Microsoft Cyber Security IT-Camp

Alexander Benoit
Alexander.Benoit@sepago.de
http://it-pirate.com/

Fabio Gondorf
Fabio.Gondorf@sepago.de
www.trustintech.eu
www.sepago.de

Windows Defender
App-V
Azure Information Protection
Advanced Threat Analytics
Multi-Faktor
Access
Bitlocker
Active Directory Best Practices

2016:
Phishing-Angriff auf Clinton-
Kampagne
Ergebnis:
50,000 E-Mails landen auf
Wikileaks…
…was den Ausgang der Wahl
möglicherweise beeinflusst hat

2016:
Phishing-Angriff auf Clinton-
Kampagne
Ergebnis:
50,000 E-Mails landen auf
Wikileaks…
…was den Ausgang der Wahl
möglicherweise beeinflusst hat
John Podesta (DNC)
Chairman bei der Clinton-
Kampagne
Er war maßgeblich für den
DNC-Leak verantwortlich
Phishing scheinbar durch
Tippfehler verursacht
E-Mail selbst gehostet
Keine Sicherheit / MFA
Keine Verschlüsselung

Malicious Attachment Execution
Browser or Doc Exploit Execution
Stolen Credential Use
Internet Service Compromise
Kernel-mode Malware
Kernel Exploits
Pass-the-Hash
Malicious Attachment Delivery
Browser or Doc Exploit Delivery
Phishing Attacks
ATTACK
ESPIONAGE, LOSS OF IPDATA THEFT RANSOMLOST PRODUCTIVITYBUSINESS DISRUPTION
ENTER
ESTABLISH
EXPAND
ENDGAME
NETWORK
DEVICE
USER

Users know exactly when devices are set up for work

SCHÜTZEN, ERKENNEN UND REAGIEREN
PRE-BREACH POST-BREACH
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Integrität der Geräte
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Geräten
Gerätesteuerung
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
DER WINDOWS 10-SICHERHEITSSTACK

On-Premises
Cloud
Windows 10
Enterprise
Device
Windows 10 Defense Stack & Supporting Technologies
Windows Hello for Business
Windows
Information
Protection
Windows
Defender
Credential
Guard
Advanced Threat Analytics Microsoft Bitlocker
Administration &
Management
Windows Defender
Advanced Threat Protection
Device
Guard
KMCI
Bitlocker
AppLocker
Health
Attestation
User
Account
Control
Active Directory
Active Directory
Federation Services
Device
Guard
UMCI
Azure Active Directory
Device Identity Data Application
EFS
Windows Server 2012
AD RMS FCI
Azure RMS / Azure
Information Protection
SmartScreen
Conditional
Access
Security Baseline

POST-BREACHPRE-BREACH
Breach detection
investigation &
response
Device
protection
Identity
protection
Information
protection
Threat
resistance

Bedrohungsschutz
über die Zeit
Angreifer nutzen die Zeit
zwischen den Releases aus
P R O D U K T -
V E R F Ü G B A R K E I T
B E D R O H U N G S -
R A F I N E S S E
Z E I T
FAÄHIGKEITEN
Änderungen mit
Windows und Software
as a Services
Angriffsszenarien werden
durch permanente Innovation
zerstört
Schutzlücke

Vulnerabilities are increasing while evidence of actual exploits is decreasing due to mitigation investments

UMFASSENDER SCHUTZ VOR BEDROHUNGEN
Extern
Intern
SmartScreen Windows-Firewall
Device GuardWindows Defender
Office ATP
Microsoft Edge mit
Application Guard

Biometrische Sensoren
Virtualisierung
Kryptographische
Verarbeitung
SCHUTZ VON GERÄTEN
ROOTS OF TRUST-SICHERHEIT

(Upgraded from Windows 7 or 32-bit Windows 8)
Breach detection
investigation &
response
Device
protection
Identity
protection
Information
protection
Threat
resistance

