¿Qué es Advanced Threat Analytics?

  • Artículo
  • Tiempo de lectura: 3 minutos

Se aplica a: Advanced Threat Analytics versión 1.9

Advanced Threat Analytics (ATA) es una plataforma local que ayuda a proteger su empresa de varios tipos de ataques cibernéticos orientados avanzados y amenazas internas.

Nota

Ciclo de vida de soporte técnico

La versión final de ATA está disponible con carácter general. El soporte estándar de ATA finalizó el 12 de enero de 2021. El soporte extendido continuará hasta enero de 2026. Para obtener más información, lea nuestro blog.

Funcionamiento de ATA

ATA aprovecha un motor de análisis de red propietario para capturar y analizar el tráfico de red de varios protocolos (como Kerberos, DNS, RPC, NTLM y otros) para la autenticación, autorización y recopilación de información. ATA recopila esta información a través de:

  • Creación de reflejo del puerto desde los controladores de dominio y los servidores DNS a la puerta de enlace ATA; y/o
  • Implementación de una puerta de enlace ligera ATA (LGW) directamente en los controladores de dominio

ATA toma información de varios orígenes de datos, como registros y eventos de la red, para aprender el comportamiento de los usuarios y otras entidades de la organización y crea un perfil de comportamiento sobre ellos. ATA puede recibir eventos y registros de:

  • Integración de SIEM
  • Reenvío de eventos de Windows (WEF)
  • Directamente del recopilador de eventos de Windows (para la puerta de enlace ligera)

Para obtener más información sobre la arquitectura de ATA, consulte Arquitectura de ATA.

¿Qué hace ATA?

La tecnología ATA detecta varias actividades sospechosas centrándose en varias fases de la cadena de interrupción de ataques cibernéticos, que incluye:

  • Reconocimiento, durante el que los atacantes recopilan información sobre el diseño del entorno, cuáles son los distintos activos y qué entidades hay. Normalmente, es en este momento cuando los atacantes elaboran planes para sus próximas fases de ataque.
  • Ciclo de desplazamiento lateral, durante el que un atacante invierte tiempo y esfuerzo en la propagación de la superficie de ataque dentro de su red.
  • Dominio del dominio (persistencia), durante el que un atacante captura la información, lo que les permite reanudar su campaña con varios puntos de entrada, credenciales y técnicas.

Estas fases de un ataque de ciberseguridad son similares y predecibles, sin importar qué tipo de empresa está sufriendo un ataque o el tipo de información orientada. ATA busca tres tipos principales de ataques: ataques malintencionados, comportamiento anómalo y riesgos y problemas de seguridad.

Los ataques malintencionados se detectan de forma determinista, consultando la lista completa de los tipos de ataque conocidos, incluidos:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • PAC falsificado (MS14-068)
  • Golden ticket
  • Replicaciones malintencionadas
  • Reconocimiento
  • Fuerza bruta
  • Ejecución remota

Para una lista completa de detecciones y sus descripciones, vea ¿Qué actividades sospechosas puede detectar ATA?

ATA detecta estas actividades sospechosas y presenta la información en la consola ATA, incluida una vista clara de quién, qué, cuándo y cómo. Como puede ver, mediante la supervisión de este panel simple y fácil de usar se le avisará de que ATA sospecha que se intentó perpetrar un ataque Pass-the-Ticket en los equipos cliente 1 y 2 de la red.

muestra de pantalla de ATA pass-the-ticket.

ATA detecta un comportamiento anómalo con el análisis de comportamiento y aprovecha el aprendizaje automático para descubrir actividades cuestionables y un comportamiento anormal en los usuarios y dispositivos de la red, incluidos:

  • Inicios de sesión anómalos
  • Amenazas desconocidas
  • Uso compartido de contraseña
  • Desplazamiento lateral
  • Modificación de los grupos confidenciales

Puede ver actividades sospechosas de este tipo en el panel ATA. En el ejemplo siguiente, ATA le avisa cuando un usuario accede a cuatro equipos a los que este usuario no puede obtener acceso de forma normalmente, que podría ser la causa de la alarma.

Comportamiento anómalo de la pantalla de ATA de ejemplo.

ATA también detecta riesgos y problemas de seguridad, incluidos:

  • Confianza rota
  • Protocolos débiles
  • Vulnerabilidades conocidas de protocolos

Puede ver actividades sospechosas de este tipo en el panel ATA. En el ejemplo siguiente, ATA le informa de que hay una relación de confianza rota entre un equipo y su red y el dominio.

Ejemplo de confianza rota en la pantalla de ATA.

Problemas conocidos

  • Si actualiza a ATA 1.7 e inmediatamente a ATA 1.8 sin actualizar primero las puertas de enlace de ATA, no podrá migrar a ATA 1.8. Se deben actualizar todas las puertas de enlace a la versión 1.7.1 o 1.7.2 antes de actualizar el Centro ATA a la versión 1.8.

  • Si selecciona la opción para efectuar una migración completa, puede tardar mucho tiempo en función del tamaño de la base de datos. Cuando selecciona las opciones de migración, se muestra el tiempo estimado: téngalo en cuenta antes de decidir qué opción va a seleccionar.

Pasos adicionales

Consulte también