Megosztás a következőn keresztül:

Mi az az Advanced Threat Analytics?

  • Cikk

A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió

Az Advanced Threat Analytics (ATA) egy helyszíni platform, amely segít megvédeni vállalatát a speciális célzott kibertámadások és belső fenyegetések különböző típusaitól.

Megjegyzés:

Támogatási életciklus

Az ATA végleges kiadása általánosan elérhető. Az ATA alapvető támogatása 2021. január 12-én megszűnt. A kiterjesztett támogatás 2026 januárjáig folytatódik. További információért olvassa el blogunkat.

Az ATA működése

Az ATA egy saját hálózatelemző motort használ több protokoll (például Kerberos, DNS, RPC, NTLM stb.) hálózati forgalmának rögzítésére és elemzésére hitelesítés, engedélyezés és információgyűjtés céljából. Ezeket az adatokat az ATA a következő módon gyűjti:

  • Porttükrözés tartományvezérlőkről és DNS-kiszolgálókról az ATA-átjáróra és/vagy
  • Egyszerűsített ATA-átjáró (LGW) üzembe helyezése közvetlenül a tartományvezérlőkön

Az ATA több adatforrásból, például a hálózat naplóiból és eseményeiből származó információkat vesz fel, hogy megismerje a szervezet felhasználóinak és más entitásainak viselkedését, és létrehoz egy viselkedési profilt róluk. Az ATA a következő helyről fogadhat eseményeket és naplókat:

  • SIEM-integráció
  • Windows-eseménytovábbítás (WEF)
  • Közvetlenül a Windows Eseménygyűjtőből (egyszerűsített átjáró esetén)

Az ATA architektúrájával kapcsolatos további információkért lásd: Az ATA architektúrája.

Mit tesz az ATA?

Az ATA-technológia több gyanús tevékenységet észlel, amelyek a kibertámadások leölési láncának több fázisára összpontosítanak, többek között a következőkre:

  • Felderítés, amely során a támadók információkat gyűjtenek a környezet felépítéséről, a különböző objektumokról és az entitásokról. A támadók általában itt építenek terveket a támadás következő fázisaihoz.
  • Oldalirányú mozgási ciklus, amely során a támadó időt és energiát fektet a támadási felület hálózatán belüli terjesztésébe.
  • Tartományi dominancia (állandóság), amely során a támadó rögzíti azokat az információkat, amelyek lehetővé teszik a kampány folytatását különböző belépési pontok, hitelesítő adatok és technikák használatával.

A kibertámadások ezen fázisai hasonlóak és kiszámíthatóak, függetlenül attól, hogy milyen típusú vállalatot támadnak meg, vagy milyen típusú információt céloznak meg. Az ATA három fő támadástípust keres: rosszindulatú támadásokat, rendellenes viselkedést, valamint biztonsági problémákat és kockázatokat.

A rosszindulatú támadások determinisztikus észlelése az ismert támadástípusok teljes listájának keresésével, beleértve a következőket:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Hamis PAC (MS14-068)
  • Arany jegy
  • Rosszindulatú replikációk
  • Felderítés
  • Nyers erő
  • Távoli végrehajtás

Az észlelések teljes listáját és leírását a Milyen gyanús tevékenységeket képes észlelni az ATA? című témakörben találja.

Az ATA észleli ezeket a gyanús tevékenységeket, és felfedi az információkat az ATA-konzolon, beleértve a Ki, a Mit, a Mikor és a Hogyan nézetet. Amint látható, ennek az egyszerű, felhasználóbarát irányítópultnak a figyelésével a rendszer figyelmezteti, hogy az ATA azt gyanítja, hogy pass-the-ticket típusú támadást kíséreltek meg a hálózat 1. és 2. ügyfél számítógépein.

A minta ATA képernyő pass-the-ticket.

Az ATA viselkedéselemzéssel és a Machine Learning használatával észleli a rendellenes viselkedést a hálózat felhasználóinak és eszközeinek megkérdőjelezhető tevékenységeinek és rendellenes viselkedésének feltárásához, beleértve a következőket:

  • Rendellenes bejelentkezések
  • Ismeretlen fenyegetések
  • Jelszómegosztás
  • Oldalirányú mozgás
  • Bizalmas csoportok módosítása

Az ilyen típusú gyanús tevékenységeket az ATA irányítópultján tekintheti meg. Az alábbi példában az ATA riasztást küld, ha egy felhasználó négy számítógéphez fér hozzá, amelyekhez általában nem fér hozzá ez a felhasználó, ami riasztást okozhat.

A minta ATA képernyő rendellenes viselkedése.

Az ATA biztonsági problémákat és kockázatokat is észlel, beleértve a következőket:

  • Megszakadt megbízhatóság
  • Gyenge protokollok
  • Ismert protokollok biztonsági rései

Az ilyen típusú gyanús tevékenységeket az ATA irányítópultján tekintheti meg. Az alábbi példában az ATA arról tájékoztatja, hogy megszakadt a megbízhatósági kapcsolat a hálózat és a tartomány egyik számítógépe között.

A minta ATA-képernyő – megszakadt a megbízhatósági kapcsolat.

Ismert problémák

  • Ha az ATA 1.7-ről azonnal az ATA 1.8-ra frissít, az ATA-átjárók előzetes frissítése nélkül nem migrálhat az ATA 1.8-ra. Az ATA-központ 1.8-ra való frissítése előtt először frissíteni kell az összes átjárót az 1.7.1-es vagy 1.7.2-es verzióra.

  • Ha a teljes migrálást választja, az adatbázis méretétől függően nagyon hosszú időt vehet igénybe. A migrálási beállítások kiválasztásakor megjelenik a becsült idő – ezt jegyezze fel, mielőtt eldöntené, hogy melyiket válassza.

A következő lépés

Lásd még