(Fresh Install or upgraded from 64-bit Windows 8)
Breach detection
investigation &
response
Device
protection
Identity
protection
Information
protection
Threat
resistance

Trusted Platform Module (TPM)
Threat
Windows 10
Investments
Mitigation
Windows 10
Changes

UEFI Secure Boot
Threat
Windows 10
Changes
Mitigation
Considerations
How does it
work

Kernel Mode Code Integrity in Device Guard
UEFI Secure Boot KMCIPlatform Secure Boot UMCI AppLocker
Threat
Mitigation
Note
ROM/Fuses Bootloaders Native UEFI
Windows
OS Loader
Windows
Kernel, Boot
Drivers,
System Files
ELAM, AV
Driver, and
3rd Party
Drivers
User mode code (apps,
etc.)

0
2
4
6
8
10
12
14
16
2008 2009 2010 2011 2012 2013 2014 2015 2016
2 1
6
5
14
55
6
12

Sicherheitsinnovationen:
Den bösen Buben das Leben schwerer machen
No mitigations
• DEP
• /GS
• SafeSEH
• Heap hardening v1
• ASLR v1
• SEHOP
• ASLR v2
• Kernel SMEP &
DEP
• CFG
• HVCI
• EMET
Exploitation was not
inhibited
• Data can’t be
executed as code
• Protection for stack
buffers, exception
chains, and heap
metadata
• Memory layout is
randomized
• Improved
protection for
exception chains
and heap metadata
• Improved memory
layout
randomization
• Improved
protection for heap
metadata & buffers
• Only valid
functions can be
called indirectly
• Kernel Mode
secured
• EMET functionality
getting integrated

© 2016 DigitalGlobe, © 2016 HERE
DUBROVNIK, KROATIEN
EIN EINZIGER EINBRUCH KOMPROMITTIERT ALLE
KOMPONENTEN

© 2016 HERE
CARCASSONNE,
FRANKREICH
WICHTIGE KOMPONENTEN SIND GETRENNT UND
GESCHÜTZT

TRADITIONELLER PLATTFORM-STACK
Gerätehardware
Kernel
Windows Platform Services
Apps

VIRTUALISIERUNGSBASIERTE SICHERHEIT
WINDOWS 10
Kernel
Windows Platform
Services
Apps
Kernel
SystemContainer
TrustletNr.1
TrustletNr.2
TrustletNr.3
Hypervisor
Gerätehardware
Windows-Betriebssystem
Hyper-VHyper-V

VIRTUALISIERUNGSBASIERTE SICHERHEIT
PREVIEW 2016 RTM 2017
Hypervisor
Gerätehardware
Kernel
Apps
Windows Platform
Services
Kernel
Windows Platform
Services
Microsoft Edge
Kernel
SystemContainer
Wichtige Systemprozesse
AppContainer Windows-Betriebssystem
Hyper-V Hyper-V

Hypervisor
VIRTUALISIERUNGSBASIERTE SICHERHEIT NACH 2017
Gerätehardware
Windows Platform
Services
Windows Platform
Services
SystemContainer
KernelKernel Kernel
Wichtige Systemprozesse
Apps
Hyper-V Hyper-V

Virtualization Based Security
Overview
Feature Configuration Options
Kernel
Windows Platform
Services
Apps
Kernel
SystemContainer
Trustlet#1
Trustlet#3
Hypervisor
Device
Hardware
Isolated
LSA

Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Integritätsnachweis
Device Guard
Gerätesteuerung
Sicherheitsrichtlinien
Schutz von
Informationen
Geräteschutz/Laufw
erksverschlüsselung
Windows
Information
Protection
Bedingter Zugriff
Absicherung
gegen
Bedrohungen
SmartScreen
AppLocker
Device Guard
Windows Defender
Netzwerk/Firewall
Integrierte
zweistufige
Authentifizierung
Kontosperrung
Überwachung von
Anmeldeinfor
Schutz der
Identitäten
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Schutz von
Informationen
Absicherung
gegen
Bedrohungen
Bedingter Zugriff
Windows Defender
ATP
Gerätesteuerung
BitLocker und
BitLocker to Go
Windows
Information
Protection
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten

