什么是高级威胁分析?
适用于:高级威胁分析版本 1.9
高级威胁分析 (ATA) 是一个本地平台,可帮助保护企业免受多种高级目标网络攻击和内部威胁的影响。
ATA 工作原理
ATA 可以利用专有的网络引擎捕获和分析身份验证、授权和信息收集协议(例如 Kerberos、DNS、RPC、NTLM 和其他协议)的网络流量。 ATA 通过以下方式收集此信息:
- 从域控制器和 DNS 服务器到 ATA 网关和/或的端口镜像
- 直接在域控制器上部署 ATA 轻型网关 (LGW)
ATA 从多个数据源(例如网络中的日志和事件)获取信息,以了解组织中的用户和其他实体的行为,并生成有关它们的行为配置文件。 ATA 可以通过以下方式接收事件和日志:
- SIEM 集成
- Windows 事件转发 (WEF)
- 直接从 Windows 事件收集器(适用于轻型网关)
有关 ATA 体系结构的详细信息,请参阅 ATA 体系结构。
ATA 的作用是什么?
ATA 技术可以检测到多种可疑活动,专注于网络攻击杀伤链的多个阶段,包括:
- 侦查,在此期间,攻击者收集有关环境构建方式、不同资产以及存在实体的信息。 通常,这是攻击者为其下一阶段攻击构建计划的地方。
- 横向移动周期,在此期间,攻击者投入时间和精力在网络中散播攻击面。
- 域控制(暂留),在此期间,攻击者捕获信息,使其能够使用各种入口点、凭证和技术来恢复其市场活动。
网络攻击的这些阶段相似且可预测,无论是哪种类型的公司受到攻击或哪种类型的信息受到针对。 ATA 搜索三种主要类型的攻击:恶意攻击、异常行为以及安全问题和风险。
通过查找已知攻击的完整列表检测到的恶意攻击,包括:
- 票据传递 (PtT)
- 哈希传递 (PtH)
- 跨越哈希
- 伪造 PAC (MS14-068)
- 黄金票据
- 恶意复制
- 侦测
- 暴力破解
- 远程执行
有关检测及其描述的完整列表,请参阅 ATA 可以检测到哪些可疑活动?。
ATA 会检测这些可疑活动,并在 ATA 控制台中显示信息,包括对象、内容、时间和方式的清晰视图。 正如所看到的,通过监视这种简单、用户友好的仪表板,系统会提醒你 ATA 怀疑在网络中客户端 1 和客户端 2 计算机上出现了 Pass-the-Ticket 攻击尝试。
ATA 使用行为分析检测异常行为,并利用机器学习发现网络中用户和设备中可疑的活动和异常行为,包括:
- 异常登录
- 未知威胁
- 密码共享
- 横向移动
- 敏感组的修改
可以在 ATA 仪表板中查看此类型的可疑活动。 在下面的示例中,ATA 会在用户访问此用户通常无法访问的四台计算机时发出警告,这可能是警报的原因。
ATA 还会检测安全问题和风险,包括:
- 信任崩塌
- 弱协议
- 已知协议漏洞
可以在 ATA 仪表板中查看此类型的可疑活动。 在以下示例中,ATA 告知网络中的计算机与域中存在断开的信任关系。
已知问题
如果更新到 ATA 1.7 并立即更新到 ATA 1.8,未先更新 ATA 网关,则无法迁移到 ATA 1.8。 在将 ATA 中心更新到版本 1.8 之前,必须先将所有网关更新到版本 1.7.1 或 1.7.2。
如果选择执行完整迁移的选项,则可能需要很长时间,具体取决于数据库大小。 选择迁移选项时,将显示估计的时间 – 在确定要选择的选项之前,请记下这一点。