Vad är Advanced Threat Analytics?
Gäller för: Advanced Threat Analytics version 1.9
Advanced Threat Analytics (ATA) är en lokal plattform som hjälper dig att skydda ditt företag mot flera typer av avancerade riktade cyberattacker och insiderhot.
Anteckning
Supportlivscykel
Den slutliga versionen av ATA är allmänt tillgänglig. ATA Mainstream Support upphörde den 12 januari 2021. Utökad support fortsätter till januari 2026. Mer information finns i vår blogg.
ATA använder en egenutvecklad nätverksparsningsmotor för att samla in och parsa nätverkstrafik för flera protokoll (till exempel Kerberos, DNS, RPC, NTLM och andra) för autentisering, auktorisering och informationsinsamling. Den här informationen samlas in av ATA via:
- Portspegling från domänkontrollanter och DNS-servrar till ATA Gateway och/eller
- Distribuera en ATA Lightweight Gateway (LGW) direkt på domänkontrollanter
ATA tar information från flera datakällor, till exempel loggar och händelser i nätverket, för att lära sig beteendet hos användare och andra entiteter i organisationen och skapar en beteendeprofil om dem. ATA kan ta emot händelser och loggar från:
- SIEM-integrering
- Vidarebefordran av Windows-händelser (WEF)
- Direkt från Windows Event Collector (för Lightweight Gateway)
Mer information om ATA-arkitektur finns i ATA-arkitektur.
ATA-teknik identifierar flera misstänkta aktiviteter, med fokus på flera faser i cyberattackkedjan, inklusive:
- Rekognosering, under vilken angripare samlar in information om hur miljön skapas, vilka olika tillgångar som finns och vilka entiteter som finns. Vanligtvis är det här som angripare skapar planer för sina nästa faser av attacken.
- Lateral förflyttningscykel, under vilken en angripare investerar tid och arbete med att sprida sin attackyta i nätverket.
- Domändominans (persistens), under vilken en angripare samlar in den information som gör att de kan återuppta sin kampanj med hjälp av olika uppsättningar startpunkter, autentiseringsuppgifter och tekniker.
Dessa faser av en cyberattack är liknande och förutsägbara, oavsett vilken typ av företag som attackeras eller vilken typ av information som riktas. ATA söker efter tre huvudtyper av attacker: Skadliga attacker, onormalt beteende och säkerhetsproblem och risker.
Skadliga attacker identifieras deterministiskt genom att söka efter en fullständig lista över kända attacktyper, inklusive:
- Pass-the-Ticket (PtT)
- Pass-the-Hash (PtH)
- Overpass-the-Hash
- Förfalskat PAC (MS14-068)
- Gyllene biljett
- Skadliga replikering
- Spaning
- Råstyrkestyrka
- Fjärrkörning
En fullständig lista över identifieringarna och deras beskrivningar finns i Vad misstänkta aktiviteter kan ATA identifiera?.
ATA identifierar dessa misstänkta aktiviteter och visar informationen i ATA-konsolen, inklusive en tydlig vy över Vem, Vad, När och Hur. Som du ser får du en avisering om att ATA misstänker att ett pass-the-ticket-angrepp har försökt utföras på klient 1- och klient 2-datorer i nätverket genom att övervaka den här enkla, användarvänliga instrumentpanelen.
Onormalt beteende identifieras av ATA med hjälp av beteendeanalys och användning av Machine Learning för att upptäcka tvivelaktiga aktiviteter och onormalt beteende hos användare och enheter i nätverket, inklusive:
- Avvikande inloggningar
- Okända hot
- Lösenordsdelning
- Lateral förflyttning
- Ändring av känsliga grupper
Du kan visa misstänkta aktiviteter av den här typen på ATA-instrumentpanelen. I följande exempel varnar ATA dig när en användare kommer åt fyra datorer som normalt inte används av den här användaren, vilket kan vara en orsak till larm.
ATA identifierar även säkerhetsproblem och risker, inklusive:
- Brutet förtroende
- Svaga protokoll
- Kända protokollsårbarheter
Du kan visa misstänkta aktiviteter av den här typen på ATA-instrumentpanelen. I följande exempel meddelar ATA dig att det finns en bruten förtroenderelation mellan en dator i nätverket och domänen.
Om du uppdaterar till ATA 1.7 och omedelbart till ATA 1.8, utan att först uppdatera ATA-gatewayerna, kan du inte migrera till ATA 1.8. Du måste först uppdatera alla gatewayer till version 1.7.1 eller 1.7.2 innan du uppdaterar ATA Center till version 1.8.
Om du väljer alternativet för att utföra en fullständig migrering kan det ta mycket lång tid, beroende på databasens storlek. När du väljer dina migreringsalternativ visas den uppskattade tiden – anteckna detta innan du bestämmer vilket alternativ du vill välja.
Mer information om hur ATA passar in i nätverket: ATA-arkitektur
Så här kommer du igång med att distribuera ATA: Installera ATA