Threat
Microsoft SmartScreen
Phishing and malware filtering technology for Internet
Explorer 11 and Microsoft Edge in Windows 10.
 URL Reputation Checks
 Application Reputation Protection
 Phishing Attacks
 Social Engineered Malware
 Deceptive Advertisements
 Support Scams
 Drive-by Attacks
Mitigation

http://demo.smartscreen.msft.net/

• The Windows Defender SmartScreen provides an early warning system to notify users of suspicious
websites that could be engaging in phishing attacks or distributing malware through a socially
engineered attack.
• Windows Defender SmartScreen is one of the multiple layers of defense in the anti-phishing and
malware protection strategies
Check
downloaded
files Windows Defender
Cloud Protection
Click!
Attacker
Generate new
malware file
Send file
metadata
Evaluate
metadata
Verdict: Malware – Block!
Malware Block!
Including Machine Learning,
proximity, lookup heuristics
Command & Control
User

Block at first
sight
support in
Microsoft
Edge

Number of exploited
web browser CVEs
Number of days with known
zero day exploit in the wild
Number of Vulnerabilities
(CVEs) by web browser

MICROSOFT EDGE: ENTWICKLUNG EINES
SICHEREREN BROWSERS
Die grundlegend verbesserte Sicherheit sorgt für eine vertrauenswürdigere Nutzung des Internets unter Windows 10
SCHUTZ DER BENUTZER
(SmartScreen)
(Microsoft Passport und Windows Hello)
(Cert. Reputation, EdgeHTML, W3C Content Security Policy,
HTTP Strict Transport Security)
SCHUTZ DES BROWSERS
www
Neues
(Universelle Windows-Plattform)
(Windows Address Space Layout Randomization auf 64-Bit-Systemen)
(MemGC)
(Control Flow Guard)

MICROSOFT EDGE SICHERHEITSVERBESSERUNGEN
 Microsoft Edge und Flash
haben keinen Vollzugriff auf
win32k.sys—API-Aufrufe
werden gefiltert
 Nur 40 % der Schnittstellen
stehen Flash und Edge zur
Verfügung – dies verringert
die Angriffsfläche
Win32k.sys
Flash Host-Prozess
Edge Content-Prozess
Vorher – Vollzugriff auf Win32.sys
Microsoft Edge Windows Kernel
Blockierte Win32k.sys-Schnittstellen
Zulässige Win32k.sys-Schnittstellen
Flash Host-Prozess
Edge Content-Prozess
Heute – 60 % weniger Schnittstellen verfügbar
Microsoft Edge Windows Kernel
 Der Flash-Player hat jetzt
seinen eigenen AppContainer
 Der Flash-Player wurde für
einen besseren Speicherschutz
gehärtet

HARDWARE ISOLIERUNG MIT
WINDOWS DEFENDER APPLICATION GUARD
 Verschiebt Browsersitzungen
in eine isolierte, virtualisierte
Umgebung
 Sorgt für einen erheblich
besseren Schutz und härtet
den beliebtesten Zugang von
Angreifern
 Veröffentlicht in Windows 10
Fall Creators Update (1709)
Hypervisor
Gerätehardware
Kernel
Windows Platform
Services
Apps
Kernel
Windows
Platform Services
Microsoft Edge
SystemContainer
Kernel
Wichtige
Systemprozesse
Hyper-V Hyper-V

DEVICE GUARD
Windows-Desktops können für die
ausschließliche Ausführung von
vertrauenswürdigen Apps abgesichert werden
(vergleichbar mit mobilen Betriebssystemen
wie Windows Phone)
Unterstützt alle Apps inkl. Universal- Desktop-
Apps (Win32).
Nicht vertrauenswürdige Apps und
ausführbare Dateien wie Malware können
nicht gestartet werden
Die Apps müssen vom Microsoft-
Signierungsdienst signiert werden. Keine
weiteren Modifikationen erforderlich.
Hardwarebasierte App-Kontrolle

erstellen Audit Mode
Golden Client
Golden Policy
Default Client
Root CA
Finale Policy
bestehend
aus Golden
Policy + Audit
Policy
Windows Store for Business
Code Integrity Policy

