Fotolia

Wie Advanced Threat Analytics Microsoft Exchange absichern kann

Advanced Threat Analytics nutzt selbstlernende Algorithmen, um normales Nutzerverhalten mit Ereignissen in einer Exchange-Umgebung zu vergleichen.

Microsoft ist nicht für seine Security-Fähigkeiten bekannt, vor allem im Hinblick auf die eigenen Produkte. Häufig ist Microsoft spät dran oder präsentiert Add-ons und Produkte, die aus Unternehmenssicht nicht die besten Lösungen für die Enterprise Security sind. Ein Blick auf Advanced Threat Analytics (ATA) ist dennoch lohnenswert.

Infolge der Aorato-Übernahme im November 2014 brachte Microsoft vor gut einem Jahr Advanced Threat Analytics auf den Markt. Dabei baut die Lösung auf den Versprechen von Aorato auf, Kunden ein neues Schutz-Level vor Bedrohungen zu bieten, indem sie bessere Einblick in ihre IAM-Infrastruktur erhalten.

Warum Advanced Threat Analytics existiert

Aus Sicht von Microsoft ist das Nutzerverhalten ein großer blinder Fleck, so dass Bedrohungen häufig erst nach einigen Monaten entdeckt werden. Die On-Premise-Lösung Advanced Threat Analytics verwendet selbstlernende Erkennungsalgorithmen, die festlegen, wer, wann und wie etwas im Netzwerk machen darf – ein Prozess, mit dem viele IT-Mitarbeiter in ihrer regelmäßigen Arbeit zu kämpfen haben.

Das Tool sammelt dabei Daten aus dem Netzwerk-Traffic, Windows Events, Drittanbieter Log-Management- und SIEM-Lösungen, um die Windows Domänenumgebung auf Echtzeit-Attacken zu prüfen. Dabei vergleicht die Anwendung normales beziehungsweise vergangenes Nutzerverhalten mit aktuellen Ereignissen und erkennt so mögliche Anomalien. Der große Pluspunkt der Lösung ist, dass keine Regeln, Richtlinien oder Schwellenwerte erforderlich sind. Es wird lediglich installiert und beginnt zu arbeiten.

Advanced Threat Analytics weist auf Risiken hin

Wie kann Advanced Threat Analytics zur Absicherung von Exchange beitragen? Einfach gesagt, praktisch alle Sicherheitsprobleme, die ATA aufdeckt, können sich auf die Messaging-Umgebung auswirken. Von auf zuletzt zugegriffene Ressoucen bis zu unregelmäßigen Benutzeraktivitäten erstellt ATA eine Zeitleiste möglicher Bedrohungen. Anwender können diese verwenden, um Sicherheitsprobleme in Exchange-Benutzerkonten zu überwachen und zu beheben.

Spezifische Funktionen von Advanced Threat Analytics zeichnen mögliche Bedrohungen direkt auf und helfen beim Management von Exchange-Risiken. Zu den Bedrohungen gehören zum Beispiel:

  • Bösartige Angriffe: Aufklärungssysteme, Brute-Force-Angriffe und Remote-Ausführung.
  • Abnormes Verhalten: Anomale Logins inklusive geteilter Passwörter und Seitwärtsbewegungen.
  • Sicherheitsprobleme und Risiken: Schwache Protokolle oder bekannte Schwachstellen.

Mehr zum Thema Microsoft Exchange:

Diese Änderungen hält das Release von Microsoft Exchange Server 2016 bereit.

Exchange 2013: Zugriffsprobleme auf die Exchange-Verwaltungskonsole beheben.

Auf diese fünf Probleme stoßen Admins bei der Migration auf Exchange 2013.

Probleme mit dem Microsoft Exchange Autoermittlungsdienst lösen.

Die zehn wichtigsten PowerShell Cmdlets für Microsoft Exchange 2013.

Die Arbeitsweise von Advanced Threat Analytics über das gesamte Unternehmen hinweg findet in vier Schritten statt: 1. analysieren, 2. lernen, 3. erkennen und 4. alarmieren. Der Prozess erstreckt sich von der internen Netzwerkumgebung bis zu mobilen Umgebungen – im Wesentlichen alles, was an die Windows-Domäne gebunden ist.

Exchange Security erfordert die richtige Sichtbarkeit

Haben Sie jemals aufgehört darüber nachzudenken, wie sicher Exchange zu einem beliebigen Zeitpunkt ist? Die richtige Absicherung der Exchange-Umgebung ist wohl eine schwierige Aufgabe – vor allem ohne die richtigen Werkzeuge. Möchte man die Risiken für die Messaging-Umgebung minimieren, benötigt man die richtige Sichtbarkeit. Die meisten IT-Admins haben diese aber nicht.

Die unbestrittene Wahrheit über Exchange (und alle anderen Systeme) ist, dass man Dinge nicht absichern kann, die man nicht erkannt hat oder über die man nichts weiß. Microsoft Advanced Threat Analytics scheint daher ein vernünftiges Angebot für einen vernünftigen Preis für Organisationen zu sein, die ihre Sicherheit auf die nächste Stufe heben möchte. Unabhängig davon, ob sie bereits ein SIEM-System einsetzen, erscheint ATA als gute Ergänzung zu jeder Microsoft-zentrierten Organisation. Wer Advanced Threat Analytics testen möchte, kann über diesen Link eine kostenlose Testversion herunterladen, welche 90 Tage gültig ist.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im August 2016 aktualisiert

Erfahren Sie mehr über Business-Software

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close