Vad är Advanced Threat Analytics?

  • Artikel
  • 3 minuter för att läsa

Gäller för: Advanced Threat Analytics version 1.9

Advanced Threat Analytics (ATA) är en lokal plattform som skyddar ditt företag från flera typer av avancerade riktade cyberattacker och insiderhot.

Anteckning

Supportlivscykel

Den slutliga versionen av ATA är allmänt tillgänglig. ATA Mainstream Support upphörde den 12 januari 2021. Utökad support fortsätter fram till januari 2026. Mer information finns i vår blogg.

Så här fungerar ATA

ATA utnyttjar en egenutvecklad nätverksparsningsmotor för att samla in och parsa nätverkstrafik för flera protokoll (till exempel Kerberos, DNS, RPC, NTLM med flera) för autentisering, auktorisering och informationsinsamling. Den här informationen samlas in av ATA via:

  • Portspegling från domänkontrollanter och DNS-servrar mot ATA-gatewayen och/eller
  • Distribuera en ATA Lightweight Gateway (LGW) direkt på domänkontrollanter

ATA tar information från flera datakällor, till exempel loggar och händelser i nätverket, för att lära sig beteendet för användare och andra entiteter i organisationen och skapar en beteendeprofil om dem. ATA kan ta emot händelser och loggar från:

  • SIEM-integrering
  • Vidarebefordran av Windows-händelser (WEF)
  • Direkt från Windows Event Collector (för Lightweight Gateway)

Mer information om ATA-arkitektur finns i ATA-arkitektur.

Vad gör ATA?

ATA-teknik identifierar flera misstänkta aktiviteter och fokuserar på flera faser av cyberattackkedjan, inklusive:

  • Rekognosering, under vilken angripare samlar in information om hur miljön skapas, vilka de olika tillgångarna är och vilka entiteter som finns. Det är vanligtvis här som angripare skapar planer för sina nästa faser av attacken.
  • Lateral rörelsecykel då en angripare investerar tid och möda i spridning av sin angreppsyta i nätverket.
  • Domändominans (persistens), under vilken en angripare samlar in information som gör att de kan återuppta sin kampanj med hjälp av olika uppsättningar startpunkter, autentiseringsuppgifter och tekniker.

Faserna för en cyberattack är liknande och förutsägbara, oavsett vilken typ av företag som är utsatt för en attack eller vilken typ av information som bearbetas. ATA söker efter tre huvudtyper av attacker: Skadliga attacker, onormalt beteende och säkerhetsproblem och risker.

Skadliga attacker upptäcks deterministiskt, genom att söka efter en fullständig lista över kända angreppstyper inklusive:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Förfalskade PAC (MS14-068)
  • Golden ticket
  • Skadliga replikeringarna
  • Rekognosering
  • Brute force
  • Fjärrkörning

En fullständig lista över identifieringar och deras beskrivningar finns i Vad misstänkta aktiviteter kan ATA identifiera?.

ATA identifierar dessa misstänkta aktiviteter och hämtar information i ATA-konsolen, inklusive en överblick av Vem, Vad, När och Hur. Genom att övervaka den här enkla, användarvänliga instrumentpanelen får du som du ser att ATA misstänker att ett Pass-the-Ticket-angrepp har försökt utföras på klient 1- och klient 2-datorer i nätverket.

exempel på ATA-skärm pass-the-ticket.

Onormalt beteende identifieras av ATA med beteendeanalyser och utnyttjande av Machine Learning för att visa tveksamma aktiviteter och onormalt beteende hos användare och enheter i nätverket, inklusive:

  • Avvikande inloggningar
  • Okända hot
  • Lösenordsdelning
  • Sidorörelse
  • Ändring av känsliga grupper

Du kan se misstänkta aktiviteter av den här typen på ATA-instrumentpanelen. I följande exempel varnar ATA dig när en användare ansluter till fyra datorer som normalt inte används av den här användaren, vilket kan vara en orsak till larm.

exempel på onormalt beteende på ATA-skärmen.

ATA upptäcker också säkerhetsproblem och risker, inklusive:

  • Brutet förtroende
  • Svaga protokoll
  • Kända sårbarheter i protokoll

Du kan se misstänkta aktiviteter av den här typen på ATA-instrumentpanelen. I följande exempel låter ATA dig veta att det finns en bruten förtroenderelation mellan en dator i nätverket och domänen.

exempel på ata skärm brutet förtroende.

Kända problem

  • Om du uppdaterar till ATA 1.7 och omedelbart till ATA 1.8, utan att först uppdatera ATA-gatewayerna, kan du inte migrera till ATA 1.8. Du måste uppdatera alla gatewayer till version 1.7.1 eller 1.7.2 innan du uppdaterar ATA Center till version 1.8.

  • Om du väljer att utföra en fullständig migrering kan det ta lång tid, beroende på databasens storlek. När du väljer dina migreringsalternativ visas den uppskattade tiden . Anteckna detta innan du bestämmer vilket alternativ du vill välja.

Nästa steg

Se även