Overview
Application
Signing Options
 Download default Device Guard configurable CI policy.
 Catalog signing with enterprise-specific, unique keys.
 Available to OEMs, IHV, ISVs, and Enterprises.
Code Integrity
Policy
Requirements

Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion
Schutz von
Geräten
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection

MODERNE SICHERHEITSHERAUSFORDERUNGEN:
PASS THE HASH-ANGRIFFE
Pass the Hash-Angriffe haben sich von einer
theoretischen zu einer ganz konkreten Bedrohung
entwickelt
Sie ermöglichen einem Angreifer über gängige
Hacking-Tools wie MimiKatz,
Benutzeranmeldeinformationen zu entwenden
Danach kann ein Angreifer häufig weitere
abgeleitete Anmeldeinformationen entwenden und
sich im Netzwerk bewegen
Der Angreifer kann sich häufig auch bei einer
Entdeckung im Netzwerk halten, indem er von
einer Identität zur nächsten wechselt

Credential Guard
• Credential Guard isolates secrets that previous versions of Windows stored in the Local Security
Authority (LSA) by using virtualization-based security.
• The LSA process in the operating system talks to the isolated LSA by using remote procedure calls.
• Data stored by using VBS is not accessible to the rest of the operating system.
• This prevents Pass-the-Hash and Pass-the-Ticket attacks

“K$23m=?14)Xz3Ö
ist ein gutes
Passwort…”





Benutzer
Die von uns
verwendeten
Websites
stellen eine
Schwachstelle
dar
Angreifer
1
Social
.com
Bank
.com
Netzwerk
.com
LOL
.com
Obscure
.com
1
2
INTERNET – BENUTZERNAME UND KENNWORT

2-Faktor
Authentifizierung
Mit Windows Hello
1. Gerät
Etwas, was der User hat
(ggf. Mit TPM)
2. “Geste”
2a. PIN
Etwas, was der User weiß
2b. Biometrische Anmeldung
Etwas, was der User ist

2-Faktor
Authentifizierung
Mit Windows Hello
Dienste
Hello ermöglicht Authentifizierung bei:
- Microsoft-Konto
- Active Directory-Konto
- Microsoft Azure Active Directory
(Azure AD)-Konto
- Fast ID (FIDO) v2.0

FIDO ALLIANCE
Example board
level members

2-Faktor
Authentifizierung
Mit Windows Hello
Biometrie
Hello unterstützt die biometrische
Anmeldung via:
• Fingerabdruck
• IRIS Scan
• 3D-Gesichtserkennung
• benötigt spezielle
Infrarotkamera
• z.B. Intel RealSense

Identitätsanbieter
Active Directory
Azure AD
Google
Facebook
Microsoft-Konto
1
Benutzer
2
Windows10
3Intranet-
Ressource
4
4Intranet-
Ressource
WINDOWS HELLO – SCHLÜSSELBASIERTE
AUTHENTIFIZIERUNG
Wie
funktioniert
Windows
Hello?

Gründe für
Windows Hello
Gerätelokale Authentifizierung
• Vorgang findet lokal statt
• Authentifizierungsinformationen liegen nur lokal
vor
• PIN und/oder biometrische Informationen
werden nicht übermittelt und verlassen das Gerät
nicht

Gründe für
Windows Hello
Gerätegebundene
Authentifizierung
• Die Anmeldung ist nur für das Gerät gültig, auf
dem Hello eingerichtet wurde
Benutzergebundene
Authentifizierung
• Die Anmeldung ist nur für den Benutzer gültig,
für den Hello eingerichtet wurde
Credentials können nicht
weiterverwendet werden!

