Mi az Advanced Threat Analytics?
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Az Advanced Threat Analytics (ATA) egy helyszíni platform, amely segít megvédeni a vállalatot a speciális célzott kibertámadások és belső fenyegetések számos típusától.
Megjegyzés:
Támogatási életciklus
Az ATA végleges kiadása általánosan elérhető. Az ATA általános támogatása 2021. január 12-én véget ért. A kiterjesztett támogatás 2026 januárjáig folytatódik. További információkért olvassa el blogunkat.
Az ATA működése
Az ATA egy saját hálózatelemző motort használ több protokoll (például Kerberos, DNS, RPC, NTLM és mások) hálózati forgalmának rögzítésére és elemzésére hitelesítés, engedélyezés és információgyűjtés céljából. Ezeket az információkat az ATA a következő módon gyűjti:
- Porttükrözés tartományvezérlőkről és DNS-kiszolgálókról az ATA-átjáróra és/vagy
- Egyszerűsített ATA-átjáró (LGW) üzembe helyezése közvetlenül a tartományvezérlőkön
Az ATA több adatforrásból, például a hálózat naplóiból és eseményeiből származó információkat vesz fel, hogy megismerje a szervezet felhasználóinak és más entitásainak viselkedését, és létrehoz egy viselkedési profilt róluk. Az ATA az alábbiakból fogadhat eseményeket és naplókat:
- SIEM-integráció
- Windows-eseménytovábbítás (WEF)
- Közvetlenül a Windows eseménygyűjtőből (az egyszerűsített átjáróhoz)
Az ATA architektúrájával kapcsolatos további információkért lásd: ATA-architektúra.
Mit tesz az ATA?
Az ATA-technológia több gyanús tevékenységet észlel, amelyek a kibertámadások elleni támadási lánc több fázisára összpontosítanak, többek között a következőkre:
- A felderítés során a támadók információkat gyűjtenek a környezet felépítéséről, a különböző objektumokról és az entitásokról. A támadók általában itt építenek terveket a következő támadási fázisokra.
- Oldalirányú mozgási ciklus, amely során a támadó időt és energiát fektet a támadási felület terjesztésébe a hálózaton belül.
- A tartomány dominanciája (megőrzése), amely során a támadók rögzítik azokat az információkat, amelyek lehetővé teszik a kampányuk folytatását különböző belépési pontok, hitelesítő adatok és technikák használatával.
A kibertámadás ezen fázisai hasonlóak és kiszámíthatóak, függetlenül attól, hogy milyen típusú vállalatot támadnak meg, vagy milyen típusú információkat céloznak meg. Az ATA három fő támadástípust keres: rosszindulatú támadásokat, rendellenes viselkedést, biztonsági problémákat és kockázatokat.
A rosszindulatú támadások determinisztikus módon észlelhetők az ismert támadástípusok teljes listájának keresésével, beleértve a következőket:
- Pass-the-Ticket (PtT)
- Pass-the-Hash (PtH)
- Overpass-the-Hash
- Hamis PAC (MS14-068)
- Arany jegy
- Rosszindulatú replikációk
- Felderítés
- Találgatásos erő
- Távoli végrehajtás
Az észlelések és azok leírásai teljes listájáért tekintse meg az ATA által észlelt gyanús tevékenységeket ismertető témakört.
Az ATA észleli ezeket a gyanús tevékenységeket, és felfedi az információkat az ATA-konzolon, beleértve a ki, a mit, a mikor és a hogyan egyértelmű nézetét. Amint látható, az egyszerű, felhasználóbarát irányítópult figyelésével a rendszer riasztást kap arról, hogy az ATA gyanítja, hogy pass-the-ticket támadást kíséreltek meg a hálózat 1. és 2. ügyfélszámítógépén.
Az ATA viselkedéselemzéssel észleli a rendellenes viselkedést, és kihasználja a gépi Tanulás, hogy megkérdőjelezhető tevékenységeket és rendellenes viselkedést derítsen fel a hálózat felhasználóiban és eszközeiben, beleértve a következőket:
- Rendellenes bejelentkezések
- Ismeretlen fenyegetések
- Jelszómegosztás
- Oldalirányú mozgás
- Bizalmas csoportok módosítása
Az ilyen típusú gyanús tevékenységeket az ATA-irányítópulton tekintheti meg. Az alábbi példában az ATA riasztást küld, ha egy felhasználó négy számítógéphez fér hozzá, amelyekhez a felhasználó általában nem fér hozzá, ami riasztást okozhat.
Az ATA biztonsági problémákat és kockázatokat is észlel, beleértve a következőket:
- Hibás megbízhatóság
- Gyenge protokollok
- Ismert protokollok biztonsági rései
Az ilyen típusú gyanús tevékenységeket az ATA-irányítópulton tekintheti meg. Az alábbi példában az ATA tudatja Önvel, hogy megszakadt a megbízhatósági kapcsolat a hálózat és a tartomány számítógépe között.
Ismert problémák
Ha az ATA 1.7-ről azonnal az ATA 1.8-ra frissít, az ATA-átjárók első frissítése nélkül nem migrálhat az ATA 1.8-ra. Az ATA-központ 1.8-ra való frissítése előtt először frissíteni kell az összes átjárót az 1.7.1-es vagy az 1.7.2-es verzióra.
Ha a teljes migrálást választja, az adatbázis méretétől függően nagyon hosszú időt vehet igénybe. A migrálási beállítások kiválasztásakor megjelenik a becsült idő – jegyezze fel ezt, mielőtt eldöntené, hogy melyik lehetőséget válassza.
A következő lépések
További információ arról, hogy az ATA hogyan illeszkedik a hálózatba: ATA-architektúra
Az ATA üzembe helyezésének első lépései: Az ATA telepítése