Compartir a través de

¿Qué es Advanced Threat Analytics?

  • Artículo

Se aplica a: Advanced Threat Analytics versión 1.9

Advanced Threat Analytics (ATA) es una plataforma local que ayuda a proteger su empresa frente a varios tipos de ciberataques de destino avanzado y amenazas internas.

Nota:

Ciclo de vida de soporte técnico

La versión final de ATA está disponible con carácter general. ATA Mainstream Support finalizó el 12 de enero de 2021. El soporte extendido continuará hasta enero de 2026. Para obtener más información, lea nuestro blog.

Funcionamiento de ATA

ATA aprovecha un motor de análisis de red propietario para capturar y analizar el tráfico de red de varios protocolos (como Kerberos, DNS, RPC, NTLM y otros) para la autenticación, autorización y recopilación de información. Esta información la recopila ATA a través de:

  • Creación de reflejo de puertos desde controladores de dominio y servidores DNS a la puerta de enlace de ATA o
  • Implementación de una puerta de enlace ligera de ATA (LGW) directamente en controladores de dominio

ATA toma información de varios orígenes de datos, como registros y eventos de la red, para conocer el comportamiento de los usuarios y otras entidades de la organización, y crea un perfil de comportamiento sobre ellos. ATA puede recibir eventos y registros de:

  • Integración de SIEM
  • Reenvío de eventos de Windows (WEF)
  • Directamente desde el recopilador de eventos de Windows (para la puerta de enlace ligera)

Para obtener más información sobre la arquitectura de ATA, vea Arquitectura de ATA.

¿Qué hace ATA?

La tecnología ATA detecta varias actividades sospechosas, centrándose en varias fases de la cadena de eliminación de ciberataques, entre las que se incluyen:

  • Reconocimiento, durante el cual los atacantes recopilan información sobre cómo se crea el entorno, cuáles son los distintos recursos y qué entidades existen. Normalmente, aquí es donde los atacantes crean planes para sus siguientes fases de ataque.
  • Ciclo de movimiento lateral, durante el cual un atacante invierte tiempo y esfuerzo en distribuir su superficie expuesta a ataques dentro de la red.
  • Dominio dominante (persistencia), durante el cual un atacante captura la información que le permite reanudar su campaña mediante varios conjuntos de puntos de entrada, credenciales y técnicas.

Estas fases de un ciberataque son similares y predecibles, independientemente del tipo de empresa que se esté atacando o de qué tipo de información se trate. ATA busca tres tipos principales de ataques: ataques malintencionados, comportamiento anómalo y problemas y riesgos de seguridad.

Los ataques malintencionados se detectan de forma determinista, buscando la lista completa de tipos de ataque conocidos, entre los que se incluyen:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • PAC falsificado (MS14-068)
  • Golden Ticket
  • Replicación malintencionada
  • Reconocimiento
  • Fuerza bruta
  • Ejecución remota

Para obtener una lista completa de las detecciones y sus descripciones, consulte ¿Qué actividades sospechosas puede detectar ATA?.

ATA detecta estas actividades sospechosas y expone la información en la consola de ATA, incluida una vista clara de quién, qué, cuándo y cómo. Como puede ver, al supervisar este panel sencillo y fácil de usar, se le avisa de que ATA sospecha que se intentó un ataque pass-the-ticket en los equipos cliente 1 y cliente 2 de la red.

pase a la pantalla de ATA de ejemplo.

ATA detecta un comportamiento anómalo mediante el análisis de comportamiento y el uso de Machine Learning para descubrir actividades cuestionables y comportamientos anómalos en usuarios y dispositivos de la red, entre los que se incluyen:

  • Inicios de sesión anómalo
  • Amenazas desconocidas
  • Uso compartido de contraseñas
  • Movimiento lateral
  • Modificación de grupos confidenciales

Puede ver actividades sospechosas de este tipo en el panel de ATA. En el ejemplo siguiente, ATA le avisa cuando un usuario accede a cuatro equipos a los que normalmente no accede este usuario, lo que podría ser una causa de alarma.

comportamiento anómalo de la pantalla de ATA de ejemplo.

ATA también detecta problemas y riesgos de seguridad, entre los que se incluyen:

  • Confianza rota
  • Protocolos débiles
  • Vulnerabilidades de protocolo conocidas

Puede ver actividades sospechosas de este tipo en el panel de ATA. En el ejemplo siguiente, ATA le permite saber que hay una relación de confianza rota entre un equipo de la red y el dominio.

ejemplo de confianza de la pantalla de ATA rota.

Problemas conocidos

  • Si actualiza a ATA 1.7 e inmediatamente a ATA 1.8, sin actualizar primero las puertas de enlace de ATA, no podrá migrar a ATA 1.8. Es necesario actualizar primero todas las puertas de enlace a la versión 1.7.1 o 1.7.2 antes de actualizar el Centro ATA a la versión 1.8.

  • Si selecciona la opción para realizar una migración completa, puede tardar mucho tiempo, en función del tamaño de la base de datos. Al seleccionar las opciones de migración, se muestra el tiempo estimado: anote esto antes de decidir qué opción seleccionar.

¿Cuál es el siguiente paso?

Recursos adicionales