A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Az Advanced Threat Analytics (ATA) egy helyszíni platform, amely segít megvédeni vállalatát a speciális célzott kibertámadások és belső fenyegetések különböző típusaitól.
Megjegyzés
Támogatási életciklus
Az ATA végleges kiadása általánosan elérhető. Az ATA alapvető támogatása 2021. január 12-én megszűnt. A kiterjesztett támogatás 2026 januárjáig folytatódik. További információért olvassa el blogunkat.
Az ATA működése
Az ATA egy saját hálózatelemző motort használ több protokoll (például Kerberos, DNS, RPC, NTLM stb.) hálózati forgalmának rögzítésére és elemzésére hitelesítés, engedélyezés és információgyűjtés céljából. Ezeket az adatokat az ATA a következő módon gyűjti:
Porttükrözés tartományvezérlőkről és DNS-kiszolgálókról az ATA-átjáróra és/vagy
Egyszerűsített ATA-átjáró (LGW) üzembe helyezése közvetlenül a tartományvezérlőkön
Az ATA több adatforrásból, például a hálózat naplóiból és eseményeiből származó információkat vesz fel, hogy megismerje a szervezet felhasználóinak és más entitásainak viselkedését, és létrehoz egy viselkedési profilt róluk.
Az ATA a következő helyről fogadhat eseményeket és naplókat:
SIEM-integráció
Windows-eseménytovábbítás (WEF)
Közvetlenül a Windows Eseménygyűjtőből (egyszerűsített átjáró esetén)
Az ATA architektúrájával kapcsolatos további információkért lásd: Az ATA architektúrája.
Mit tesz az ATA?
Az ATA-technológia több gyanús tevékenységet észlel, amelyek a kibertámadások leölési láncának több fázisára összpontosítanak, többek között a következőkre:
Felderítés, amely során a támadók információkat gyűjtenek a környezet felépítéséről, a különböző objektumokról és az entitásokról. A támadók általában itt építenek terveket a támadás következő fázisaihoz.
Oldalirányú mozgási ciklus, amely során a támadó időt és energiát fektet a támadási felület hálózatán belüli terjesztésébe.
Tartományi dominancia (állandóság), amely során a támadó rögzíti azokat az információkat, amelyek lehetővé teszik a kampány folytatását különböző belépési pontok, hitelesítő adatok és technikák használatával.
A kibertámadások ezen fázisai hasonlóak és kiszámíthatóak, függetlenül attól, hogy milyen típusú vállalatot támadnak meg, vagy milyen típusú információt céloznak meg.
Az ATA három fő támadástípust keres: rosszindulatú támadásokat, rendellenes viselkedést, valamint biztonsági problémákat és kockázatokat.
A rosszindulatú támadások determinisztikus észlelése az ismert támadástípusok teljes listájának keresésével, beleértve a következőket:
Az ATA észleli ezeket a gyanús tevékenységeket, és felfedi az információkat az ATA-konzolon, beleértve a Ki, a Mit, a Mikor és a Hogyan nézetet. Amint látható, ennek az egyszerű, felhasználóbarát irányítópultnak a figyelésével a rendszer figyelmezteti, hogy az ATA azt gyanítja, hogy pass-the-ticket típusú támadást kíséreltek meg a hálózat 1. és 2. ügyfél számítógépein.
Az ATA viselkedéselemzéssel és a Machine Learning használatával észleli a rendellenes viselkedést a hálózat felhasználóinak és eszközeinek megkérdőjelezhető tevékenységeinek és rendellenes viselkedésének feltárásához, beleértve a következőket:
Rendellenes bejelentkezések
Ismeretlen fenyegetések
Jelszómegosztás
Oldalirányú mozgás
Bizalmas csoportok módosítása
Az ilyen típusú gyanús tevékenységeket az ATA irányítópultján tekintheti meg. Az alábbi példában az ATA riasztást küld, ha egy felhasználó négy számítógéphez fér hozzá, amelyekhez általában nem fér hozzá ez a felhasználó, ami riasztást okozhat.
Az ATA biztonsági problémákat és kockázatokat is észlel, beleértve a következőket:
Megszakadt megbízhatóság
Gyenge protokollok
Ismert protokollok biztonsági rései
Az ilyen típusú gyanús tevékenységeket az ATA irányítópultján tekintheti meg. Az alábbi példában az ATA arról tájékoztatja, hogy megszakadt a megbízhatósági kapcsolat a hálózat és a tartomány egyik számítógépe között.
Ismert problémák
Ha az ATA 1.7-ről azonnal az ATA 1.8-ra frissít, az ATA-átjárók előzetes frissítése nélkül nem migrálhat az ATA 1.8-ra. Az ATA-központ 1.8-ra való frissítése előtt először frissíteni kell az összes átjárót az 1.7.1-es vagy 1.7.2-es verzióra.
Ha a teljes migrálást választja, az adatbázis méretétől függően nagyon hosszú időt vehet igénybe. A migrálási beállítások kiválasztásakor megjelenik a becsült idő – ezt jegyezze fel, mielőtt eldöntené, hogy melyiket válassza.
A következő lépés
További információ arról, hogy az ATA hogyan illeszkedik a hálózatba: ATA-architektúra