Gründe für
Windows Hello
Anmeldung mit PIN
• Auch eine PIN ist sicherer als ein
Passwort!
Denn sie ist
• Gerätespezifisch
• Gerätelokal
• Wird nicht übermittelt
• PIN kann beliebig komplex sein
• Auch Passwörter als PIN möglich

Gründe für
Windows Hello
Biometrische Anmeldung
• Hoher Komfort für Anwender
•Schnelle Anmeldung, ohne
darüber nachzudenken
•Hohe Sicherheit
• Genaue biometrische Verfahren
• Niedrige FAR / FRR

Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennun
g: Untersuchung
und Reaktion
Schutz von
Geräten
Gerätesteuerung
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Absicherung
gegen
Bedrohungen
SmartScreen
Windows-Firewall
Microsoft Edge
Device Guard
Windows Defender
Windows Hello
Credential Guard
Schutz der
Identitäten
Schutz von
Informationen
BitLocker und
BitLocker to Go
Windows
Information
Protection
Bedingter Zugriff
Windows Defender
ATP
Einbruchserkennung:
Untersuchung und
Reaktion

2HIPPA Secure Now, “A look at the cost of healthcare data breaches,” Art Gross, 30. März 2012
… haben schon einmal versehentlich
sensible Informationen an einen falschen
Empfängergeschickt.1
58%
… der Führungskräfte speichern
regelmäßig berufliche Dateien in einem
privaten E-Mail-oder Cloud-Konto.1
87%
… Durchschnittskosten pro Datensatz
bei einem Datenverlust.2
240USD
PRO
DATENSATZ
1Stroz Friedberg, “On The Pulse: Information Security In American Business,” 2013
DATENVERLUSTE

SCHUTZ VON
GERÄTEN
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
SCHUTZ VON
GERÄTEN
BitLocker-
Erweiterungen in
Windows 8.1
InstantGo
Adaption durch
Drittanbieter
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
BitLocker WindowsInformationProtection
AzureRights Management
ANFORDERUNGEN FÜR DEN INFORMATIONSSCHUTZ
Office365

Moderne Geräte sind möglicherweise bereits
standardmäßig über die BitLocker-Technologie
verschlüsselt
TPM wird immer häufiger eingesetzt
TPM ist seit Ende 2015 auf allen neuen Windows-
Geräten vorhanden
Einfachere Bereitstellung und eine hohe
Sicherheit, Zuverlässigkeit und Leistung
Einzelanmeldung für moderne Geräte und für
konfigurierbare Windows 7-Hardware
An Unternehmen ausgerichtete Verwaltung
(MBAM) und Compliance (FIPS)
VERSCHLÜSSELUNG VON GERÄTEN
BitLocker

• Full drive encryption solution provided natively with Windows 10 Professional and Enterprise
• Used to protect the operating system drive, secondary data drives and removable devices
• System Center Configuration Manager, MDT and Intune can be used to deploy BitLocker
Overview

XTS-AES encryption
algorithm
New Group Policy
for configuring pre-
boot recovery
Encrypt and recover
your device with
Azure Active
Directory

- Bei Änderungen an der Hard- und Software
muss BitLocker u.U. neu aktiviert werden, da der
TPM-Chip verschiedene Systemwerte beim Start
prüft
BITLOCKER
Einschränkungen
- Kein Schutz vor „Online“-Angriffen:
Wenn das System gestartet wurde, ist die Bootfestplatte
entschlüsselt.
- Nur ausschalten des Systems hilft hier
Ggf. Standby deaktivieren (GPO)

SCHUTZ VON
GERÄTEN
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
SCHUTZ VON
GERÄTEN
Schutz des Systems
und der Daten im
Fall von verlorenen
oder gestohlenen
Geräten
Eindämmung
Trennung der
Daten
TRENNUNG
VON DATEN
Verhindern des
Zugriffs durch nicht
autorisierte Apps
SCHUTZ VOR
LEAKS

