Advanced Threat Analytics (ATA) とは?

  • [アーティクル]

適用対象: Advanced Threat Analytics Version 1.9

Advanced Threat Analytics (ATA) は、複数の種類の高度な標的型サイバー攻撃や内部関係者の脅威から企業を保護するのに役立つオンプレミス プラットフォームです。

Note

サポート ライフサイクル

ATA の最終リリースは、一般公開されています。 ATA メインストリーム サポートは 2021 年 1 月 12 日に終了しました。 延長サポートは 2026 年 1 月まで継続されます。 詳細については、こちらのブログ記事を参照してください。

ATA のしくみ

ATAは、独自のネットワーク解析エンジンを利用して、認証、承認、および情報収集のために、複数のプロトコル (Kerberos、DNS、RPC、NTLM など) のネットワーク トラフィックをキャプチャして解析します。 この情報は ATA によって次の方法で収集されます。

  • ドメイン コントローラーと DNS サーバーから ATA ゲートウェイへのポート ミラーリング
  • ドメイン コントローラーに直接 ATA Lightweight Gateway (LGW) をデプロイする

ATA は、ネットワークのログやイベントなど複数のデータソースから情報を取得して、組織内のユーザーや他のエンティティの動作を学習し、それらに関する行動プロファイルを構築します。 ATA は、次の場所からイベントとログを受信できます。

  • SIEM 統合
  • Windows イベント転送 (WEF)
  • Windows イベント コレクターから直接 (Lightweight Gateway 用)

ATA アーキテクチャの詳細については、「ATA アーキテクチャ」を参照してください。

ATA の機能

ATA テクノロジは、次のようなサイバー攻撃キル チェーンのいくつかのフェーズに焦点を当てて、複数の不審なアクティビティを検出します。

  • 偵察により、攻撃者は環境の構築方法、さまざまな資産、および存在するエンティティに関する情報を収集します。 通常は、攻撃者が次の攻撃フェーズの計画を立てる場所です。
  • 横移動サイクルでは、攻撃者がネットワーク内に攻撃対象領域を広げることに時間と労力を費やします。
  • ドメイン支配 (永続化) では、攻撃者は情報をキャプチャし、さまざまなエントリ ポイント、資格情報、手法を使用してキャンペーンを再開できるようにします。

サイバー攻撃のこれらのフェーズは、攻撃を受けている会社の種類や対象となる情報の種類に関係なく、類似しており、予測可能です。 ATA は、悪意のある攻撃、異常な動作、セキュリティの問題とリスクという 3 種類のメイン タイプの攻撃を検索します。

悪意のある攻撃は、次のような既知の攻撃の種類の完全な一覧を探すことによって、決定論的に検出されます。

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • 偽造 PAC (MS14 068)
  • ゴールデン チケット
  • 悪意のあるレプリケーション
  • 偵察
  • ブルート フォース
  • リモート実行

検出とその説明の完全な一覧については、「ATAで検出できる不審なアクティビティ」を参照してください。

ATA はこれらの不審なアクティビティを検出し、誰が、何を、いつ、どのようにの明確なビューを含む情報を ATA コンソールに表示します。 このように、このシンプルで使いやすいダッシュボードを監視すると、ATA は、ネットワーク内のクライアント 1 およびクライアント 2 コンピューターで Pass-the-Ticket 攻撃が試行された疑いがあることを警告します。

sample ATA screen pass-the-ticket.

異常な動作は、行動分析を使用して ATA によって検出され、機械学習を利用して、ユーザーやネットワーク内のデバイスの不審なアクティビティや異常動作を明らかにします。これには、次のような情報が含まれます。

  • 異常なログイン
  • 未知の脅威
  • パスワードの共有
  • 侵入拡大
  • 機密性の高いグループの修正

ATA ダッシュボードでは、この種類の不審なアクティビティを表示できます。 次の例では、ATA は、あるユーザーが通常アクセスしない 4 台のコンピューターにアクセスしたときに警告します。これは、アラームの原因である可能性があります。

sample ATA screen abnormal behavior.

ATA では、次のようなセキュリティの問題とリスクも検出されます。

  • 信頼関係の消失
  • 脆弱なプロトコル
  • 既知のプロトコルの脆弱性

ATA ダッシュボードでは、この種類の不審なアクティビティを表示できます。 次の例では、ATA は、ネットワーク内のコンピューターとドメイン間の信頼関係が崩れていることを知らせます。

sample ATA screen broken trust.

既知の問題

  • ATA ゲートウェイを最初に更新せずに ATA 1.7 に更新し、すぐに ATA 1.8 に更新した場合、ATA 1.8 に移行することはできません。 ATA センターをバージョン 1.8 に更新する前に、まずすべてのゲートウェイをバージョン 1.7.1 または 1.7.2 に更新する必要があります。

  • 完全移行を実行するオプションを選択した場合、データベースのサイズによっては非常に長い時間がかかる場合があります。 移行オプションを選択すると、推定時間が表示されます。選択するオプションを決定する前に、この点に注意してください。

次の内容

関連項目