Annoncé en grandes pompes en mai dernier, et accompagnée d’une préversion publique, le Microsoft Advanced Threat Analytics (MS-ATA) voit sa sortie confirmée pour le mois d’août par Alex Simons en personne, le Directeur des « prog man » de la division « Identity and Security Services ». ATA est un outil de détection d’intrusion (un concurrent direct des FireEye, Palo Alto Networks, GateWatcher), sorte d’hybride de DPI (deep packet inspection) et d’outil d’analyse comportementale utilisant des fichiers de profils d’utilisateurs. Ce serveur de sécurité est l’évolution de la gamme d’Aorato, entreprise Israélienne absorbée par Microsoft en novembre 2013. Aorato, à l’époque, était plus orienté « vérification/authentification » des usagers référencés dans les ADS.
C’est devenu aujourd’hui, précise Simons, un outil véritablement destiné à protéger les infrastructures matérielles internes à l’entreprise (les installations « on premise », par opposition aux infrastructures « cloud »).
Toujours selon Simons, la prochaine édition intègrera une foultitude d’améliorations :
– détection des multiples méthodes d’attaque Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash, exécutions à distance, attaques brute force
– Prise en compte des multi-domaines
– Support des SLT (dénomination de domaines sans suffixe ou préfixe)
– Amélioration du support de systèmes non-Windows
– Détection automatique des équipements « NATés »
– Continuité de service en cas de disparition du contrôleur de domaine
– Monitoring de l’état de santé des systèmes (y compris modification des configurations, pertes de connectivité etc.)
– Processus de résolution automatique des noms de machines et numéro IP pour simplifier le travail d’analyse des activités suspectes