LÖSUNGEN
ZUM SCHUTZ VOR DATENVERLUSTEN
Mobile Plattformen
Einsatz von Containern
Schlechtere Benutzererfahrung
Einfache Bereitstellung
Geringe Kosten
Desktop-Plattform
Beschränkte
Plattformintegration
Bessere Benutzererfahrung
Schwierige Bereitstellung
Höhere Kosten

WINDOWS INFORMATION PROTECTION
Verhindert den Zugriff auf
Unternehmensdaten durch nicht
autorisierte Apps und Leaks durch
Benutzer über Copy&Paste.
Nahtlose Integration in die
Plattform. Kein Wechseln oder
Starten von Apps erforderlich.
Integrierter Schutz vor ungewollten Daten-Leaks
Bereitstellung mit Windows 10
Anniversary Update
Schützt lokal und auf mobilen
Datenträgern gespeicherte Daten.
Eine Umgebung auf allen
Windows 10-Geräten mit Schutz
gegen Copy&Paste.
Persönliche Daten und
Unternehmensdaten werden
identifiziert und können gelöscht
werden.

WINDOWS INFORMATION PROTECTION
LEBENSZYKLUS

SCHUTZ VON
GERÄTEN
TRENNUNG
VON DATEN
SCHUTZ VOR
LEAKS
SCHUTZ BEI
WEITERGABE
Eindämmung
TRENNUNG BYOD-
DATEN
TRENNUNG
VON DATEN
Verhindern des
Zugriffs durch nicht
autorisierte Apps
SCHUTZ VOR
LEAKS
Schutz der Daten
bei der Weitergabe
an andere oder
außerhalb der
Geräte und
Kontrolle der
Organisation
SCHUTZ BEI
WEITERGABE

SCHUTZ BEI WEITERGABE
Schutz aller Dateitypen an jedem Ort –
unterwegs, Cloud, E-Mail, BYOD etc.
Unterstützung gängiger Geräte und Systeme –
Windows, OSX, iOS, Android
Unterstützung von B2B und B2B per Azure
Active Directory
Unterstützung von lokalen Szenarien und
Cloud-basierten Szenarien (z. B. Office 365)
Nahtlose und einfachere Bereitstellung und
Unterstützung von FIPS 140-2-Richtlinien
und Compliance-Vorgaben
Rechteverwaltungsdienste
Erhebliche Verbesserungen
gegenüber Windows 7
Persistenter und nicht
entfernbarer Schutz für
die Daten

ANGRIFFE PASSIEREN SCHNELL UND
SIND SCHWER AUFZUHALTEN
Wenn ein Angreifer eine
E-Mail an 100 Mitarbeiter
Ihres Unternehmens sendet,
…
… wird diese von 23
Mitarbeitern geöffnet, …
… 11 Mitarbeiter von den 23
öffnen den Anhang …
… und sechs Mitarbeiter
machen dies innerhalb
der ersten Stunde.

WINDOWS DEFENDER
ADVANCED THREAT PROTECTION
ERKENNEN VON ERWEITERTEN ANGRIFFEN UND
BESEITIGEN VON EINBRÜCHEN
Einzigartige Informationsdatenbank mit
Bedrohungsinformationen
Einzigartige Ressourcen ermöglichen detaillierte Profile der Akteure
Bedrohungsdaten von Microsoft und Drittanbietern.
Umfangreicher Untersuchungszeitraum
Umfang des Einbruchs leicht zu überblicken. Verschieben von
Daten auf Endpunkten. Tief greifende Datei- und URL-Analyse.
Verhaltensbasierte und Cloud-gestützte Einbruchserkennung
Aussagekräftige und korrelierte Alarme für bekannte und unbekannte Bedrohungen.
Echtzeitdaten und Verlaufsdaten.
In Windows integriert
Keine zusätzliche Bereitstellung und Infrastruktur. Immer auf dem neuesten
Stand bei geringen Kosten.

