Das SlideDeck des Microsoft Cyber Security IT-Camps 2017/2018
Im Slidedeck werden Produkte wie Windows Defender AV, ATP und ApplicationGuard und ExploitGuard behandelt.
13. 2016:
Phishing-Angriff auf Clinton-
Kampagne
Ergebnis:
50,000 E-Mails landen auf
Wikileaks…
…was den Ausgang der Wahl
möglicherweise beeinflusst hat
John Podesta (DNC)
Chairman bei der Clinton-
Kampagne
Er war maßgeblich für den
DNC-Leak verantwortlich
Phishing scheinbar durch
Tippfehler verursacht
E-Mail selbst gehostet
Keine Sicherheit / MFA
Keine Verschlüsselung
14.
15.
16. Malicious Attachment Execution
Browser or Doc Exploit Execution
Stolen Credential Use
Internet Service Compromise
Kernel-mode Malware
Kernel Exploits
Pass-the-Hash
Malicious Attachment Delivery
Browser or Doc Exploit Delivery
Phishing Attacks
ATTACK
ESPIONAGE, LOSS OF IPDATA THEFT RANSOMLOST PRODUCTIVITYBUSINESS DISRUPTION
ENTER
ESTABLISH
EXPAND
ENDGAME
NETWORK
DEVICE
USER
21. SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
DER WINDOWS 10-SICHERHEITSSTACK
22. On-Premises
Cloud
Windows 10
Enterprise
Device
Windows 10 Defense Stack & Supporting Technologies
Windows Hello for Business
Windows
Information
Protection
Windows
Defender
Credential
Guard
Advanced Threat Analytics Microsoft Bitlocker
Administration &
Management
Windows Defender
Advanced Threat Protection
Device
Guard
KMCI
Bitlocker
AppLocker
Health
Attestation
User
Account
Control
Active Directory
Active Directory
Federation Services
Device
Guard
UMCI
Azure Active Directory
Device Identity Data Application
EFS
Windows Server 2012
AD RMS FCI
Azure RMS / Azure
Information Protection
SmartScreen
Conditional
Access
Security Baseline
24. Bedrohungsschutz
über die Zeit
Angreifer nutzen die Zeit
zwischen den Releases aus
P R O D U K T -
V E R F Ü G B A R K E I T
B E D R O H U N G S -
R A F I N E S S E
Z E I T
FAÄHIGKEITEN
Änderungen mit
Windows und Software
as a Services
Angriffsszenarien werden
durch permanente Innovation
zerstört
Schutzlücke
26. UMFASSENDER SCHUTZ VOR BEDROHUNGEN
Extern
Intern
SmartScreen Windows-Firewall
Device GuardWindows Defender
Office ATP
Microsoft Edge mit
Application Guard
28. (Upgraded from Windows 7 or 32-bit Windows 8)
POST-BREACHPRE-BREACH
Breach detection
investigation &
response
Device
protection
Identity
protection
Information
protection
Threat
resistance
29. (Fresh Install or upgraded from 64-bit Windows 8)
POST-BREACHPRE-BREACH
Breach detection
investigation &
response
Device
protection
Identity
protection
Information
protection
Threat
resistance
32. Kernel Mode Code Integrity in Device Guard
UEFI Secure Boot KMCIPlatform Secure Boot UMCI AppLocker
Threat
Mitigation
Note
ROM/Fuses Bootloaders Native UEFI
Windows
OS Loader
Windows
Kernel, Boot
Drivers,
System Files
ELAM, AV
Driver, and
3rd Party
Drivers
User mode code (apps,
etc.)
42. DER WINDOWS 10-SICHERHEITSSTACK
SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Integritätsnachweis
Device Guard
Gerätesteuerung
Sicherheitsrichtlinien
Schutz von
Informationen
Geräteschutz/Laufw
erksverschlüsselung
Windows
Information
Protection
Bedingter Zugriff
Absicherung
gegen
Bedrohungen
SmartScreen
AppLocker
Device Guard
Windows Defender
Netzwerk/Firewall
Integrierte
zweistufige
Authentifizierung
Kontosperrung
Überwachung von
Anmeldeinfor
Schutz der
Identitäten
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Schutz von
Informationen
Absicherung
gegen
Bedrohungen
Bedingter Zugriff
Windows Defender
ATP
Integrität der Geräte
Gerätesteuerung
BitLocker und
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
43.
