Configurando Microsoft Advanced Threat Analytics (ATA)

Microsoft Advanced Threat Analytics

Neste artigo vamos falar sobre uma poderosa ferramenta chamada "Microsoft Advanced Threat Analytics" e mais conhecida no mercado como (ATA). Essa ferramenta trabalha com análises em tempo real para serviços de um ambiente corporativo, ajudando na segurança e monitorando tentativas de ataques internos e externos. Vamos ver como a ferramenta funciona na prática.

Para efetuar o download  dessa ferramenta, voce precisa ter adquirido, ou ter uma conta MSDN e uma máquina como membro de domínio. Faça o download do produto no seu canal de compra e abra o arquivo .ISO, como mostramos na imagem abaixo: 

Selecione o idioma desejado e clique em "Next": 

Aceite os termos de contrato e clique em "Next": 

Selecione update automático para manter a ferramenta sempre atualizada: 

Escolha o caminho desejado para instalação e clique em "Next": 

Aguarde o processo de instalação: 

Feito! Ferramenta já está instalada com suscesso. Clique em "Finish" para finalizar a instalação: 

No primeiro contato com a console de administração, insira as credenciais administrativas e o seu domíno atual do Active Directory. Após inserir as credenciais, clique em "Teste Connection":  

Com o sucesso de conexão na etapa anterior, efetue o download do arquivo "Gateway" que iremos instalar em nosso servidor do Active Directory. 

Clique em "Gateway Setup": 

Download será inciado. Copie o arquivo baixado para o servidor que queira monitorar e analisar. Em nosso caso, instalamos o Gateway para monitorar ataques em nosso servidor de Active Directory principal. 

No servidor que irá receber o Gateway, inicie a instalação: 

Escolha o idioma e clique em "Next": 

Selecione a opção de instalação no domain controller, como mostra a imagem abaixo: 

Escolha o caminho de instalação da ferramenta: 

Aguarde o processo de instalação: 

Feito! O Gateway foi instalado em nosso controlador de domínio principal com sucesso. 

Aguarde o inínio da aplicação. Esse processo pode demorar alguns minutos: 

Pronto! A ferramenta já está rodando 100% no servidor de domínio Active Directory. 

Habilite o sincronismo para finalizar a configuração e iniciar a coleta de dados: 

Feito! A ferramenta já está 100% configurada e sincronizando. 

Vá até uma estação de trabalho, que está ingressada ao domínio e digite os seguintes comandos abaixo:

  • nslookup
  • ls -d "nome do seu domínio local"
Esses são comandos administrativos e serão considerados como ataques ao nosso servidor. Se algum usuário ou comando malicioso tentar executar esse tipo de tarefa em nossas estações de trabalho, alertas serão gerados em nossa administração centralizada.

Voltando para a nossa console central, veja que os comandos refletiram em nossa console de administração e já apontou detalhes importantíssimos para nossa atuação de segurança.

Esperamos que essa dica de ferramenta ajude aos administradores a controlarem melhor o seu ambiente, e assim aumentarem a segurança de dados em suas organização e seus clientes.