Advanced Threat Analytics란?
적용 대상: Advanced Threat Analytics 버전 1.9
ATA(Advanced Threat Analytics)는 여러 유형의 고급 대상 사이버 공격 및 내부자 위협으로부터 엔터프라이즈를 보호하는 데 도움이 되는 온-프레미스 플랫폼입니다.
참고 항목
지원 수명 주기
ATA의 최종 릴리스는 일반적으로 사용할 수 있습니다. ATA 주류 지원은 2021년 1월 12일에 종료되었습니다. 추가 지원은 2026년 1월까지 계속됩니다. 자세한 내용은 블로그를 참조하세요.
ATA 작동 방식
ATA는 독점 네트워크 구문 분석 엔진을 활용하여 인증, 권한 부여 및 정보 수집을 위해 여러 프로토콜(예: Kerberos, DNS, RPC, NTLM 등)의 네트워크 트래픽을 캡처하고 구문 분석합니다. 이 정보는 다음을 통해 ATA에서 수집됩니다.
- Do기본 컨트롤러 및 DNS 서버에서 ATA 게이트웨이 및/또는로 포트 미러
- DO기본 컨트롤러에서 직접 ATA LGW(경량 게이트웨이) 배포
ATA는 네트워크의 로그 및 이벤트와 같은 여러 데이터 원본에서 정보를 가져와 조직의 사용자 및 기타 엔터티의 동작을 알아보고 이에 대한 동작 프로필을 작성합니다. ATA는 다음에서 이벤트 및 로그를 받을 수 있습니다.
- SIEM 통합
- WEF(Windows 이벤트 전달)
- Windows 이벤트 수집기에서 직접(경량 게이트웨이용)
ATA 아키텍처에 대한 자세한 내용은 ATA 아키텍처를 참조 하세요.
ATA는 무엇을 합니까?
ATA 기술은 다음과 같은 사이버 공격 킬 체인의 여러 단계에 중점을 두고 여러 의심스러운 활동을 감지합니다.
- 공격자가 환경을 빌드하는 방법, 다양한 자산 및 존재하는 엔터티에 대한 정보를 수집하는 정찰. 일반적으로 공격자가 다음 공격 단계에 대한 계획을 수립하는 곳입니다.
- 공격자가 네트워크 내부에 공격 노출 영역을 분산하는 데 시간과 노력을 투자하는 횡적 이동 주기입니다.
- do기본 우위(지속성)는 공격자가 다양한 진입점, 자격 증명 및 기술을 사용하여 캠페인을 다시 시작할 수 있도록 하는 정보를 캡처합니다.
사이버 공격의 이러한 단계는 공격을 받고 있는 회사의 유형이나 대상이 되는 정보 유형에 관계없이 유사하고 예측 가능합니다. ATA는 악의적인 공격, 비정상적인 동작, 보안 문제 및 위험의 세 가지 기본 유형의 공격을 검색합니다.
악의적인 공격은 다음을 비롯한 알려진 공격 유형의 전체 목록을 검색하여 결정적으로 검색됩니다.
- PtT(Pass-the-Ticket)
- Pass-the-Hash(PtH)
- 고가도로 해시
- 위조된 PAC(MS14-068)
- 골든 티켓
- 악의적인 복제본(replica)
- 정찰
- 무차별 암호 대입(Brute force)
- 원격 실행
검색 및 해당 설명의 전체 목록은 ATA에서 검색할 수 있는 의심스러운 활동을 참조하세요.
ATA는 이러한 의심스러운 활동을 감지하고 누가, 무엇을, 언제, 어떻게 하는지에 대한 명확한 보기를 포함하여 ATA 콘솔의 정보를 표시합니다. 여기서 볼 수 있듯이 이 간단하고 사용자에게 친숙한 대시보드를 모니터링하면 ATA에서 네트워크의 클라이언트 1 및 클라이언트 2 컴퓨터에서 Pass-the-Ticket 공격이 시도된 것으로 의심된다는 경고가 표시됩니다.
비정상적인 동작 은 동작 분석을 사용하고 Machine Learning을 활용하여 네트워크의 사용자 및 디바이스에서 의심스러운 활동 및 비정상적인 동작을 발견하기 위해 다음을 포함하여 ATA에서 검색됩니다.
- 비정상적인 로그인
- 알 수 없는 위협
- 암호 공유
- 수평 이동
- 중요한 그룹 수정
ATA 대시보드에서 이 유형의 의심스러운 활동을 볼 수 있습니다. 다음 예제에서 ATA는 사용자가 이 사용자가 일반적으로 액세스하지 않는 4대의 컴퓨터에 액세스할 때 경고합니다. 이는 경보의 원인이 될 수 있습니다.
또한 ATA는 다음을 비롯한 보안 문제 및 위험을 감지합니다.
- 끊어진 신뢰
- 약한 프로토콜
- 알려진 프로토콜 취약성
ATA 대시보드에서 이 유형의 의심스러운 활동을 볼 수 있습니다. 다음 예제에서 ATA는 네트워크의 컴퓨터와 do기본 간에 트러스트 관계가 끊어진 것을 알려줍니다.
알려진 문제
ATA 게이트웨이를 먼저 업데이트하지 않고 ATA 1.7 및 ATA 1.8로 즉시 업데이트하는 경우 ATA 1.8로 마이그레이션할 수 없습니다. ATA 센터를 버전 1.8로 업데이트하기 전에 먼저 모든 게이트웨이를 버전 1.7.1 또는 1.7.2로 업데이트해야 합니다.
전체 마이그레이션을 수행하는 옵션을 선택하면 데이터베이스 크기에 따라 시간이 오래 걸릴 수 있습니다. 마이그레이션 옵션을 선택하면 예상 시간이 표시됩니다. 선택할 옵션을 결정하기 전에 이 점을 기록해 둡니다.