SIEM
SIEM/
Central-UX
Bedrohungsanalyse aus
Partnerschaften
Bedrohungsanalyse durch
Microsoft-Experten
Erkundung
Alarme
SecOps-Konsole
Reaktion
Forensische Sammlung
Permanent aktive Ver-
haltenssensoren auf
Endpunkten
Sicherheitsanalyse
Verhalten aus IOAs-Verzeichnis
Bewertung von Dateien
und URLs
Bekannte Bedrohungen
unbekannt
Windows Defender ATP-Mandant des Kunden
Windows APT Hunters,
MCS Cyber

Sichere
Geräte
Schutz von
Informationen
Sichere
Identitäten
Absicherung vor
Bedrohungen
AKTIVER SCHUTZ VOR BEDROHUNGENHARDWAREBASIERTES VERTRAUENVERHINDERUNG VON DATENVERLUSTZWEISTUFIGE AUTHENTIFIZIERUNG FÜR JEDEN

Microsoft Advanced
Threat Analytics

The frequency and sophistication of
cybersecurity attacks are getting worse.
The median # of days that
attackers reside within a
victim’s network before
detection
146
Sobering statistics
$500BThe total potential cost of
cybercrime to the global
economy
of all network intrusions
are due to compromised
user credentials
>63% $3.8MThe average cost of a data
breach to a company

Every customer, regardless of industry vertical,
is either under attack or already breached.
Banking and
financial
services
Energy and
telco
Manufacturing EducationGovernment
and public
sector
RetailHealth and
social services

Designed to protect
the perimeter
Complexity Prone to false
positives
When user credentials are stolen
and attackers are in the network,
your current defenses provide
limited protection.
Initial setup, fine-tuning,
and creating rules and
thresholds/baselines
can take a long time.
You receive too many reports
in a day with several false
positives that require valuable
time you don’t have.

Monitors behaviors of users and other
entities by using multiple data sources
Profiles behavior and detects anomalies
by using machine learning algorithms
Evaluates the activity of users and other
entities to detect advanced attacks
User and Entity
Behavior Analytics
UEBA
Enterprises successfully
use UEBA to detect
malicious and abusive
behavior that otherwise
went unnoticed by
existing security
monitoring systems,
such as SIEM and DLP.

Microsoft Advanced Threat Analytics
brings the behavioral analytics concept
to IT and the organization’s users.
Behavioral
Analytics
Detection of advanced
attacks and security risks
Advanced Threat
Detection
An on-premises platform to identify advanced security attacks and insider threats before
they cause damage

Detect threats
fast with
Behavioral
Analytics
Adapt as fast
as your
enemies
Focus on what
is important
fast using the
simple attack
timeline
Reduce the
fatigue of false
positives
Prioritize and
plan for next
steps

Analyze1 After installation:
• Simple non-intrusive port mirroring, or
deployed directly onto domain controllers
• Remains invisible to the attackers
• Analyzes all Active Directory network traffic
• Collects relevant events from SIEM and
information from Active Directory (titles,
groups membership, and more)

ATA:
• Automatically starts learning and profiling
entity behavior
• Identifies normal behavior for entities
• Learns continuously to update the activities
of the users, devices, and resources
Learn2
What is entity?
Entity represents users, devices, or resources

Detect3 Microsoft Advanced Threat Analytics:
• Looks for abnormal behavior and identifies
suspicious activities
• Only raises red flags if abnormal activities are
contextually aggregated
• Leverages world-class security research to detect
security risks and attacks in near real-time based on
attackers Tactics, Techniques, and Procedures (TTPs)
ATA not only compares the entity’s behavior
to its own, but also to the behavior of
entities in its interaction path.

