ATA Planung

{ Posted on Nov 16 2015 by Karsten Hentrup }
Categories : ATA, Karsten Hentrup

Hier nun wie angedroht ein weiterer Artikel zum Microsoft Advanced Threat Analytics (ATA).

Die Idee: zu ATA werden die Active Directory Daten gespiegelt, ausgewertet und auf möglichen Missbrauch hin untersucht. Hierzu ist ein Setup von sogenannten ATA Gateways nötig, welche die gespiegelten AD-Daten aufnehmen. ATA lernt nun die Umgebung kennen, wertet diese aus und meldet sicherheitsrelevante Informationen an das ATA Center. Auf dem ATA Center ist eine Timeline von Alarmen einsehbar, inklusive erster Empfehlungen der weiteren Vorgehensweise.

Die wichtigsten Infos vorab:

– ATA gibt es bisher nur on premise. Azure und andere public Clouds werden momentan nicht unterstützt.
– Idealerweise werden sämtliche DCs eines AD überwacht, dies erfordert sicherlich den Aufbau mehrerer ATA Gateways.
– Den ATA Gateways werden die AD-Daten mittels Spiegelports von Switchen (real, virtuell) übermittelt. Die Platzierung der ATA Gateways stellt somit die erste (und größte) Herausforderung dar.
– Sind die ATA Gateways einmal platziert, dann beginnt automatisch ein Selbstlernprozess. Es ist NICHT erforderlich eine aufwendige Baseline zu erstellen, das System startet nach Positionierung vollkommen autark los.
– ATA kann in einem Workgroup Szenario aufgebaut werden.
– Die Auswertung/Interpretation der von ATA angezeigten Vorkommnisse stellt die zweite Herausforderung dar, da hierfür ggf. “Personen Tage” reserviert werden müssen.
– ATA kann unter anderem durch EMS (Microsoft Enterprise Mobility Suite) lizenziert werden. EMS ist im Vergleich zu den einzelnen Produkten recht günstig, fragt hierzu einen Cloud Solution Provider. Zur Not kann ich einen CSR empfehlen Smiley http://iteracon.de/news/show/?entry=19

 

ATA Topologie:

image

https://technet.microsoft.com/de-de/library/mt297476.aspx

ATA Kapazitätsplanung:

Für ATA kann je nach Umgebung einiges an Ressourcen gefordert sein:

https://technet.microsoft.com/de-de/library/mt429323.aspx

ATA Test:

ATA Center und ATA Gateway kann zu Test- oder Laborzwecken auf einem Server installiert werden. Für den produktiven Einsatz sei eine Trennung aber empfohlen. Einen ersten Eindruck erhält man sicherlich auch, wenn nur ein DC überwacht wird. Für den produktiven Einsatz dürfte diese Sichtweise aber zu eingeschränkt sein.

Im nächsten Artikel zeige ich die Installation von ATA Center + Gateway, stay tuned.

Gruß,

Karsten Hentrup aka Jens Mander…

<j-j>

Post a Comment

Kommentare werden moderiert. Es kann etwas dauern, bis dein Kommentar angezeigt wird.

*