Поделиться через

Что такое Расширенная аналитика угроз?

  • Статья

Область применения: Advanced Threat Analytics версии 1.9

Advanced Threat Analytics (ATA) — это локальная платформа, которая помогает защитить ваше предприятие от различных типов сложных целевых кибератак и внутренних угроз.

Примечание.

Жизненный цикл поддержки

Окончательный выпуск ATA является общедоступным. Основная поддержка ATA завершилась 12 января 2021 г. Расширенная поддержка будет продолжаться до января 2026 г. Дополнительные сведения см. в нашем блоге.

Принцип работы ATA

ATA использует собственную подсистему синтаксического анализа сети для сбора и анализа сетевого трафика по нескольким протоколам (например, Kerberos, DNS, RPC, NTLM и другим) для проверки подлинности, авторизации и сбора информации. Эта информация собирается ATA через:

  • Зеркальное отображение портов с контроллеров домена и DNS-серверов в шлюз ATA и (или)
  • Развертывание упрощенного шлюза ATA (LGW) непосредственно на контроллерах домена

ATA получает информацию из нескольких источников данных, таких как журналы и события в сети, чтобы узнать о поведении пользователей и других сущностей в организации, и создает профиль поведения о них. ATA может получать события и журналы из:

  • Интеграция SIEM
  • Пересылка событий Windows (WEF)
  • Непосредственно из сборщика событий Windows (для упрощенного шлюза)

Дополнительные сведения об архитектуре ATA см. в разделе Архитектура ATA.

Что делает ATA?

Технология ATA обнаруживает несколько подозрительных действий, фокусируясь на нескольких этапах цепочки кибератаки, включая:

  • Рекогносцировка, в ходе которой злоумышленники собирают сведения о том, как создается среда, что такое различные ресурсы и какие сущности существуют. Как правило, здесь злоумышленники создают планы для следующих этапов атаки.
  • Цикл бокового смещения, в ходе которого злоумышленник вкладывает время и усилия в распространение своей области атаки внутри вашей сети.
  • Доминирование домена (сохраняемость), во время которого злоумышленник захватывает информацию, которая позволяет ему возобновить свою кампанию с помощью различных наборов точек входа, учетных данных и методов.

Эти этапы кибератаки похожи и предсказуемы, независимо от того, какой тип компании подвергается атаке или какой тип информации является мишенью. ATA ищет три main типа атак: вредоносные атаки, аномальное поведение, проблемы и риски безопасности.

Вредоносные атаки определяются детерминированным путем поиска полного списка известных типов атак, включая:

  • Pass-the-Ticket (PtT)
  • Передача хэша (PtH)
  • Overpass-the-Hash
  • Кованый PAC (MS14-068)
  • Золотой билет
  • Вредоносные репликации
  • Рекогносцировка
  • Метод подбора
  • Удаленное выполнение

Полный список обнаружений и их описания см. в разделе Что могут обнаружить подозрительные действия ATA?.

ATA обнаруживает эти подозрительные действия и отображает информацию в консоли ATA, включая четкое представление о том, кто, что, когда и как. Как видите, отслеживая эту простую и удобную панель мониторинга, вы оповестите, что ATA подозревает, что атака pass-the-Ticket была предпринята на компьютерах с клиентом 1 и клиентом 2 в вашей сети.

пример экрана ATA pass-the-ticket.

Аномальное поведение обнаруживается ATA с помощью анализа поведения и использования Машинного обучения для выявления сомнительных действий и аномального поведения пользователей и устройств в вашей сети, в том числе:

  • Аномальные имена входа
  • Неизвестные угрозы
  • Общий доступ к паролям
  • Боковое смещение
  • Изменение конфиденциальных групп

Подозрительные действия этого типа можно просмотреть на панели мониторинга ATA. В следующем примере ATA оповещает, когда пользователь получает доступ к четырем компьютерам, к которым этот пользователь обычно не обращается, что может быть причиной тревоги.

пример аномального поведения экрана ATA.

ATA также обнаруживает проблемы безопасности и риски, в том числе:

  • Нарушенное доверие
  • Слабые протоколы
  • Известные уязвимости протокола

Подозрительные действия этого типа можно просмотреть на панели мониторинга ATA. В следующем примере ATA сообщает о том, что между компьютером в сети и доменом нарушено отношение доверия.

образец экрана ATA с нарушенным доверием.

Известные проблемы

  • При обновлении до ATA 1.7 и немедленно до ATA 1.8 без предварительного обновления шлюзов ATA вы не сможете перейти на ATA 1.8. Перед обновлением Центра ATA до версии 1.8 необходимо сначала обновить все шлюзы до версии 1.7.1 или 1.7.2.

  • Если выбрать вариант для выполнения полной миграции, это может занять очень много времени в зависимости от размера базы данных. При выборе параметров миграции отображается предполагаемое время. Запишите это, прежде чем выбрать вариант.

Что дальше?

См. также