Was ist Advanced Threat Analytics?
Gilt für: Advanced Threat Analytics Version 1.9
Advanced Threat Analytics (ATA) ist eine lokale Plattform, die Ihr Unternehmen vor mehreren Arten erweiterter gezielter Cyberangriffe und Insiderbedrohungen schützt.
Hinweis
Supportlebenszyklus
Die endgültige Version von ATA ist allgemein verfügbar. Der allgemeine ATA-Support endete am 12. Januar 2021. Der erweiterte Support wird bis Januar 2026 fortgesetzt. Weitere Informationen finden Sie in unserem Blog.
Funktionsweise von ATA
ATA nutzt eine proprietäre Netzwerkanalyse-Engine, um den Netzwerkdatenverkehr mehrerer Protokolle (z. B. Kerberos, DNS, RPC, NTLM usw.) für Authentifizierung, Autorisierung und Informationssammlung zu erfassen und zu analysieren. Diese Informationen werden von ATA gesammelt über:
- Portspiegelung von Domänencontrollern und DNS-Servern zum ATA-Gateway und/oder
- Bereitstellen eines ATA Lightweight Gateways (LGW) direkt auf Domänencontrollern
ATA verwendet Informationen aus mehreren Datenquellen, z. B. Protokollen und Ereignissen in Ihrem Netzwerk, um das Verhalten von Benutzern und anderen Entitäten im organization zu lernen, und erstellt ein Verhaltensprofil für diese. ATA kann Ereignisse und Protokolle empfangen von:
- SIEM-Integration
- Windows Event Forwarding (WEF)
- Direkt aus dem Windows-Ereignissammler (für das Lightweight-Gateway)
Weitere Informationen zur ATA-Architektur finden Sie unter ATA-Architektur.
Was macht ATA?
Die ATA-Technologie erkennt mehrere verdächtige Aktivitäten und konzentriert sich auf mehrere Phasen der Kill Chain für Cyberangriffe, einschließlich:
- Reconnaissance, bei der Angreifer Informationen darüber sammeln, wie die Umgebung erstellt wird, was die verschiedenen Ressourcen sind und welche Entitäten vorhanden sind. In der Regel erstellen Angreifer hier Pläne für ihre nächsten Angriffsphasen.
- Lateral Movement-Zyklus, in dem ein Angreifer Zeit und Mühe investiert, um seine Angriffsfläche innerhalb Ihres Netzwerks zu verbreiten.
- Domänendominanz (Persistenz), bei der ein Angreifer die Informationen erfasst, die es ihnen ermöglichen, seine Kampagne mithilfe verschiedener Sätze von Einstiegspunkten, Anmeldeinformationen und Techniken fortzusetzen.
Diese Phasen eines Cyberangriffs sind ähnlich und vorhersehbar, unabhängig davon, welche Art von Unternehmen angegriffen wird oder welche Art von Informationen verwendet werden. ATA sucht nach drei Standard Arten von Angriffen: Böswillige Angriffe, ungewöhnliches Verhalten sowie Sicherheitsprobleme und -risiken.
Böswillige Angriffe werden deterministisch erkannt, indem nach der vollständigen Liste der bekannten Angriffstypen gesucht wird, einschließlich:
- Pass-the-Ticket (PtT)
- Pass-the-Hash (PtH)
- Overpass-the-Hash
- Gefälschtes PAC (MS14-068)
- Goldenes Ticket
- Böswillige Replikationen
- Reconnaissance
- Brute Force
- Remoteausführung
Eine vollständige Liste der Erkennungen und ihrer Beschreibungen finden Sie unter Welche verdächtigen Aktivitäten kann ATA erkennen?.
ATA erkennt diese verdächtigen Aktivitäten und zeigt die Informationen in der ATA-Konsole an, einschließlich einer klaren Ansicht von Wer, Was, Wann und Wie. Wie Sie sehen können, werden Sie durch die Überwachung dieser einfachen, benutzerfreundlichen Dashboard gewarnt, dass ATA vermutet, dass ein Pass-the-Ticket-Angriff auf Client 1- und Client 2-Computern in Ihrem Netzwerk versucht wurde.
Anormales Verhalten wird von ATA mithilfe von Verhaltensanalysen und der Nutzung von Machine Learning erkannt, um fragwürdige Aktivitäten und ungewöhnliches Verhalten bei Benutzern und Geräten in Ihrem Netzwerk aufzudecken, einschließlich:
- Anomale Anmeldungen
- Unbekannte Bedrohungen
- Kennwortfreigabe
- Laterale Bewegung
- Änderung vertraulicher Gruppen
Sie können verdächtige Aktivitäten dieses Typs im ATA-Dashboard anzeigen. Im folgenden Beispiel werden Sie von ATA benachrichtigt, wenn ein Benutzer auf vier Computer zugreift, auf die dieser Benutzer normalerweise nicht zugreift. Dies könnte ein Alarm auslösen.
ATA erkennt auch Sicherheitsprobleme und -risiken, einschließlich:
- Fehlerhaftes Vertrauen
- Schwache Protokolle
- Bekannte Protokollsicherheitsrisiken
Sie können verdächtige Aktivitäten dieses Typs im ATA-Dashboard anzeigen. Im folgenden Beispiel informiert ATA Sie darüber, dass eine fehlerhafte Vertrauensstellung zwischen einem Computer in Ihrem Netzwerk und der Domäne besteht.
Bekannte Probleme
Wenn Sie ein Update auf ATA 1.7 und sofort auf ATA 1.8 durchführen, ohne zuvor die ATA-Gateways zu aktualisieren, können Sie nicht zu ATA 1.8 migrieren. Es ist erforderlich, zuerst alle Gateways auf Version 1.7.1 oder 1.7.2 zu aktualisieren, bevor Sie ATA Center auf Version 1.8 aktualisieren.
Wenn Sie die Option zum Durchführen einer vollständigen Migration auswählen, kann dies je nach Datenbankgröße sehr lange dauern. Wenn Sie Ihre Migrationsoptionen auswählen, wird die geschätzte Zeit angezeigt. Notieren Sie sich dies, bevor Sie entscheiden, welche Option Sie auswählen möchten.
Nächste Schritte
Weitere Informationen dazu, wie ATA in Ihr Netzwerk passt: ATA-Architektur
So beginnen Sie mit der Bereitstellung von ATA: Installieren von ATA