Condividi tramite


Che cos'è Advanced Threat Analytics?

Si applica a: Advanced Threat Analytics versione 1.9

Advanced Threat Analytics (ATA) è una piattaforma locale che consente di proteggere l'azienda da più tipi di attacchi informatici mirati avanzati e minacce interne.

Nota

Ciclo di vita del supporto

La versione finale di ATA è disponibile a livello generale. Il supporto MAINSTREAM di ATA è terminato il 12 gennaio 2021. Il supporto esteso continuerà fino a gennaio 2026. Per altre informazioni, leggere il blog.

Funzionamento di ATA

ATA sfrutta un motore di analisi di rete proprietario per acquisire e analizzare il traffico di rete di più protocolli (ad esempio Kerberos, DNS, RPC, NTLM e altri) per l'autenticazione, l'autorizzazione e la raccolta di informazioni. Queste informazioni vengono raccolte da ATA tramite:

  • Mirroring delle porte da controller di dominio e server DNS al gateway ATA e/o
  • Distribuzione di un gateway ATA Lightweight (LGW) direttamente nei controller di dominio

ATA acquisisce informazioni da più origini dati, ad esempio log ed eventi nella rete, per apprendere il comportamento di utenti e altre entità dell'organizzazione e crea un profilo comportamentale su di essi. ATA può ricevere eventi e log da:

  • Integrazione SIEM
  • Inoltro eventi di Windows (WEF)
  • Direttamente dall'agente di raccolta eventi di Windows (per il gateway leggero)

Per altre informazioni sull'architettura ATA, vedere Architettura ATA.

Che cosa fa ATA?

La tecnologia ATA rileva più attività sospette, concentrandosi su diverse fasi della kill chain di attacchi informatici, tra cui:

  • Ricognizione, durante la quale gli utenti malintenzionati raccolgono informazioni su come viene creato l'ambiente, quali sono i diversi asset e quali entità esistono. In genere, questo è il punto in cui gli utenti malintenzionati creano piani per le fasi successive di attacco.
  • Ciclo di spostamento laterale, durante il quale un utente malintenzionato investe tempo e sforzo nella diffusione della superficie di attacco all'interno della rete.
  • Dominanza del dominio (persistenza), durante la quale un utente malintenzionato acquisisce le informazioni che consentono di riprendere la campagna usando vari set di punti di ingresso, credenziali e tecniche.

Queste fasi di un attacco informatico sono simili e prevedibili, indipendentemente dal tipo di società sotto attacco o da quale tipo di informazione viene preso di mira. ATA cerca tre tipi principali di attacchi: attacchi dannosi, comportamenti anomali e problemi di sicurezza e rischi.

Gli attacchi dannosi vengono rilevati in modo deterministico, cercando l'elenco completo dei tipi di attacco noti, tra cui:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • PAC contraffatto (MS14-068)
  • Golden Ticket
  • Repliche dannose
  • Ricognizione
  • Forza bruta
  • Esecuzione remota

Per un elenco completo dei rilevamenti e delle relative descrizioni, vedere What Suspicious Activities Can ATA detect?.

ATA rileva queste attività sospette e visualizza le informazioni nella console ATA, inclusa una chiara visualizzazione di Who, What, When e How. Come si può notare, monitorando questo dashboard semplice e intuitivo, si riceve un avviso che ATA sospetta che un attacco Pass-the-Ticket sia stato tentato nei computer Client 1 e Client 2 nella rete.

sample ATA screen pass-the-ticket.

Il comportamento anomalo viene rilevato da ATA usando l'analisi comportamentale e sfruttando Machine Learning per individuare attività discutibili e comportamenti anomali negli utenti e nei dispositivi nella rete, tra cui:

  • Accessi anomali
  • Minacce sconosciute
  • Condivisione delle password
  • Spostamento laterale
  • Modifica dei gruppi sensibili

È possibile visualizzare attività sospette di questo tipo nel dashboard ATA. Nell'esempio seguente ATA avvisa l'utente quando un utente accede a quattro computer a cui non si accede normalmente da questo utente, che potrebbe essere una causa di allarme.

sample ATA screen abnormal behavior.

ATA rileva anche problemi e rischi di sicurezza, tra cui:

  • Attendibilità interrotta
  • Protocolli deboli
  • Vulnerabilità note del protocollo

È possibile visualizzare attività sospette di questo tipo nel dashboard ATA. Nell'esempio seguente, ATA informa che esiste una relazione di trust interrotta tra un computer nella rete e il dominio.

sample ATA screen broken trust.

Problemi noti

  • Se si esegue l'aggiornamento ad ATA 1.7 e immediatamente ad ATA 1.8, senza prima aggiornare i gateway ATA, non è possibile eseguire la migrazione ad ATA 1.8. È necessario prima aggiornare tutti i gateway alla versione 1.7.1 o 1.7.2 prima di aggiornare ATA Center alla versione 1.8.

  • Se si seleziona l'opzione per eseguire una migrazione completa, l'operazione potrebbe richiedere molto tempo, a seconda delle dimensioni del database. Quando si selezionano le opzioni di migrazione, viene visualizzato il tempo stimato. Prendere nota di questa opzione prima di decidere quale opzione selezionare.

Passaggi successivi

Vedi anche