44. Threat
Microsoft SmartScreen
Phishing and malware filtering technology for Internet
Explorer 11 and Microsoft Edge in Windows 10.
URL Reputation Checks
Application Reputation Protection
Phishing Attacks
Social Engineered Malware
Deceptive Advertisements
Support Scams
Drive-by Attacks
Mitigation
47. • The Windows Defender SmartScreen provides an early warning system to notify users of suspicious
websites that could be engaging in phishing attacks or distributing malware through a socially
engineered attack.
• Windows Defender SmartScreen is one of the multiple layers of defense in the anti-phishing and
malware protection strategies
Check
downloaded
files Windows Defender
Cloud Protection
Click!
Attacker
Generate new
malware file
Send file
metadata
Evaluate
metadata
Verdict: Malware – Block!
Malware Block!
Including Machine Learning,
proximity, lookup heuristics
Command & Control
User
49. Number of exploited
web browser CVEs
Number of days with known
zero day exploit in the wild
Number of Vulnerabilities
(CVEs) by web browser
50. MICROSOFT EDGE: ENTWICKLUNG EINES
SICHEREREN BROWSERS
Die grundlegend verbesserte Sicherheit sorgt für eine vertrauenswürdigere Nutzung des Internets unter Windows 10
SCHUTZ DER BENUTZER
(SmartScreen)
(Microsoft Passport und Windows Hello)
(Cert. Reputation, EdgeHTML, W3C Content Security Policy,
HTTP Strict Transport Security)
SCHUTZ DES BROWSERS
www
Neues
(Universelle Windows-Plattform)
(Windows Address Space Layout Randomization auf 64-Bit-Systemen)
(MemGC)
(Control Flow Guard)
51. MICROSOFT EDGE SICHERHEITSVERBESSERUNGEN
Microsoft Edge und Flash
haben keinen Vollzugriff auf
win32k.sys—API-Aufrufe
werden gefiltert
Nur 40 % der Schnittstellen
stehen Flash und Edge zur
Verfügung – dies verringert
die Angriffsfläche
Win32k.sys
Flash Host-Prozess
Edge Content-Prozess
Vorher – Vollzugriff auf Win32.sys
Microsoft Edge Windows Kernel
Blockierte Win32k.sys-Schnittstellen
Zulässige Win32k.sys-Schnittstellen
Flash Host-Prozess
Edge Content-Prozess
Heute – 60 % weniger Schnittstellen verfügbar
Microsoft Edge Windows Kernel
Der Flash-Player hat jetzt
seinen eigenen AppContainer
Der Flash-Player wurde für
einen besseren Speicherschutz
gehärtet
52.
53. HARDWARE ISOLIERUNG MIT
WINDOWS DEFENDER APPLICATION GUARD
Verschiebt Browsersitzungen
in eine isolierte, virtualisierte
Umgebung
Sorgt für einen erheblich
besseren Schutz und härtet
den beliebtesten Zugang von
Angreifern
Veröffentlicht in Windows 10
Fall Creators Update (1709)
Hypervisor
Gerätehardware
Kernel
Windows Platform
Services
Apps
Kernel
Windows
Platform Services
Microsoft Edge
SystemContainer
Kernel
Wichtige
Systemprozesse
AppContainer Windows-Betriebssystem
Hyper-V Hyper-V
56. DEVICE GUARD
Windows-Desktops können für die
ausschließliche Ausführung von
vertrauenswürdigen Apps abgesichert werden
(vergleichbar mit mobilen Betriebssystemen
wie Windows Phone)
Unterstützt alle Apps inkl. Universal- Desktop-
Apps (Win32).
Nicht vertrauenswürdige Apps und
ausführbare Dateien wie Malware können
nicht gestartet werden
Die Apps müssen vom Microsoft-
Signierungsdienst signiert werden. Keine
weiteren Modifikationen erforderlich.
Hardwarebasierte App-Kontrolle
57.
58.
59.
60. erstellen Audit Mode
Golden Client
Golden Policy
Default Client
Root CA
Finale Policy
bestehend
aus Golden
Policy + Audit
Policy
Windows Store for Business
Code Integrity Policy
61.
