O que é Advanced Threat Analytics?
Aplica-se a: Advanced Threat Analytics versão 1.9
O Advanced Threat Analytics (ATA) é uma plataforma local que ajuda a proteger a sua empresa contra vários tipos de ataques cibernéticos direcionados avançados e ameaças internas.
Nota
Ciclo de vida do suporte
A versão final do ATA está geralmente disponível. O Suporte Base da ATA terminou em 12 de janeiro de 2021. O suporte estendido continuará até janeiro de 2026. Para mais informações, leia o nosso blog.
Como funciona o ATA
O ATA aproveita um mecanismo de análise de rede proprietário para capturar e analisar o tráfego de rede de vários protocolos (como Kerberos, DNS, RPC, NTLM e outros) para autenticação, autorização e coleta de informações. Estas informações são recolhidas pela ATA através de:
- Espelhamento de porta de controladores de domínio e servidores DNS para o gateway ATA e/ou
- Implantando um ATA Lightweight Gateway (LGW) diretamente em controladores de domínio
O ATA obtém informações de várias fontes de dados, como logs e eventos em sua rede, para aprender o comportamento de usuários e outras entidades na organização e cria um perfil comportamental sobre eles. O ATA pode receber eventos e logs de:
- Integração SIEM
- Encaminhamento de eventos do Windows (WEF)
- Diretamente do Coletor de Eventos do Windows (para o Lightweight Gateway)
Para obter mais informações sobre a arquitetura ATA, consulte Arquitetura ATA.
O que faz a ATA?
A tecnologia ATA deteta várias atividades suspeitas, concentrando-se em várias fases da cadeia de destruição de ciberataques, incluindo:
- Reconhecimento, durante o qual os atacantes reúnem informações sobre como o ambiente é construído, quais são os diferentes ativos e quais entidades existem. Normalmente, é aqui que os atacantes constroem planos para as suas próximas fases de ataque.
- Ciclo de movimento lateral, durante o qual um atacante investe tempo e esforço na disseminação da sua superfície de ataque dentro da sua rede.
- Dominância de domínio (persistência), durante a qual um invasor captura as informações que lhe permitem retomar sua campanha usando vários conjuntos de pontos de entrada, credenciais e técnicas.
Estas fases de um ciberataque são semelhantes e previsíveis, independentemente do tipo de empresa que está a ser atacada ou do tipo de informação que está a ser visada. O ATA procura três tipos principais de ataques: ataques maliciosos, comportamento anormal e problemas e riscos de segurança.
Os ataques maliciosos são detetados de forma determinística, procurando a lista completa de tipos de ataque conhecidos, incluindo:
- Passe o Bilhete (PtT)
- Pass-o-Hash (PtH)
- Viaduto-o-Hash
- PAC forjado (MS14-068)
- Bilhete Dourado
- Replicações maliciosas
- Reconhecimento
- Força Bruta
- Execução remota
Para obter uma lista completa das deteções e suas descrições, consulte Quais atividades suspeitas o ATA pode detetar?.
O ATA deteta essas atividades suspeitas e exibe as informações no Console do ATA, incluindo uma visão clara de Quem, O quê, Quando e Como. Como você pode ver, ao monitorar este painel simples e fácil de usar, você é alertado de que o ATA suspeita que um ataque Pass-the-Ticket foi tentado nos computadores Cliente 1 e Cliente 2 em sua rede.
O comportamento anormal é detetado pelo ATA usando análise comportamental e aproveitando o Machine Learning para descobrir atividades questionáveis e comportamento anormal em usuários e dispositivos em sua rede, incluindo:
- Logins anômalos
- Ameaças desconhecidas
- Partilha de palavras-passe
- Movimento lateral
- Modificação de grupos sensíveis
Você pode exibir atividades suspeitas desse tipo no Painel do ATA. No exemplo a seguir, o ATA alerta quando um usuário acessa quatro computadores que normalmente não são acessados por esse usuário, o que pode ser motivo de alarme.
O ATA também deteta problemas e riscos de segurança, incluindo:
- Confiança quebrada
- Protocolos fracos
- Vulnerabilidades de protocolo conhecidas
Você pode exibir atividades suspeitas desse tipo no Painel do ATA. No exemplo a seguir, o ATA está informando que há uma relação de confiança quebrada entre um computador na rede e o domínio.
Problemas conhecidos
Se você atualizar para o ATA 1.7 e imediatamente para o ATA 1.8, sem primeiro atualizar os gateways do ATA, não poderá migrar para o ATA 1.8. É necessário primeiro atualizar todos os Gateways para a versão 1.7.1 ou 1.7.2 antes de atualizar o Centro do ATA para a versão 1.8.
Se você selecionar a opção para executar uma migração completa, isso pode levar muito tempo, dependendo do tamanho do banco de dados. Ao selecionar as opções de migração, o tempo estimado é exibido - anote isso antes de decidir qual opção selecionar.
O que se segue?
Para obter mais informações sobre como o ATA se encaixa em sua rede: Arquitetura ATA
Para começar a implantar o ATA: Instalar o ATA