Partilhar via


O que é Advanced Threat Analytics?

Aplica-se a: Advanced Threat Analytics versão 1.9

O Advanced Threat Analytics (ATA) é uma plataforma local que ajuda a proteger a sua empresa contra vários tipos de ataques cibernéticos direcionados avançados e ameaças internas.

Nota

Ciclo de vida do suporte

A versão final do ATA está geralmente disponível. O Suporte Base da ATA terminou em 12 de janeiro de 2021. O suporte estendido continuará até janeiro de 2026. Para mais informações, leia o nosso blog.

Como funciona o ATA

O ATA aproveita um mecanismo de análise de rede proprietário para capturar e analisar o tráfego de rede de vários protocolos (como Kerberos, DNS, RPC, NTLM e outros) para autenticação, autorização e coleta de informações. Estas informações são recolhidas pela ATA através de:

  • Espelhamento de porta de controladores de domínio e servidores DNS para o gateway ATA e/ou
  • Implantando um ATA Lightweight Gateway (LGW) diretamente em controladores de domínio

O ATA obtém informações de várias fontes de dados, como logs e eventos em sua rede, para aprender o comportamento de usuários e outras entidades na organização e cria um perfil comportamental sobre eles. O ATA pode receber eventos e logs de:

  • Integração SIEM
  • Encaminhamento de eventos do Windows (WEF)
  • Diretamente do Coletor de Eventos do Windows (para o Lightweight Gateway)

Para obter mais informações sobre a arquitetura ATA, consulte Arquitetura ATA.

O que faz a ATA?

A tecnologia ATA deteta várias atividades suspeitas, concentrando-se em várias fases da cadeia de destruição de ciberataques, incluindo:

  • Reconhecimento, durante o qual os atacantes reúnem informações sobre como o ambiente é construído, quais são os diferentes ativos e quais entidades existem. Normalmente, é aqui que os atacantes constroem planos para as suas próximas fases de ataque.
  • Ciclo de movimento lateral, durante o qual um atacante investe tempo e esforço na disseminação da sua superfície de ataque dentro da sua rede.
  • Dominância de domínio (persistência), durante a qual um invasor captura as informações que lhe permitem retomar sua campanha usando vários conjuntos de pontos de entrada, credenciais e técnicas.

Estas fases de um ciberataque são semelhantes e previsíveis, independentemente do tipo de empresa que está a ser atacada ou do tipo de informação que está a ser visada. O ATA procura três tipos principais de ataques: ataques maliciosos, comportamento anormal e problemas e riscos de segurança.

Os ataques maliciosos são detetados de forma determinística, procurando a lista completa de tipos de ataque conhecidos, incluindo:

  • Passe o Bilhete (PtT)
  • Pass-o-Hash (PtH)
  • Viaduto-o-Hash
  • PAC forjado (MS14-068)
  • Bilhete Dourado
  • Replicações maliciosas
  • Reconhecimento
  • Força Bruta
  • Execução remota

Para obter uma lista completa das deteções e suas descrições, consulte Quais atividades suspeitas o ATA pode detetar?.

O ATA deteta essas atividades suspeitas e exibe as informações no Console do ATA, incluindo uma visão clara de Quem, O quê, Quando e Como. Como você pode ver, ao monitorar este painel simples e fácil de usar, você é alertado de que o ATA suspeita que um ataque Pass-the-Ticket foi tentado nos computadores Cliente 1 e Cliente 2 em sua rede.

sample ATA screen pass-the-ticket.

O comportamento anormal é detetado pelo ATA usando análise comportamental e aproveitando o Machine Learning para descobrir atividades questionáveis e comportamento anormal em usuários e dispositivos em sua rede, incluindo:

  • Logins anômalos
  • Ameaças desconhecidas
  • Partilha de palavras-passe
  • Movimento lateral
  • Modificação de grupos sensíveis

Você pode exibir atividades suspeitas desse tipo no Painel do ATA. No exemplo a seguir, o ATA alerta quando um usuário acessa quatro computadores que normalmente não são acessados por esse usuário, o que pode ser motivo de alarme.

sample ATA screen abnormal behavior.

O ATA também deteta problemas e riscos de segurança, incluindo:

  • Confiança quebrada
  • Protocolos fracos
  • Vulnerabilidades de protocolo conhecidas

Você pode exibir atividades suspeitas desse tipo no Painel do ATA. No exemplo a seguir, o ATA está informando que há uma relação de confiança quebrada entre um computador na rede e o domínio.

sample ATA screen broken trust.

Problemas conhecidos

  • Se você atualizar para o ATA 1.7 e imediatamente para o ATA 1.8, sem primeiro atualizar os gateways do ATA, não poderá migrar para o ATA 1.8. É necessário primeiro atualizar todos os Gateways para a versão 1.7.1 ou 1.7.2 antes de atualizar o Centro do ATA para a versão 1.8.

  • Se você selecionar a opção para executar uma migração completa, isso pode levar muito tempo, dependendo do tamanho do banco de dados. Ao selecionar as opções de migração, o tempo estimado é exibido - anote isso antes de decidir qual opção selecionar.

O que se segue?

Consulte também