62.
63.
64.
65.
66.
67. Kernel Mode Code Integrity in Device Guard
UEFI Secure Boot KMCIPlatform Secure Boot UMCI AppLocker
Threat
Mitigation
Note
ROM/Fuses Bootloaders Native UEFI
Windows
OS Loader
Windows
Kernel, Boot
Drivers,
System Files
ELAM, AV
Driver, and
3rd Party
Drivers
User mode code (apps,
etc.)
68. Overview
Application
Signing Options
Download default Device Guard configurable CI policy.
Catalog signing with enterprise-specific, unique keys.
Available to OEMs, IHV, ISVs, and Enterprises.
Code Integrity
Policy
Requirements
69.
70. SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
DER WINDOWS 10-SICHERHEITSSTACK
71. MODERNE SICHERHEITSHERAUSFORDERUNGEN:
PASS THE HASH-ANGRIFFE
Pass the Hash-Angriffe haben sich von einer
theoretischen zu einer ganz konkreten Bedrohung
entwickelt
Sie ermöglichen einem Angreifer über gängige
Hacking-Tools wie MimiKatz,
Benutzeranmeldeinformationen zu entwenden
Danach kann ein Angreifer häufig weitere
abgeleitete Anmeldeinformationen entwenden und
sich im Netzwerk bewegen
Der Angreifer kann sich häufig auch bei einer
Entdeckung im Netzwerk halten, indem er von
einer Identität zur nächsten wechselt
72. Credential Guard
• Credential Guard isolates secrets that previous versions of Windows stored in the Local Security
Authority (LSA) by using virtualization-based security.
• The LSA process in the operating system talks to the isolated LSA by using remote procedure calls.
• Data stored by using VBS is not accessible to the rest of the operating system.
• This prevents Pass-the-Hash and Pass-the-Ticket attacks
73. DER WINDOWS 10-SICHERHEITSSTACK
SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Integritätsnachweis
Device Guard
Gerätesteuerung
Sicherheitsrichtlinien
Schutz von
Informationen
Geräteschutz/Laufw
erksverschlüsselung
Windows
Information
Protection
Bedingter Zugriff
Absicherung
gegen
Bedrohungen
SmartScreen
AppLocker
Device Guard
Windows Defender
Netzwerk/Firewall
Integrierte
zweistufige
Authentifizierung
Kontosperrung
Überwachung von
Anmeldeinfor
Schutz der
Identitäten
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Schutz von
Informationen
Absicherung
gegen
Bedrohungen
Bedingter Zugriff
Windows Defender
ATP
Integrität der Geräte
Gerätesteuerung
BitLocker und
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
83. Gründe für
Windows Hello
Gerätelokale Authentifizierung
• Vorgang findet lokal statt
• Authentifizierungsinformationen liegen nur lokal
vor
• PIN und/oder biometrische Informationen
werden nicht übermittelt und verlassen das Gerät
nicht
84. Gründe für
Windows Hello
Gerätegebundene
Authentifizierung
• Die Anmeldung ist nur für das Gerät gültig, auf
dem Hello eingerichtet wurde
Benutzergebundene
Authentifizierung
• Die Anmeldung ist nur für den Benutzer gültig,
für den Hello eingerichtet wurde
Credentials können nicht
weiterverwendet werden!
85. Gründe für
Windows Hello
Anmeldung mit PIN
• Auch eine PIN ist sicherer als ein
Passwort!
