Erfahrungen / Infos zu Advanced Threat Analytics

[mad-max79 11]

Hallo zusammen,

 

ich hatte letztens in der Admin über das neue Werkzeug von MS gelesen "Advanced Threat Analytics".

Kennt jemand das neue Produkt, oder nutzes es bereits.

 

Welche Erfarungen liegen vor?

Kann mir jemand was zum Lizenzmodell sagen?

 

Danke und Gruß...

Michael

 

[blub 115]

Hallo,

ATA ist ein Werkzeug, das den gesamten Netzwerktraffic von und zu Domaincontrollern analysiert und Abnormalitäten bzgl. Security erkennen soll. ATA soll nach der Installation selbstständig über ein paar Wochen hinweg  das "Normale Verhalten" im Netz erlernen und danach bei verdächtigen Abweichungen davon anschlagen.

Ein Vorteil ist u.a., dass bei diesem Konzept keine Agenten auf den DCs benötigt werden.

 

Das Tool wurde erst relativ neu von MS zugekauft. Daher wird es noch wenig praktische Erfahrung geben.

 

blub

[magheinz 111]

Und wenn schon ein verseuchter Rechner im Netz ist wird der gleich als "normal" gelernt?

[blub 115]

ATA kommt mit einer von Microsoft implementierten Intelligenz einher, die vor dem tatsächlich Betriebsstart noch um einige Wochen "Lernphase" ergänzt wird. Wenn man Glück hat, erkennt ATA dann weitere bad systems, die bisher durchs Security-Monitoring gerutscht sind.

 

Und wenn schon ein verseuchter Rechner im Netz ist wird der gleich als "normal" gelernt?

Antwort von Radio Eriwan: Im Prinzip ja, aber es kommt darauf an...

 

Anders ausgedrückt: Ich bin kein Microsofty und kann's dir pauschal auch nicht beantworten

[mad-max79 11]

Hallo und danke für eure bisherigen Rückmeldungen.

 

Ist jemandem das Lizenzmodell bekannt?

Sehe ich es richtig, dass auch hier nach Usern oder Devices bezahlt werden muss?

 

Wenn ja, dann ist das "Teil" richtig teuer in großen Umgebungen.

[tesso 384]

Es gibt verschiedene Lizenzmodelle. Du bekommst die CALs einzeln und auch in verschiedenen Suiten ist ATA integriert, EMS,ECAL und ECS.

 

Infos findest du auf den MS Seiten.

http://www.microsoft.com/en-us/server-cloud/products/advanced-threat-analytics/purchasing.aspx

[mad-max79 11]

Ich kann also nach User oder  OSE / Device lizensieren

Das ist dann aber ganz schön teuer...

 

Nach User fällt bei uns weg. Wir haben über 2000 Mitarbeiter

Nach Devices, wenn ich das richtig verstehe, alle Geräte (Clients und Server) im Netzwerk.

also auch so um die 1000 Geräte.

 

User => 80$ bei 2000 Mitarbeiter 160.000 $

OSE => 161 $ bei 1000 Geräten 161.000 $

 

Habe ich einen Denkfehler, oder ist die Software wirklich so teuer?

[NorbertFe 2.283]

Bei 2000 Usern bzw. 1000 Geräten könnte es ja sein, dass du sowas wie eine der anderen Optionen günstiger bekommst als die Standalone License. ;) Wäre sicher am einfachsten du fragst den Preis einfach bei einem entsprechenden Händler an.

 

Bye

Norbert

[blub 115]

wenn es dir zu teuer ist, kannst du ja auch andere Produkte dieser Art evaluieren

http://www.rapid7.com/products/userinsight/index.jsp

[NeMiX 76]

Fireeye bietet sowas auch an.

Falls du wirklich an der ATA Lösung interessiert bist, solltest du dich an deinen MS Accountmanager wenden zwecks passender Beratung. Implementation ist auch nicht gerade trivial und du hast ja oben die Listenpreise genannt für Stand-Alone.