Nieuws
image

Microsoft lanceert nieuw beveiligingsproduct in augustus

donderdag 23 juli 2015, 13:49 door Redactie, 10 reacties

Microsoft zal volgende maand een nieuw beveiligingsproduct lanceren dat geavanceerde aanvallen moet stoppen en hiervoor deep packet inspection (DPI) gebruikt. Advanced Threat Analytics (ATA), zoals de oplossing heet, gebruikt een combinatie van gedragsanalyse met real-time detectie.

Het is vooral gericht op Active Directory-gerelateerd netwerkverkeer en informatie uit Security Information and Event Management (SIEM). Aan de hand hiervan worden gedragsprofielen van gebruikers, machines en andere 'resources' opgesteld. De oplossing kan vervolgens gedrag detecteren dat van deze profielen afwijkt. "Na het onderzoeken van veel incidenten tijdens mijn vorige baan, besefte ik dat netwerklogs niet voldoende zijn om geavanceerde aanvallen te vinden", zegt Microsofts Idan Plotnik.

Hij stelt dat het analyseren van logbestanden vergelijkbaar is met het vinden van een naald in een hooiberg. "Zelfs als je een aanwijzing vindt, is het uitzoeken van wanneer, hoe en waar iets gebeurde bijna onmogelijk. Met ATA is Microsoft daarom een andere weg ingeslagen. "Ons geheim is een combinatie van DPI, informatie van Active Directory en analyse van specifieke gebeurtenissen", merkt Plotnik op.

Microsoft benadrukt dat ATA een zeer eenvoudige en gebruiksvriendelijke oplossing is, die bij bedrijven lokaal wordt ingezet. Zo zijn er geen regels, policies of agents nodig. Er hoeft alleen een port te worden geconfigureerd die een kopie van al het Active Directory-gerelateerde verkeer naar de oplossing stuurt. Iets dat binnen een paar uur geregeld zou moeten kunnen zijn. Een previewversie van Microsoft Advanced Threat Analytics is al enige tijd te downloaden. De volledige versie zal volgende maand verschijnen. Prijsinformatie is nog niet beschikbaar.

Image

Reacties (10)
23-07-2015, 14:45 door potshot
o shit, nu krijgen we onze 'beste stuurlui aan wal' weer die met prachtig technisch praat even willen laten te laten zien hoeveel theoretische kennis ze wel NIET hebben en mee delen dat dit ook weer bagger en kansloos is.
( niet flamen want ik lees het toch niet)
23-07-2015, 14:57 door Anoniem
Door potshot: o shit, nu krijgen we onze 'beste stuurlui aan wal' weer die met prachtig technisch praat even willen laten te laten zien hoeveel theoretische kennis ze wel NIET hebben en mee delen dat dit ook weer bagger en kansloos is.
( niet flamen want ik lees het toch niet)

Eerder kansloze reactie ;-)
Jammer dat tegenwoordig weinig echt inhoudelijke reacties lees... gelijk al frustratie op berichten... is jammer.... Zie steeds meer bij meerdere websites.
23-07-2015, 15:02 door Spiff has left the building
Door potshot, 14:45 uur:
o shit, nu krijgen we onze 'beste stuurlui aan wal' weer die met prachtig technisch praat even willen laten te laten zien hoeveel theoretische kennis ze wel NIET hebben en meedelen dat dit ook weer bagger en kansloos is.
(niet flamen want ik lees het toch niet)
Hahaha, we mogen niet eens flamen? Wat spijtig nou :-)
Wat zou een optie om de zelden nuttige en veelal zure bijdragen van sommige bijdragers te kunnen verbergen prettig zijn. (https://www.security.nl/profile?alias=potshot)
23-07-2015, 15:11 door [Account Verwijderd]
"Er hoeft alleen een port te worden geconfigureerd die een kopie van al het Active Directory-gerelateerde verkeer naar de oplossing stuurt."

Ik ga gokken dat zelfs microsoft dat niet zo zegt, er zal ten alle tijden iemand moeten kijken naar de output van de applicatie, en actie moeten ondernemen wanneer er iets gebeurt.
23-07-2015, 16:05 door Anoniem
Zo zijn er geen regels, policies of agents nodig.

Ook hier bedoelen ze het waarschijnlijk anders dan ik het lees, maar als je het Arnoud vraagt zal hij je waarschijnlijk wel vertellen dat er duidelijke regels moeten zijn voordat je als bedrijf DPI kunt inzetten.