Denn sie ist
• Gerätespezifisch
• Gerätelokal
• Wird nicht übermittelt
• PIN kann beliebig komplex sein
• Auch Passwörter als PIN möglich
86. Gründe für
Windows Hello
Biometrische Anmeldung
• Hoher Komfort für Anwender
•Schnelle Anmeldung, ohne
darüber nachzudenken
•Hohe Sicherheit
• Genaue biometrische Verfahren
• Niedrige FAR / FRR
87. SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
DER WINDOWS 10-SICHERHEITSSTACK
88. 2HIPPA Secure Now, “A look at the cost of healthcare data breaches,” Art Gross, 30. März 2012
… haben schon einmal versehentlich
sensible Informationen an einen falschen
Empfängergeschickt.1
58%
… der Führungskräfte speichern
regelmäßig berufliche Dateien in einem
privaten E-Mail-oder Cloud-Konto.1
87%
… Durchschnittskosten pro Datensatz
bei einem Datenverlust.2
240USD
PRO
DATENSATZ
1Stroz Friedberg, “On The Pulse: Information Security In American Business,” 2013
DATENVERLUSTE
89. SCHUTZ VON
GERÄTEN
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
SCHUTZ VON
GERÄTEN
BitLocker-
Erweiterungen in
Windows 8.1
InstantGo
Adaption durch
Drittanbieter
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
BitLocker WindowsInformationProtection
AzureRights Management
ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
Office365
90. Moderne Geräte sind möglicherweise bereits
standardmäßig über die BitLocker-Technologie
verschlüsselt
TPM wird immer häufiger eingesetzt
TPM ist seit Ende 2015 auf allen neuen Windows-
Geräten vorhanden
Einfachere Bereitstellung und eine hohe
Sicherheit, Zuverlässigkeit und Leistung
Einzelanmeldung für moderne Geräte und für
konfigurierbare Windows 7-Hardware
An Unternehmen ausgerichtete Verwaltung
(MBAM) und Compliance (FIPS)
VERSCHLÜSSELUNG VON GERÄTEN
BitLocker
91. • Full drive encryption solution provided natively with Windows 10 Professional and Enterprise
• Used to protect the operating system drive, secondary data drives and removable devices
• System Center Configuration Manager, MDT and Intune can be used to deploy BitLocker
Overview
94. - Bei Änderungen an der Hard- und Software
muss BitLocker u.U. neu aktiviert werden, da der
TPM-Chip verschiedene Systemwerte beim Start
prüft
BITLOCKER
Einschränkungen
- Kein Schutz vor „Online“-Angriffen:
Wenn das System gestartet wurde, ist die Bootfestplatte
entschlüsselt.
- Nur ausschalten des Systems hilft hier
Ggf. Standby deaktivieren (GPO)
95. SCHUTZ VON
GERÄTEN
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
SCHUTZ VON
GERÄTEN
Schutz des Systems
und der Daten im
Fall von verlorenen
oder gestohlenen
Geräten
Eindämmung
Trennung der
Daten
TRENNUNG
VON DATEN
Verhindern des
Zugriffs durch nicht
autorisierte Apps
SCHUTZ VOR
LEAKS
ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
96. LÖSUNGEN
ZUM SCHUTZ VOR DATENVERLUSTEN
Mobile Plattformen
Einsatz von Containern
Schlechtere Benutzererfahrung
Einfache Bereitstellung
Geringe Kosten
Desktop-Plattform
Beschränkte
Plattformintegration
Bessere Benutzererfahrung
Schwierige Bereitstellung
Höhere Kosten
97. WINDOWS INFORMATION PROTECTION
Verhindert den Zugriff auf
Unternehmensdaten durch nicht
autorisierte Apps und Leaks durch
Benutzer über Copy&Paste.
Nahtlose Integration in die
Plattform. Kein Wechseln oder
Starten von Apps erforderlich.
Integrierter Schutz vor ungewollten Daten-Leaks
Bereitstellung mit Windows 10
Anniversary Update
Schützt lokal und auf mobilen
Datenträgern gespeicherte Daten.
Eine Umgebung auf allen
Windows 10-Geräten mit Schutz
gegen Copy&Paste.
Persönliche Daten und
Unternehmensdaten werden
identifiziert und können gelöscht
werden.
99. SCHUTZ VON
GERÄTEN
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
Eindämmung
TRENNUNG BYOD-
DATEN
TRENNUNG
VON DATEN
Verhindern des
Zugriffs durch nicht
autorisierte Apps
SCHUTZ VOR
LEAKS
Schutz der Daten
bei der Weitergabe
an andere oder
außerhalb der
Geräte und
Kontrolle der
Organisation
SCHUTZ BEI
WEITERGABE
ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
100. SCHUTZ BEI WEITERGABE
Schutz aller Dateitypen an jedem Ort –
unterwegs, Cloud, E-Mail, BYOD etc.
