移作業目的不僅止於軟體更新,還必須滿足應用程式、各種應用、嵌入式系統需求。建議在實施遷移前深入探索公司軟體的各種應用和運行狀態(包Window本身、客製化和第三方的應用程式)、所使用的各Windows Server(以及其他伺服器)的用途。評估伺服器和應用程式、 資料庫之間的相依性。雖然這次終止支援的是Windows Server 2003,但對系統做出完善調查也是應對其他終止時日及將至的服務的好機會(如2016/04/12將終止支援的SQL Server 2005)。當然,每一次的遷移依舊需要專屬的作業程序。盡早計畫系統遷移能紓解IT壓力,滿足新興的商業需求,並提供開發人員合乎時宜的環境和工具。 以下為基本遷移程序,詳細說明以及協助評估可見官方網站Planning Assistant 以下為Windows Server版本概觀。微軟重視未來的「行動優先,雲端優先」的策略、產品與服務。除了表格所見的各支援功能之外,Windows Server 2003無法應付未來市場需求、也不易整合微軟行動與雲端服務的各項解決方案。詳細可由官方網站首頁下載── IDC white paper: Why you Should Get Current (pdf檔) 參考資料: Windows Server 2003 End-of-Support…

0

[資安小常識] Microsoft 推出 ATA Advanced Threat Analytics 預覽版!

在現今網路使用者遭受許多資訊安全危害,包括暴力密碼破解攻擊、匿名攻擊、非典型位置的異常攻擊和許多其他類型的攻擊。而Microsoft剛發佈了 Microsoft Advanced Threat Analytics(ATA),Microsoft ATA 是一個新的內部部署產品,提供 Azure AD 模式的安全性監控和異常偵測內部部署,提供使用者新一代資訊安全防護。 ATA偵測進階攻擊的方法是針對實體(使用者、裝置和資源)行為分析(現今通常稱為使用者行為分析[User Behavior Analytics,UBA])和即時偵測攻擊者的方法、技術和程序(Tactics、Techniques 和 Procedures,TTPs)等組合。] 1. 在使用者行為分析中僅使用機器學習演算法不足以偵測進階攻擊;我們需要更全方位的方法。 大多數情況下,演算法多為事後偵測異常,但有很大的可能攻擊者已經成功攻擊。若以綜合安全風險、TTPs即時攻擊的偵測以及利用機器學習演算法做行為分析,如此的防範機制才可提供全方位、即時的資訊安全保護。 2.分析多個資料來源,是偵測進階安全性攻擊的關鍵。 分析記錄檔無法全面剖析資安風險,甚至會向您誤報;真正的辨識項位在網路封包中。這就是為什麼您需要深度封包檢查(deep packet inspection,DPI)、分析紀錄檔以及解析 Active Directory 資訊的組合來偵測進階攻擊。 行為分析結合即時偵測 TTPs Microsoft ATA 是一套內部部署、非侵入式(non-intrusive)的解決方案,利用深度封包檢查(DPI)技術來分析 Active Directory 等相關網路流量,以及來自Security Information and Event Management (SIEM) 的資訊。 ATA 分析這些資訊在您的組織為每個實體建立動態行為設定檔,並建立一個組織安全性視圖(實體互動地圖顯示使用者、裝置和資源的活動內容)。 建立互動地圖後,ATA將識別異常行為、進階攻擊和安全性風險,ATA無須安裝桌面與伺服器代理程式。Microsoft Advanced Threat Analytics 有三個主要防範機制: 異常行為偵測:ATA 使用機器學習演算法來偵測異常的使用行為,包含異常登入與資料存取,甚至是異常的活動時間。 TTPs 即時進階攻擊:ATA 使用 DPI 和來自其他來源的資訊來識別進階攻擊,像是Pass-the-Hash、Pass-the-Ticket、Overpass-the-Hash、Forged PAC(MS14-068)、Golden Ticket 和遠端執行網域控制站(Domain…

1