Alert4
ATA reports all suspicious
activities on a simple,
functional, actionable
attack timeline
ATA identifies
Who?
What?
When?
How?
For each suspicious
activity, ATA provides
recommendations for
the investigation and
remediation

New and Improved Detections
New Welcome Experience
New Gateway Update Page
Improved configuration experience
User Experience Improvements
SAMR Reconnaissance Detection
Pass-the-Ticket Improvement
Pass-the-Hash Improvement
Abnormal Behavior Enhancements
Unusual Protocol Implementation Improvement
Infrastructure Enhancements
Role Based Access Control
Center & Gateway support for Windows Server 2016
Lightweight Gateway support for Windows Server Core

Abnormal resource access
Account enumeration
Net Session enumeration
DNS enumeration
SAM-R Enumeration
Abnormal working hours
Brute force using NTLM, Kerberos, or LDAP
Sensitive accounts exposed in plain text authentication
Service accounts exposed in plain text authentication
Honey Token account suspicious activities
Unusual protocol implementation
Malicious Data Protection Private Information (DPAPI) Request
Abnormal authentication requests
Abnormal resource access
Pass-the-Ticket
Pass-the-Hash
Overpass-the-Hash
MS14-068 exploit (Forged PAC)
MS11-013 exploit (Silver PAC)
Skeleton key malware
Golden ticket
Remote execution
Malicious replication requests
Reconnaissance
Compromised
Credential
Lateral
Movement
Privilege
Escalation
Domain
Dominance

 Updates and upgrades
automatically with the latest and
greatest attack and anomaly
detection capabilities that our
research team adds
Auto updates Integration to SIEM Seamless deployment
 Analyzes events from SIEM to
enrich the attack timeline
 Works seamlessly with SIEM
 Provides options to forward
security alerts to your SIEM or to
send emails to specific people
 Software offering that runs on
hardware or virtual
 Utilizes port mirroring to allow
seamless deployment alongside AD,
or installed directly on domain
controllers
 Does not affect existing topology

INTERNET
ATA GATEWAY 1
VPN
DMZ
Web
Port mirroring
Syslog forwarding
SIEM
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
ATA
Lightweight
Gateway
:// DNS

Captures and analyzes DC network
traffic via port mirroring
Listens to multiple DCs from a
single Gateway
Receives events from SIEM
Retrieves data about entities from
the domain
Performs resolution of network entities
Transfers relevant data to the ATA Center
ATA GATEWAY 2
ATA GATEWAY 1
Port mirroring
Syslog forwarding
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
Port mirroring
SIEM
:// DNS

Installed locally on light or branch-site
Domain Controllers
Analyzes all the traffic for a specific DC
Provides dynamic resource limitation
Retrieves data about entities from
the domain
Performs resolution of network entities
Transfers relevant data to the ATA Center
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
ATA
Lightweight
Gateway
ATA
Lightweight
Gateway
SIEM
:// DNS

Manages ATA Gateway configuration
settings
Receives data from ATA Gateways and
stores in the database
Detects suspicious activity and abnormal
behavior (machine learning)
Provides Web Management Interface
Supports multiple Gateways
ATA GATEWAY 1
Port-mirroring
Syslog forwarding
Fileserver
DC1
DC2
DC3
DC4
ATA CENTER
DB
Fileserver
ATA
Lightweight
Gateway
SIEM
:// DNS

DC1
10.10.1.1
DC2
10.10.1.2
DC3
10.10.1.3
SIEM
ATA CENTER
Port mirror group 1
Event forwarding to
gateway 1
ATA GATEWAY 1
DC4
10.10.1.4
DC6
10.10.1.6
Mgmt adapter – 10.10.1.111
Computer Certificate –
gateway1.contoso.com
IIS – 10.10.1.101
Web Server Certificate –
webata.contoso.com
ATA Center – 10.10.1.102
Computer Certificate –
center.contoso.com
DNS
ATA Lightweight
Gateway
ATA Lightweight
Gateway
://

Microsoft Cyber Security IT-Camp

Weitere ähnliche Inhalte

Andere mochten auch

Mehr von Alexander Benoit

Microsoft Cyber Security IT-Camp