Azure ATP(Advanced Threat Protection)는 온-프레미스 Active Directory 신호를 활용하여 고급 위협, 손상된 ID 및 사용자의 조직을 대상으로 한 악의적인 내부자 작업을 식별하고 검색하고 조사하는 클라우드 기반 보안 솔루션입니다.

Azure ATP을 사용하면 SecOp 분석가 및 보안 전문가가 하이브리드 환경에서 고급 공격을 검색하는 데 노력을 기울일 수 있습니다.

• 모니터링 사용자, 엔터티 동작 및 학습 기반 분석을 사용한 활동
• Active Directory에 저장된 사용자 ID 및 자격 증명 보호
• 킬 체인 전체에 걸친 고급 공격 및 의심스러운 사용자 활동 식별 및 조사
• 신속한 심사를 위해 단순한 타임라인에 대한 명확한 인시던트 정보 제공

사용자 동작 및 작업을 모니터링 및 프로파일링

Azure ATP는 사용 권한 및 그룹 구성원 자격 같이 사용자 네트워크를 통한 사용자 작업 및 정보를 모니터링 및 분석하여 각 사용자에 대한 동작 기준을 만듭니다. 그런 다음, Azure ATP은 기본 제공 적응형 인텔리전스를 사용하여 이상 현상을 파악하여 의심스러운 활동과 이벤트에 대한 인사이트를 제공하고 고급 위협, 손상된 사용자 및 조직이 직면한 내부자 위협을 밝혀냅니다. Azure ATP의 전용 센서는 조직의 도메인 컨트롤러를 모니터링하면서 모든 디바이스에서의 모든 사용자 활동을 포괄적으로 확인할 수 있습니다.

사용자 ID 보호 및 공격 노출 영역 축소

Azure ATP는 ID 구성 및 제안된 보안 모범 사례에 관한 귀중한 인사이트를 제공합니다. 보안 보고서 및 사용자 프로필 분석을 통해 Azure ATP는 조직의 공격 노출 영역을 크게 줄일 수 있으며, 사용자 자격 증명을 손상시키고 공격을 계속 진행하는 것을 어렵게 만듭니다. Azure ATP의 시각적 횡적 이동 경로를 통해 사용자는 이러한 위험을 사전에 방지하는 데 중요한 지원 및 계정을 손상하기 위해 공격자가 조직 내부에서 어떻게 횡적으로 이동할 수 있는지 정확하고 신속하게 파악할 수 있습니다. Azure ATP 보안 보고서를 통해 일반 텍스트 암호를 사용하여 인증하는 사용자 및 디바이스를 확인하고, 조직의 보안 상태 및 정책을 개선하기 위한 추가 정보를 제공할 수 있습니다.

의심스러운 활동 및 사이버 공격 킬 체인을 통한 고급 공격 식별

일반적으로 공격은 낮은 권한의 사용자 같이 액세스 가능한 모든 엔터티에 대해 이뤄진 다음, 공격자가 중요한 계정, 도메인 관리자 및 매우 중요한 데이터와 같은 중요한 자산에 액세스 권한을 획득할 때까지 신속히 횡적으로 이동됩니다. Azure ATP는 전체 사이버 공격 킬 체인에 걸쳐 원본에 대한 이러한 고급 위협 요소를 식별합니다.

정찰

악의적인 사용자와 공격자가 정보를 얻으려는 시도를 식별합니다. 공격자는 다양한 방법을 통해 사용자 이름, 사용자의 그룹 구성원 자격, 디바이스에 할당된 IP 주소, 리소스 등에 대한 정보를 검색합니다.

손상된 자격 증명

무차별 암호 대입 공격(brute force attack), 실패한 인증, 사용자 그룹 구성원 자격 변경 및 기타 방법을 사용하여 사용자 자격 증명을 손상시키려는 시도를 식별합니다.

횡적 이동

Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash 등의 메서드를 활용하여 중요한 사용자를 추가로 제어하기 위해 네트워크 내에서 횡적으로 이동하려는 시도를 검색합니다.

도메인 우위

DC 섀도, 악의적인 도메인 컨트롤러 복제, 골든 티켓 활동 등 도메인 컨트롤러 및 메서드에 대한 원격 코드 실행을 통해 도메인 우위를 획득하는 경우 공격자 동작을 강조 표시합니다.

경고 및 사용자 활동 조사

Azure ATP는 일반 경고 노이즈를 줄이도록 설계되었으며, 간단한 실시간 조직 공격 타임라인에 중요한 보안 경고만 제공합니다. Azure ATP 공격 타임라인 보기를 사용하면 스마트 분석 인텔리전스를 활용하여 중요한 문제에 쉽게 집중할 수 있습니다. Azure ATP를 사용하여 신속하게 위협을 조사하고 조직 전체에서 사용자, 디바이스 및 네트워크 리소스에 대한 정보를 얻을 수 있습니다. Microsoft Defender ATP와의 원활한 통합은 운영 체제에서 지속적인 고급 위협에 대한 추가 검색과 보호 조치를 통해 다른 계층의 향상된 보안을 제공합니다.