Del via

Hvad er Advanced Threat Analytics?

  • Artikel

Gælder for: Advanced Threat Analytics version 1.9

ATA (Advanced Threat Analytics) er en platform i det lokale miljø, der hjælper med at beskytte din virksomhed mod flere typer avancerede målrettede cyberangreb og insidertrusler.

Bemærk!

Supportlivscyklus

Den endelige version af ATA er offentlig tilgængelig. Generel support til ATA ophører den 12. januar 2021. Udvidet support fortsætter indtil januar 2026. Du kan få flere oplysninger på vores blog.

Sådan fungerer ATA

ATA udnytter et beskyttet netværksparsingprogram til at registrere og fortolke netværkstrafik af flere protokoller (f.eks. Kerberos, DNS, RPC, NTLM og andre) til godkendelse, autorisation og indsamling af oplysninger. Disse oplysninger indsamles af ATA via:

  • Portspejling fra domænecontrollere og DNS-servere til ATA Gateway og/eller
  • Udrulning af en ATA Lightweight Gateway (LGW) direkte på domænecontrollere

ATA henter oplysninger fra flere datakilder, f.eks. logge og hændelser i dit netværk, for at få mere at vide om funktionsmåden for brugere og andre enheder i organisationen og opretter en adfærdsprofil om dem. ATA kan modtage hændelser og logge fra:

  • SIEM-integration
  • Windows-hændelses videresendelse (WEF)
  • Direkte fra Windows Event Collector (til letvægtsgatewayen)

Du kan få flere oplysninger om ATA-arkitektur under ATA-arkitektur.

Hvad gør ATA?

ATA-teknologien registrerer flere mistænkelige aktiviteter med fokus på flere faser af kæden for drab på cyberangreb, herunder:

  • Reconnaissance, hvor hackere indsamler oplysninger om, hvordan miljøet er bygget, hvad de forskellige aktiver er, og hvilke enheder der findes. Det er typisk her, angribere opretter planer for deres næste angrebsfaser.
  • Tværgående bevægelsescyklus, hvor en hacker investerer tid og kræfter i at sprede deres angrebsoverflade på dit netværk.
  • Domæneminans (vedholdenhed), hvor en hacker henter de oplysninger, der giver dem mulighed for at genoptage deres kampagne ved hjælp af forskellige sæt indgangspunkter, legitimationsoplysninger og teknikker.

Disse faser i et cyberangreb er ens og forudsigelige, uanset hvilken type virksomhed der angribes, eller hvilken type oplysninger der målrettes mod. ATA søger efter tre primære typer angreb: Ondsindede angreb, unormal adfærd og sikkerhedsproblemer og risici.

Ondsindede angreb opdages deterministisk ved at søge efter den komplette liste over kendte angrebstyper, herunder:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Forfalsket PAC (MS14-068)
  • Golden Ticket
  • Skadelige replikeringer
  • Rekognoscering
  • Brute Force
  • Fjernkørsel

Du kan finde en komplet liste over registreringerne og deres beskrivelser under Hvilke mistænkelige aktiviteter kan ATA registrere?.

ATA registrerer disse mistænkelige aktiviteter og viser oplysningerne i ATA-konsollen, herunder en klar visning af Hvem, Hvad, Hvornår og Hvordan. Som du kan se, får du ved at overvåge dette enkle, brugervenlige dashboard besked om, at ATA har mistanke om, at et Pass-the-Ticket-angreb blev forsøgt på klient 1- og klient 2-computere i dit netværk.

prøve ATA skærm pass-the-ticket.

ATA registrerer unormal adfærd ved hjælp af adfærdsanalyse og brug af Machine Learning til at afdække tvivlsomme aktiviteter og unormal adfærd hos brugere og enheder i dit netværk, herunder:

  • Uregelmæssige logons
  • Ukendte trusler
  • Deling af adgangskode
  • Tværgående bevægelse
  • Ændring af følsomme grupper

Du kan få vist mistænkelige aktiviteter af denne type i ATA-dashboardet. I følgende eksempel giver ATA dig besked, når en bruger tilgår fire computere, som brugeren normalt ikke har adgang til, hvilket kan være årsag til alarm.

eksempel på unormal funktionsmåde for ATA-skærm.

ATA registrerer også sikkerhedsproblemer og -risici, herunder:

  • Brudt tillid
  • Svage protokoller
  • Kendte sikkerhedsrisici i protokollen

Du kan få vist mistænkelige aktiviteter af denne type i ATA-dashboardet. I følgende eksempel giver ATA dig besked om, at der er et brudt tillidsforhold mellem en computer i netværket og domænet.

eksempel på brudt tillid til ATA-skærm.

Kendte problemer

  • Hvis du opdaterer til ATA 1.7 og straks til ATA 1.8 uden først at opdatere ATA Gateways, kan du ikke overføre til ATA 1.8. Det er nødvendigt først at opdatere alle gateways til version 1.7.1 eller 1.7.2, før du opdaterer ATA Center til version 1.8.

  • Hvis du vælger indstillingen for at udføre en fuld migrering, kan det tage meget lang tid, afhængigt af databasens størrelse. Når du vælger dine overførselsindstillinger, vises den anslåede tid. Notér dig dette, før du beslutter dig for, hvilken indstilling du vil vælge.

Hvad sker der derefter?

  • Du kan få flere oplysninger om, hvordan ATA passer til dit netværk: ATA-arkitektur

  • Sådan kommer du i gang med at installere ATA: Installér ATA

Se også