Aracılığıyla paylaş

Advanced Threat Analytics nedir?

  • Makale

Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9

Advanced Threat Analytics (ATA), kuruluşunuzun birden fazla türdeki gelişmiş hedefli siber saldırılara ve içeriden gelen tehditlere karşı korunmasına yardımcı olan bir şirket içi platformdur.

Not

Destek yaşam döngüsü

ATA'nın son sürümü genel kullanıma sunulmuştur. ATA Temel Desteği 12 Ocak 2021'de sona erdi. Genişletilmiş Destek Ocak 2026'ya kadar devam edecektir. Daha fazla bilgi için blogumuzu okuyun.

ATA nasıl çalışır?

ATA, kimlik doğrulaması, yetkilendirme ve bilgi toplama için birden çok protokolün (Kerberos, DNS, RPC, NTLM ve diğerleri gibi) ağ trafiğini yakalamak ve ayrıştırmak için özel bir ağ ayrıştırma altyapısından yararlanmaktadır. Bu bilgiler ATA tarafından aşağıdakiler aracılığıyla toplanır:

  • Etki Alanı Denetleyicileri ve DNS sunucularından ATA Gateway'e bağlantı noktası yansıtma ve/veya
  • ATA Lightweight Gateway'i (LGW) doğrudan Etki Alanı Denetleyicilerine dağıtma

ATA, kuruluştaki kullanıcıların ve diğer varlıkların davranışını öğrenmek için ağınızdaki günlükler ve olaylar gibi birden çok veri kaynağından bilgi alır ve bunlar hakkında bir davranış profili oluşturur. ATA şu kaynaklardan olayları ve günlükleri alabilir:

  • SIEM Tümleştirmesi
  • Windows Olay İletme (WEF)
  • Doğrudan Windows Olay Toplayıcısı'ndan (Lightweight Gateway için)

ATA mimarisi hakkında daha fazla bilgi için bkz. ATA Mimarisi.

ATA ne yapar?

ATA teknolojisi, siber saldırı sonlandırma zincirinin çeşitli aşamalarına odaklanan birden çok şüpheli etkinliği algılar:

  • Saldırganların ortamın nasıl oluşturulduğu, farklı varlıkların ne olduğu ve hangi varlıkların mevcut olduğu hakkında bilgi topladığı keşif. Genellikle, saldırganlar bir sonraki saldırı aşamaları için planlar oluşturur.
  • Bir saldırganın saldırı yüzeyini ağınıza yaymak için zaman ve çaba harcaması sırasında yanal hareket döngüsü.
  • Etki alanı hakimiyeti (kalıcılık), saldırgan çeşitli giriş noktaları, kimlik bilgileri ve teknik kümelerini kullanarak kampanyalarını sürdürmesine olanak tanıyan bilgileri yakalar.

Bir siber saldırının bu aşamaları, ne tür bir şirket saldırı altında olursa olsun veya ne tür bilgilerin hedeflendiğine bakılmaksızın benzer ve tahmin edilebilirdir. ATA üç ana saldırı türünü arar: Kötü amaçlı saldırılar, anormal davranışlar ve güvenlik sorunları ve riskleri.

Kötü amaçlı saldırılar , aşağıdakiler gibi bilinen saldırı türlerinin tam listesi aranarak belirlenerek algılanır:

  • Pass-the-Ticket (PtT)
  • Karma Geçişi (PtH)
  • KarmaYı Aş
  • Sahte PAC (MS14-068)
  • Altın Bilet
  • Kötü amaçlı çoğaltmalar
  • Keşif
  • Deneme Yanılma
  • Uzaktan yürütme

Algılamaların ve açıklamalarının tam listesi için bkz. ATA Hangi Şüpheli Etkinlikleri Algılayabilir?.

ATA, bu şüpheli etkinlikleri algılar ve bilgileri, Kim, Ne, Ne Zaman ve Nasıl'ın net bir görünümü de dahil olmak üzere ATA Konsolu'nda gösterir. Gördüğünüz gibi, bu basit, kullanıcı dostu panoyu izleyerek, ATA'nın ağınızdaki İstemci 1 ve İstemci 2 bilgisayarlarına Bilet Geçişi saldırısı girişiminde bulunu olduğundan şüphelendiği konusunda uyarılırsınız.

örnek ATA ekranı geçiş bileti.

ATA tarafından davranış analizi kullanılarak anormal davranış algılanır ve Machine Learning'i kullanarak ağınızdaki kullanıcılar ve cihazlardaki şüpheli etkinlikleri ve anormal davranışları ortaya çıkarır, örneğin:

  • Anormal oturum açma işlemleri
  • Bilinmeyen tehditler
  • Parola paylaşımı
  • Yanal hareket
  • Hassas grupların değiştirilmesi

BU türdeki şüpheli etkinlikleri ATA Panosu'nda görüntüleyebilirsiniz. Aşağıdaki örnekte ATA, bir kullanıcı normalde bu kullanıcı tarafından erişilmeyen dört bilgisayara eriştiğinde sizi uyarır ve bu da alarma neden olabilir.

örnek ATA ekranı anormal davranışı.

ATA aşağıdakiler dahil olmak üzere güvenlik sorunlarını ve risklerini de algılar:

  • Bozuk güven
  • Zayıf protokoller
  • Bilinen protokol güvenlik açıkları

BU türdeki şüpheli etkinlikleri ATA Panosu'nda görüntüleyebilirsiniz. Aşağıdaki örnekte ATA, ağınızdaki bir bilgisayar ile etki alanı arasında bozuk bir güven ilişkisi olduğunu size bildirir.

örnek ATA ekranı güveni kırdı.

Bilinen sorunlar

  • ÖNCE ATA Gateway'leri güncelleştirmeden ATA 1.7'ye ve hemen ATA 1.8'e güncelleştirirseniz, ATA 1.8'e geçiş yapamazsınız. ATA Center'ı sürüm 1.8'e güncelleştirmeden önce tüm Ağ Geçitlerini 1.7.1 veya 1.7.2 sürümüne güncelleştirmek gerekir.

  • Tam geçiş gerçekleştirme seçeneğini seçerseniz, veritabanı boyutuna bağlı olarak bu işlem çok uzun sürebilir. Geçiş seçeneklerinizi belirlediğinizde tahmini süre görüntülenir; hangi seçeneği belirleyebileceğinize karar vermeden önce bunu not edin.

Sırada ne var?

  • ATA'nın ağınıza nasıl uyduğu hakkında daha fazla bilgi için: ATA mimarisi

  • ATA'yi dağıtmaya başlamak için: ATA'yi yükleme

Ayrıca bkz.