Microsoft se lance dans l’analyse de sécurité

L’éditeur vient de présenter une solution qui doit permettre de détecter les menaces de sécurité par analyse des comportements. Le fruit du rachat d’Aorata.

Microsoft vient de présenter Advanced Threat Analytics (ATA), une solution de détection des menaces de sécurité avancées par analyse des comportements. Dans un billet de blog, l’éditeur explique sa démarche : « aujourd’hui, dans le Cloud [Azure], nous pouvons détecter et aider à protéger votre organisation contre un vaste éventail d’attaques, dont les attaques en force brute, celles d’anonymiseurs, celle lancées depuis des endroits inhabituels, et bien plus encore ». Un niveau de surveillance que Microsoft ne proposait pas pour les déploiements d’Active Directory en local.

ATA doit permettre de compenser ce manque en « apportant surveillance de sécurité et détection d’anomalies en local, comme pour Azure Active Directory ». Le fruit du rachat d’une start-up, Aorato, en novembre dernier.

Dans le même billet de blog, Idan Plotnik, ancien Pdg d’Aorato et maintenant directeur de l’équipe Microsoft ATA, détaille une approche qui rappelle le troisième camp de l’analytique de sécurité décrit récemment dans nos colonnes par Eric Ahlm, directeur de recherche chez Gartner.

Plotnik explique ainsi avoir fondé Aorato en 2010 sur la base de la conviction que « la seule manière de détecter les attaques avancées est une combinaison de l’analyse du comportement d’entités (utilisateurs, périphériques et ressources) et de la détection en temps réel des tactiques, techniques et postures des attaquants ».

De quoi intégrer la fameuse UBA, mais également aller au-delà. Et cela notamment parce que, selon lui, se contenter de l’analyse du comportement des utilisateurs, même en s’appuyant sur des algorithmes à apprentissage, « n’est pas suffisant pour détecter les attaques avancées ; une approche plus globale est nécessaire ».

Et si certains misent uniquement sur l’analyse de logs, pour Plotnik, ceux-ci « ne racontent que la moitié de l’histoire […] Les vrais indices sont des paquets réseau. C’est pourquoi vous avez besoin de combiner inspection des paquets en profondeur (DPI) et informations issues d’Active Directory pour détecter les attaques avancées ».

Et c’est donc l’approche retenue pour concevoir ATA. La solution « s’appuie la DPI pour analyser le trafic réseau liés à Active Directory, ainsi que sur les informations venant du système de gestion des événements et des informations de sécurité (SIEM) et de l’annuaire ».

Microsoft ATA analyse ces données pour « créer des profils comportementaux pour chaque entité de l’organisation », associés à une carte des interactions entre celles-ci. De quoi ensuite détecter les anomalies.

Plotnik souligne que Microsoft ATA fonctionne de manière « non-intrusive » en répliquant en miroir tout le trafic lié à l’annuaire. Pour l’heure, une solution de test est disponible gratuitement ; elle est assortie d’un guide de déploiement.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close