Azure

Azure Advanced Threat Protection

Hace unos meses te contábamos las bondades de Advanced Threat Analytics (ATA), la herramienta de instalación local que protege contra ataques de intrusión. Ahora Microsoft la ha llevado a la nube con Azure Advanced Threat Protection (AATP).


El funcionamiento de Azure Advanced Threat Protection (AATP) es igual al de ATA: recoge información de tráfico de los controladores de dominio para crear perfiles de comportamiento y detectar amenazas.

Arquitectura

La diferencia más evidente de AATP con respecto a ATA a nivel de arquitectura, es que el ATA Center se va a la nube.

Para los que no estéis familiarizados con la terminología ATA, el ATA Center es un servidor independiente encargado de recibir los datos de tráfico de los controladores de dominio (DC) del bosque de directorio activo (AD), a través de Gateways o Puertas de enlace. Este servidor tiene unos requerimientos mínimos que, por ejemplo, en el caso de la memoria RAM parten de 32GB para tráfico muy bajo, que puede irse fácilmente a 48GB para una empresa de 40-60 usuarios activos. Si el tráfico aumenta y no escalamos el hardware, se incrementarán los tiempos de detección de amenazas.

Pues bien, AATP lleva la potencia del ATA Center a la nube, como servicio. Es decir, nos despreocupamos de los recursos del servidor, de su mantenimiento y del escalado. Los tiempos de detección son siempre óptimos. Y el software estará siempre actualizado a la última versión.

Las Gateways de ATA ahora son Sensores. Su funcionamiento es similar, capturando el tráfico de paquetes en los DC y enviándolo a Azure. Pero los requerimientos de hardware son más ajustados que en el caso de las Gateways.

Despliegue

Una vez habilitado el servicio, veremos una nueva entrada en los Centros de administración de Office 365, “Azure ATP”, que nos lleva a la consola de administración, accesible también en la dirección https://portal.atp.azure.com

Lo primero que debemos hacer es crear un nuevo Workspace.

Cada Workspace es un despliegue de AATP independiente. Se pueden configurar diferentes Workspaces para producción, desarrollo, lab, etc., y se necesita un Workspace por cada bosque de AD.

Una vez creado el Workspace, lo siguiente es configurar la conexión con el bosque de AD, ingresando las credenciales de un usuario con permisos de lectura del bosque de AD, para luego descargar, instalar y configurar el sensor en el controlador de dominio. Los requisitos de esta instalación son tener instalado .Net framework 4.7 y abrir puerto 443 a *.atp.azure.com

Funcionamiento

Una vez configurado el servicio y desplegado el primer Workspace, el funcionamiento de AATP es similar al de ATA, utilizando algoritmos de Machine Learning y el Microsoft Intelligent Security Graph para detectar cualquier tipo de amenaza antes de que pueda causar daños.

Las detecciones se muestran en una línea de tiempo contextual, donde cada alerta incluye una descripción de la actividad que la desencadenó, y los pasos necesarios para solucionar el problema.

Además, para profundizar en la investigación de las alertas Windows Defender Advanced Threat Protection proporciona el contexto de las operaciones que se han realizado en las ubicaciones afectadas.

En el siguiente vídeo te mostramos cómo instalar, configurar, y empezar a usar AATP en unos pocos pasos:

Si trabajas con Directorio Activo, este artículo habrá llamado tu atención. Sigue atento a las novedades de Microsoft en cuanto a seguridad que seguiremos publicando en este blog. ¡Hasta pronto!

Compartir
Publicado por
Pablo Ortiz Baiardo

Este sitio web utiliza cookies para que tengas la mejor experiencia de usuario. Si continuas navegando, estás dando tu consentimiento para aceptar las cookies y también nuestra política de cookies (esperemos que no te empaches con tanta cookie 😊)