Peter
23-07-2015, 17:23 door Anoniem
Door Spiff:
Door knotshol, 14:45 uur:
o shit, nu krijgen we onze 'beste stuurlui aan wal' weer die met prachtig technisch praat even willen laten te laten zien hoeveel theoretische kennis ze wel NIET hebben en meedelen dat dit ook weer bagger en kansloos is.
(niet flamen want ik lees het toch niet)
Hahaha, we mogen niet eens flamen? Wat spijtig nou :-)
Wat zou een optie om de zelden nuttige en veelal zure bijdragen van sommige bijdragers te kunnen verbergen prettig zijn. (https://www.security.nl/profile?alias=potshot)

Tijd dat er een kleine uitbreiding op de moderatie plaatsvind van gebruikers met een account die aantoonbaar de vrijheid van het plaatsen van reacties alleen nemen om standaard te lopen trollen in plaats van te proberen ook constructieve bijdragen te leveren.
23-07-2015, 17:35 door Anoniem
Brutaal om pure spyware (deep packet inspection (DPI)) een beveiligingsproduct te noemen.

De resultaten van het DPI proces gaan naar MS (in uw belang natuurlijk) en worden dus gedeeld met de NSA/CIA.

Zo is het is dus niet meer nodig voor de NSA/CIA, om malware op jouw systeem te plaatsen.

https://firstlook.org/theintercept/2014/03/12/nsa-plans-infect-millions-computers-malware/
23-07-2015, 17:54 door madrayman - Bijgewerkt: 23-07-2015, 17:54
Door Anoniem:
Door potshot: o shit, nu krijgen we onze 'beste stuurlui aan wal' weer die met prachtig technisch praat even willen laten te laten zien hoeveel theoretische kennis ze wel NIET hebben en mee delen dat dit ook weer bagger en kansloos is.
( niet flamen want ik lees het toch niet)

Eerder kansloze reactie ;-)
Jammer dat tegenwoordig weinig echt inhoudelijke reacties lees... gelijk al frustratie op berichten... is jammer.... Zie steeds meer bij meerdere websites.

Ik ben het met jullie beide eens. Daarom ik zou het volgende willen vragen aan ieder die dit leest. Zullen we vanaf nu op een positieve manier gaan reageren op berichten. Zodat we er iets van opsteken. I.p.v. dat we elkaar zitten te overtroeven en afkraken?

Dan begin ik door te zeggen dat ik blij verrast ben met deze aanvullende software. Ik vond al dat Microsoft steeds beter en beter met veiligheid omgaat. Dan refereer ik naar EMET en de vele toevoegingen die er door Microsoft aan Windows zijn gedaan.
23-07-2015, 22:14 door Patje-RedFan
Als het zo goed gaat zijn als hun Security essential (MSE) slechtste resultaat allertijden, dan ben je eraan voor de moeite.....
24-07-2015, 09:45 door karma4 - Bijgewerkt: 02-08-2015, 14:03
https://en.wikipedia.org/wiki/Security_information_and_event_management Het tool valt in de categorie van de SIEM benaderingen. De zin in het begin van de tweede alinea is slecht opgebouwd. Het klopt niet met de betekenis van het begrip. Maar eens napluizen....

https://technet.microsoft.com/en-us/magazine/hh551146.aspx "Auditing Is Not for the Meek" Ah dat lijkt er meer op Gewoon het SIEM verhaal. Er is een database achter AD gezet voor al het gebeuren.
De preview https://technet.microsoft.com/en-us/dn707709.aspx Bevat nog een leuke typo SIEM/Syslog Maar wel weer het lijstje wat er bij hoort: HP Arcsight, Splunk , RSA Security Analytics , Snare

Uit de laatste https://www.intersectalliance.com/our-product/snare-agent/ "There are extensive capabilities that can be utilised to assist businesses with internal security audits and for compliance with a wide range of security standards such as PCI DSS, HIPPA, SOX, NISPOM, California SB, US Patriot Act, Australian ISM, GLBA, DCID, DIAM, DDS, Danish Standard DS-484, ISO 27001/2 and Massachusetts 201 CMR."

De echte techneuten lijken me daar goed aan het werk te zijn. De blog van oa Idan Plotnik rammelt in de details, het onderwerp is die evangelist iets te lastig. Ik zou hier graag reacties zien die laten zien dat ze het wel kunnen volgen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search