超级会员免费看
企业网络安全防护策略与技术解析
1. 高级威胁分析(ATA)概述
高级威胁分析(ATA)是过去几年中微软推出的一项强大安全功能,但却鲜有人提及。ATA 是一款基于 Windows 的本地软件,主要功能是实时监控所有 Active Directory 流量,并对危险或异常行为发出警告。
不过,ATA 在 2021 年 1 月结束了主流支持,但仍有五年的扩展支持期。由于它仍是一项有效的技术,且在已安装的环境中还会存在多年,所以相关信息仍具有价值。
2. ATA 的工作原理
ATA 是一种利用机器学习的高级 Active Directory 监控形式。其工作方式有两种:
- 端口镜像 :在网络层面建立端口镜像,将所有域控制器的数据包发送到 ATA 系统,且攻击者无法察觉。但这种方式对于小公司来说可能难以实现或初始设置过于复杂。
- 安装轻量级代理 :在域控制器上安装 ATA 轻量级代理,由代理将必要信息发送到 ATA 处理服务器。
ATA 处理服务器接收数据后会寻找模式。例如,通过一段时间的监控,ATA 会了解用户 Betty 的常规行为模式,包括使用的设备、登录时间、访问的服务器等。一旦出现异常,如 Betty 账户多次密码失败,随后登录到不常访问的终端服务器并使用其凭据访问域控制器,ATA 会立即识别出可能的攻击,而传统的 Active Directory 工具则很难做到这一点。
ATA 的管理界面类似于社交媒体动态,几乎实时更新。通过这个界面,用户可以及时发现异常事件。
以下是 ATA 工作流程的 me
订阅专栏 解锁全文
扫一扫
4084
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
