Microsoft zal volgende maand een nieuw beveiligingsproduct lanceren dat geavanceerde aanvallen moet stoppen en hiervoor deep packet inspection (DPI) gebruikt. Advanced Threat Analytics (ATA), zoals de oplossing heet, gebruikt een combinatie van gedragsanalyse met real-time detectie.
Het is vooral gericht op Active Directory-gerelateerd netwerkverkeer en informatie uit Security Information and Event Management (SIEM). Aan de hand hiervan worden gedragsprofielen van gebruikers, machines en andere 'resources' opgesteld. De oplossing kan vervolgens gedrag detecteren dat van deze profielen afwijkt. "Na het onderzoeken van veel incidenten tijdens mijn vorige baan, besefte ik dat netwerklogs niet voldoende zijn om geavanceerde aanvallen te vinden", zegt Microsofts Idan Plotnik.
Hij stelt dat het analyseren van logbestanden vergelijkbaar is met het vinden van een naald in een hooiberg. "Zelfs als je een aanwijzing vindt, is het uitzoeken van wanneer, hoe en waar iets gebeurde bijna onmogelijk. Met ATA is Microsoft daarom een andere weg ingeslagen. "Ons geheim is een combinatie van DPI, informatie van Active Directory en analyse van specifieke gebeurtenissen", merkt Plotnik op.
Microsoft benadrukt dat ATA een zeer eenvoudige en gebruiksvriendelijke oplossing is, die bij bedrijven lokaal wordt ingezet. Zo zijn er geen regels, policies of agents nodig. Er hoeft alleen een port te worden geconfigureerd die een kopie van al het Active Directory-gerelateerde verkeer naar de oplossing stuurt. Iets dat binnen een paar uur geregeld zou moeten kunnen zijn. Een previewversie van Microsoft Advanced Threat Analytics is al enige tijd te downloaden. De volledige versie zal volgende maand verschijnen. Prijsinformatie is nog niet beschikbaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.