다음을 통해 공유


Advanced Threat Analytics란?

적용 대상: Advanced Threat Analytics 버전 1.9

ATA(Advanced Threat Analytics)는 여러 유형의 고급 대상 사이버 공격 및 내부자 위협으로부터 엔터프라이즈를 보호하는 데 도움이 되는 온-프레미스 플랫폼입니다.

참고 항목

지원 수명 주기

ATA의 최종 릴리스는 일반적으로 사용할 수 있습니다. ATA 주류 지원은 2021년 1월 12일에 종료되었습니다. 추가 지원은 2026년 1월까지 계속됩니다. 자세한 내용은 블로그를 참조하세요.

ATA 작동 방식

ATA는 독점 네트워크 구문 분석 엔진을 활용하여 인증, 권한 부여 및 정보 수집을 위해 여러 프로토콜(예: Kerberos, DNS, RPC, NTLM 등)의 네트워크 트래픽을 캡처하고 구문 분석합니다. 이 정보는 다음을 통해 ATA에서 수집됩니다.

  • Do기본 컨트롤러 및 DNS 서버에서 ATA 게이트웨이 및/또는로 포트 미러
  • DO기본 컨트롤러에서 직접 ATA LGW(경량 게이트웨이) 배포

ATA는 네트워크의 로그 및 이벤트와 같은 여러 데이터 원본에서 정보를 가져와 조직의 사용자 및 기타 엔터티의 동작을 알아보고 이에 대한 동작 프로필을 작성합니다. ATA는 다음에서 이벤트 및 로그를 받을 수 있습니다.

  • SIEM 통합
  • WEF(Windows 이벤트 전달)
  • Windows 이벤트 수집기에서 직접(경량 게이트웨이용)

ATA 아키텍처에 대한 자세한 내용은 ATA 아키텍처를 참조 하세요.

ATA는 무엇을 합니까?

ATA 기술은 다음과 같은 사이버 공격 킬 체인의 여러 단계에 중점을 두고 여러 의심스러운 활동을 감지합니다.

  • 공격자가 환경을 빌드하는 방법, 다양한 자산 및 존재하는 엔터티에 대한 정보를 수집하는 정찰. 일반적으로 공격자가 다음 공격 단계에 대한 계획을 수립하는 곳입니다.
  • 공격자가 네트워크 내부에 공격 노출 영역을 분산하는 데 시간과 노력을 투자하는 횡적 이동 주기입니다.
  • do기본 우위(지속성)는 공격자가 다양한 진입점, 자격 증명 및 기술을 사용하여 캠페인을 다시 시작할 수 있도록 하는 정보를 캡처합니다.

사이버 공격의 이러한 단계는 공격을 받고 있는 회사의 유형이나 대상이 되는 정보 유형에 관계없이 유사하고 예측 가능합니다. ATA는 악의적인 공격, 비정상적인 동작, 보안 문제 및 위험의 세 가지 기본 유형의 공격을 검색합니다.

악의적인 공격은 다음을 비롯한 알려진 공격 유형의 전체 목록을 검색하여 결정적으로 검색됩니다.

  • PtT(Pass-the-Ticket)
  • Pass-the-Hash(PtH)
  • 고가도로 해시
  • 위조된 PAC(MS14-068)
  • 골든 티켓
  • 악의적인 복제본(replica)
  • 정찰
  • 무차별 암호 대입(Brute force)
  • 원격 실행

검색 및 해당 설명의 전체 목록은 ATA에서 검색할 수 있는 의심스러운 활동을 참조하세요.

ATA는 이러한 의심스러운 활동을 감지하고 누가, 무엇을, 언제, 어떻게 하는지에 대한 명확한 보기를 포함하여 ATA 콘솔의 정보를 표시합니다. 여기서 볼 수 있듯이 이 간단하고 사용자에게 친숙한 대시보드를 모니터링하면 ATA에서 네트워크의 클라이언트 1 및 클라이언트 2 컴퓨터에서 Pass-the-Ticket 공격이 시도된 것으로 의심된다는 경고가 표시됩니다.

sample ATA screen pass-the-ticket.

비정상적인 동작 은 동작 분석을 사용하고 Machine Learning을 활용하여 네트워크의 사용자 및 디바이스에서 의심스러운 활동 및 비정상적인 동작을 발견하기 위해 다음을 포함하여 ATA에서 검색됩니다.

  • 비정상적인 로그인
  • 알 수 없는 위협
  • 암호 공유
  • 수평 이동
  • 중요한 그룹 수정

ATA 대시보드에서 이 유형의 의심스러운 활동을 볼 수 있습니다. 다음 예제에서 ATA는 사용자가 이 사용자가 일반적으로 액세스하지 않는 4대의 컴퓨터에 액세스할 때 경고합니다. 이는 경보의 원인이 될 수 있습니다.

sample ATA screen abnormal behavior.

또한 ATA는 다음을 비롯한 보안 문제 및 위험을 감지합니다.

  • 끊어진 신뢰
  • 약한 프로토콜
  • 알려진 프로토콜 취약성

ATA 대시보드에서 이 유형의 의심스러운 활동을 볼 수 있습니다. 다음 예제에서 ATA는 네트워크의 컴퓨터와 do기본 간에 트러스트 관계가 끊어진 것을 알려줍니다.

sample ATA screen broken trust.

알려진 문제

  • ATA 게이트웨이를 먼저 업데이트하지 않고 ATA 1.7 및 ATA 1.8로 즉시 업데이트하는 경우 ATA 1.8로 마이그레이션할 수 없습니다. ATA 센터를 버전 1.8로 업데이트하기 전에 먼저 모든 게이트웨이를 버전 1.7.1 또는 1.7.2로 업데이트해야 합니다.

  • 전체 마이그레이션을 수행하는 옵션을 선택하면 데이터베이스 크기에 따라 시간이 오래 걸릴 수 있습니다. 마이그레이션 옵션을 선택하면 예상 시간이 표시됩니다. 선택할 옵션을 결정하기 전에 이 점을 기록해 둡니다.

후속 단계

참고 항목