Sdílet prostřednictvím

Co je Advanced Threat Analytics?

  • Článek

Platí pro: Advanced Threat Analytics verze 1.9

Advanced Threat Analytics (ATA) je místní platforma, která pomáhá chránit váš podnik před několika typy pokročilých cílených kybernetických útoků a vnitřních hrozeb.

Poznámka

Životní cyklus podpory

Konečná verze ATA je obecně dostupná. Hlavní fáze technické podpory ATA skončila 12. ledna 2021. Rozšířená podpora bude pokračovat až do ledna 2026. Další informace najdete v našem blogu.

Jak ATA funguje

ATA využívá proprietární modul pro analýzu sítě k zachytávání a parsování síťového provozu více protokolů (například Kerberos, DNS, RPC, NTLM a dalších) pro ověřování, autorizaci a shromažďování informací. ATA tyto informace shromažďuje prostřednictvím:

  • Zrcadlení portů z řadičů domény a serverů DNS do ATA Gateway a/nebo
  • Nasazení ATA Lightweight Gateway (LGW) přímo na řadiče domény

ATA přebírá informace z několika zdrojů dat, jako jsou protokoly a události ve vaší síti, za účelem zjištění chování uživatelů a dalších entit v organizaci a vytváří o nich profil chování. ATA může přijímat události a protokoly z:

  • Integrace SIEM
  • Předávání událostí Windows (WEF)
  • Přímo z kolektoru událostí Windows (pro zjednodušenou bránu)

Další informace o architektuře ATA najdete v tématu Architektura ATA.

Co ATA dělá?

Technologie ATA detekuje několik podezřelých aktivit a zaměřuje se na několik fází řetězce útoků kyberútoků, mezi které patří:

  • Rekognoskace, během které útočníci shromažďují informace o tom, jak je prostředí sestavené, jaké jsou různé prostředky a jaké entity existují. Obvykle se jedná o místo, kde útočníci vytvářejí plány pro další fáze útoku.
  • Laterální pohybový cyklus, během kterého útočník investuje čas a úsilí do rozšíření prostoru pro útok uvnitř vaší sítě.
  • Doménová dominance (trvalost), během které útočník zachytí informace, které mu umožní pokračovat v kampani pomocí různých sad vstupních bodů, přihlašovacích údajů a technik.

Tyto fáze kybernetického útoku jsou podobné a předvídatelné bez ohledu na to, jaký typ společnosti je terčem útoku nebo jaký typ informací je cílem. ATA hledá tři hlavní typy útoků: škodlivé útoky, neobvyklé chování a bezpečnostní problémy a rizika.

Škodlivé útoky se detekují deterministicky, a to vyhledáním úplného seznamu známých typů útoků, mezi které patří:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Zkameněný PAC (MS14-068)
  • Zlatý lístek
  • Škodlivé replikace
  • Průzkum
  • Hrubá síla
  • Vzdálené spuštění

Úplný seznam detekcí a jejich popis najdete v tématu Jaké podezřelé aktivity může ATA detekovat?.

ATA zjistí tyto podezřelé aktivity a zobrazí informace v konzole ATA, včetně jasného zobrazení kdo, co, kdy a jak. Jak vidíte, monitorováním tohoto jednoduchého a uživatelsky přívětivého řídicího panelu se zobrazí upozornění, že ATA má podezření na pokus o útok Pass-the-Ticket na počítače klienta 1 a Klienta 2 ve vaší síti.

ukázková obrazovka ATA pass-the-ticket

ATA detekuje neobvyklé chování pomocí analýzy chování a strojového učení k odhalení pochybných aktivit a neobvyklého chování uživatelů a zařízení ve vaší síti, včetně:

  • Neobvyklá přihlášení
  • Neznámé hrozby
  • Sdílení hesel
  • Laterální pohyb
  • Úprava citlivých skupin

Podezřelé aktivity tohoto typu můžete zobrazit na řídicím panelu ATA. V následujícím příkladu vás ATA upozorní, když uživatel přistupuje ke čtyřem počítačům, ke kterým tento uživatel běžně nepřistupuje, což může být příčinou poplachu.

ukázka neobvyklého chování obrazovky ATA.

ATA také detekuje problémy se zabezpečením a rizika, včetně následujících:

  • Porušená důvěryhodnost
  • Slabé protokoly
  • Známé chyby zabezpečení protokolu

Podezřelé aktivity tohoto typu můžete zobrazit na řídicím panelu ATA. V následujícím příkladu vás ATA informuje, že mezi počítačem v síti a doménou došlo k porušení vztahu důvěryhodnosti.

ukázka porušeného vztahu důvěryhodnosti obrazovky ATA

Známé problémy

  • Pokud provedete aktualizaci na ATA 1.7 a okamžitě na ATA 1.8, bez první aktualizace ATA Gateway nebudete moct na ATA 1.8 migrovat. Před aktualizací ATA Center na verzi 1.8 je nutné nejprve aktualizovat všechny brány na verzi 1.7.1 nebo 1.7.2.

  • Pokud vyberete možnost provést úplnou migraci, může v závislosti na velikosti databáze trvat velmi dlouho. Když vybíráte možnosti migrace, zobrazí se odhadovaný čas – než se rozhodnete, kterou možnost vyberete, poznamenejte si to.

Co dál?

Viz také