Unterstützung gängiger Geräte und Systeme –
Windows, OSX, iOS, Android
Unterstützung von B2B und B2B per Azure
Active Directory
Unterstützung von lokalen Szenarien und
Cloud-basierten Szenarien (z. B. Office 365)
Nahtlose und einfachere Bereitstellung und
Unterstützung von FIPS 140-2-Richtlinien
und Compliance-Vorgaben
Rechteverwaltungsdienste
Erhebliche Verbesserungen
gegenüber Windows 7
Persistenter und nicht
entfernbarer Schutz für
die Daten
101. SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
DER WINDOWS 10-SICHERHEITSSTACK
102. ANGRIFFE PASSIEREN SCHNELL UND
SIND SCHWER AUFZUHALTEN
Wenn ein Angreifer eine
E-Mail an 100 Mitarbeiter
Ihres Unternehmens sendet,
…
… wird diese von 23
Mitarbeitern geöffnet, …
… 11 Mitarbeiter von den 23
öffnen den Anhang …
… und sechs Mitarbeiter
machen dies innerhalb
der ersten Stunde.
103. WINDOWS DEFENDER
ADVANCED THREAT PROTECTION
ERKENNEN VON ERWEITERTEN ANGRIFFEN UND
BESEITIGEN VON EINBRÜCHEN
Einzigartige Informationsdatenbank mit
Bedrohungsinformationen
Einzigartige Ressourcen ermöglichen detaillierte Profile der Akteure
Bedrohungsdaten von Microsoft und Drittanbietern.
Umfangreicher Untersuchungszeitraum
Umfang des Einbruchs leicht zu überblicken. Verschieben von
Daten auf Endpunkten. Tief greifende Datei- und URL-Analyse.
Verhaltensbasierte und Cloud-gestützte Einbruchserkennung
Aussagekräftige und korrelierte Alarme für bekannte und unbekannte Bedrohungen.
Echtzeitdaten und Verlaufsdaten.
In Windows integriert
Keine zusätzliche Bereitstellung und Infrastruktur. Immer auf dem neuesten
Stand bei geringen Kosten.
115. The frequency and sophistication of
cybersecurity attacks are getting worse.
The median # of days that
attackers reside within a
victim’s network before
detection
146
Sobering statistics
$500BThe total potential cost of
cybercrime to the global
economy
of all network intrusions
are due to compromised
user credentials
>63% $3.8MThe average cost of a data
breach to a company
116. Every customer, regardless of industry vertical,
is either under attack or already breached.
Banking and
financial
services
Energy and
telco
Manufacturing EducationGovernment
and public
sector
RetailHealth and
social services
117.
118.
119.
120. Designed to protect
the perimeter
Complexity Prone to false
positives
When user credentials are stolen
and attackers are in the network,
your current defenses provide
limited protection.
Initial setup, fine-tuning,
and creating rules and
thresholds/baselines
can take a long time.
You receive too many reports
in a day with several false
positives that require valuable
time you don’t have.
121.
122. Monitors behaviors of users and other
entities by using multiple data sources
Profiles behavior and detects anomalies
by using machine learning algorithms
Evaluates the activity of users and other
entities to detect advanced attacks
User and Entity
Behavior Analytics
UEBA
Enterprises successfully
use UEBA to detect
malicious and abusive
behavior that otherwise
went unnoticed by
existing security
monitoring systems,
such as SIEM and DLP.
123. Microsoft Advanced Threat Analytics
brings the behavioral analytics concept
to IT and the organization’s users.
Behavioral
Analytics
Detection of advanced
attacks and security risks
Advanced Threat
Detection
An on-premises platform to identify advanced security attacks and insider threats before
they cause damage
124. Detect threats
fast with
Behavioral
Analytics
Adapt as fast
as your
enemies
Focus on what
is important
fast using the
simple attack
timeline
Reduce the
fatigue of false
positives
Prioritize and
plan for next
steps
125. Analyze1 After installation:
• Simple non-intrusive port mirroring, or
deployed directly onto domain controllers
• Remains invisible to the attackers
• Analyzes all Active Directory network traffic
• Collects relevant events from SIEM and
information from Active Directory (titles,
groups membership, and more)
126. ATA:
• Automatically starts learning and profiling
entity behavior
• Identifies normal behavior for entities
• Learns continuously to update the activities
of the users, devices, and resources
Learn2
What is entity?
Entity represents users, devices, or resources
127. Detect3 Microsoft Advanced Threat Analytics:
• Looks for abnormal behavior and identifies
suspicious activities
• Only raises red flags if abnormal activities are
contextually aggregated
• Leverages world-class security research to detect
security risks and attacks in near real-time based on
attackers Tactics, Techniques, and Procedures (TTPs)
ATA not only compares the entity’s behavior
to its own, but also to the behavior of
entities in its interaction path.
128. Alert4
ATA reports all suspicious
activities on a simple,
functional, actionable
attack timeline
ATA identifies
Who?
What?
When?
How?
For each suspicious
activity, ATA provides
recommendations for
the investigation and
remediation
129. New and Improved Detections
New Welcome Experience
New Gateway Update Page
Improved configuration experience
User Experience Improvements
SAMR Reconnaissance Detection
Pass-the-Ticket Improvement
Pass-the-Hash Improvement
Abnormal Behavior Enhancements
Unusual Protocol Implementation Improvement
Infrastructure Enhancements
Role Based Access Control
Center & Gateway support for Windows Server 2016
Lightweight Gateway support for Windows Server Core
130. Abnormal resource access
Account enumeration
Net Session enumeration
DNS enumeration
SAM-R Enumeration
Abnormal working hours
Brute force using NTLM, Kerberos, or LDAP
Sensitive accounts exposed in plain text authentication
Service accounts exposed in plain text authentication
Honey Token account suspicious activities
Unusual protocol implementation
Malicious Data Protection Private Information (DPAPI) Request
Abnormal authentication requests
Abnormal resource access
Pass-the-Ticket
Pass-the-Hash
Overpass-the-Hash
MS14-068 exploit (Forged PAC)
MS11-013 exploit (Silver PAC)
Skeleton key malware
Golden ticket
Remote execution
Malicious replication requests
Reconnaissance
Compromised
Credential
Lateral
Movement
Privilege
Escalation
Domain
Dominance
131. Updates and upgrades
automatically with the latest and
greatest attack and anomaly
detection capabilities that our
research team adds
Auto updates Integration to SIEM Seamless deployment
Analyzes events from SIEM to
enrich the attack timeline
Works seamlessly with SIEM
Provides options to forward
security alerts to your SIEM or to
send emails to specific people
Software offering that runs on
hardware or virtual
Utilizes port mirroring to allow
seamless deployment alongside AD,
or installed directly on domain
controllers
Does not affect existing topology
132. INTERNET
ATA GATEWAY 1
VPN
DMZ
Web
Port mirroring
Syslog forwarding
SIEM
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
ATA
Lightweight
Gateway
:// DNS
133. Captures and analyzes DC network
traffic via port mirroring
Listens to multiple DCs from a
single Gateway
Receives events from SIEM
Retrieves data about entities from
the domain
Performs resolution of network entities
Transfers relevant data to the ATA Center
ATA GATEWAY 2
ATA GATEWAY 1
Port mirroring
Syslog forwarding
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
Port mirroring
SIEM
:// DNS
134. Installed locally on light or branch-site
Domain Controllers
Analyzes all the traffic for a specific DC
Provides dynamic resource limitation
Retrieves data about entities from
the domain
Performs resolution of network entities
Transfers relevant data to the ATA Center
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
ATA
Lightweight
Gateway
ATA
Lightweight
Gateway
SIEM
:// DNS
135. Manages ATA Gateway configuration
settings
Receives data from ATA Gateways and
stores in the database
Detects suspicious activity and abnormal
behavior (machine learning)
Provides Web Management Interface
Supports multiple Gateways
ATA GATEWAY 1
Port-mirroring
Syslog forwarding
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
ATA
Lightweight
Gateway
SIEM
:// DNS
136. DC1
10.10.1.1
DC2
10.10.1.2
DC3
10.10.1.3
SIEM
ATA CENTER
Port mirror group 1
Event forwarding to
gateway 1
ATA GATEWAY 1
DC4
10.10.1.4
DC6
10.10.1.6
Mgmt adapter – 10.10.1.111
Computer Certificate –
gateway1.contoso.com
IIS – 10.10.1.101
Web Server Certificate –
webata.contoso.com
ATA Center – 10.10.1.102
Computer Certificate –
center.contoso.com
DNS
ATA Lightweight
Gateway
ATA Lightweight
Gateway
://