Partager via

Qu’est-ce qu’Advanced Threat Analytics ?

  • Article

S’applique à : Advanced Threat Analytics version 1.9

Advanced Threat Analytics (ATA) est une plateforme locale qui permet de protéger votre entreprise contre plusieurs types de cyberattaques ciblées avancées et de menaces internes.

Remarque

Cycle de vie du support

La version finale d’ATA est en disponibilité générale. Le support standard ATA a pris fin le 12 janvier 2021. Le support étendu se poursuivra jusqu’en janvier 2026. Pour plus d’informations, consultez notre blog.

Fonctionnement d’ATA

ATA utilise un moteur d’analyse de réseau propriétaire pour capturer et analyser le trafic réseau de plusieurs protocoles (tels que Kerberos, DNS, RPC, NTLM, etc.) pour l’authentification, l’autorisation et la collecte d’informations. Ces informations sont collectées par ATA via :

  • Mise en miroir de ports des contrôleurs de domaine et des serveurs DNS vers la passerelle ATA et/ou
  • Déploiement d’une passerelle légère ATA (LGW) directement sur des contrôleurs de domaine

ATA prend des informations à partir de plusieurs sources de données, telles que les journaux et les événements de votre réseau, pour découvrir le comportement des utilisateurs et d’autres entités dans le organization, et crée un profil comportemental les concernant. ATA peut recevoir des événements et des journaux d’activité de :

  • Intégration SIEM
  • Transfert d’événements Windows (WEF)
  • Directement à partir du collecteur d’événements Windows (pour la passerelle légère)

Pour plus d’informations sur l’architecture ATA, consultez Architecture ATA.

Que fait ATA ?

La technologie ATA détecte plusieurs activités suspectes, en se concentrant sur plusieurs phases de la chaîne de destruction des cyberattaques, notamment :

  • Reconnaissance, au cours de laquelle les attaquants collectent des informations sur la façon dont l’environnement est créé, les différentes ressources et les entités qui existent. En règle générale, c’est là que les attaquants créent des plans pour leurs prochaines phases d’attaque.
  • Cycle de mouvement latéral, au cours duquel un attaquant investit du temps et des efforts dans la propagation de sa surface d’attaque à l’intérieur de votre réseau.
  • Dominance de domaine (persistance), pendant laquelle un attaquant capture les informations qui lui permettent de reprendre sa campagne à l’aide de différents ensembles de points d’entrée, d’informations d’identification et de techniques.

Ces phases d’une cyberattaque sont similaires et prévisibles, quel que soit le type d’entreprise visé ou le type d’informations ciblées. ATA recherche trois types d’attaques main : les attaques malveillantes, les comportements anormaux et les problèmes et risques de sécurité.

Les attaques malveillantes sont détectées de manière déterministe, en recherchant la liste complète des types d’attaques connus, notamment :

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • FAUX PAC (MS14-068)
  • Golden Ticket
  • Réplications malveillantes
  • Reconnaissance
  • Brute Force
  • Exécution à distance

Pour obtenir la liste complète des détections et leurs descriptions, consultez Quelles activités suspectes ATA peut-elle détecter ?.

ATA détecte ces activités suspectes et expose les informations dans la console ATA, y compris une vue claire de Qui, Quoi, Quand et Comment. Comme vous pouvez le voir, en surveillant ce tableau de bord simple et convivial, vous êtes averti qu’ATA soupçonne une attaque Pass-the-Ticket sur les ordinateurs clients 1 et client 2 de votre réseau.

exemple d’écran ATA pass-the-ticket.

Les comportements anormaux sont détectés par ATA à l’aide de l’analytique comportementale et en tirant parti du Machine Learning pour découvrir les activités douteuses et les comportements anormaux dans les utilisateurs et les appareils de votre réseau, notamment :

  • Connexions anormales
  • Menaces inconnues
  • Partage de mot de passe
  • Déplacement latéral
  • Modification des groupes sensibles

Vous pouvez afficher les activités suspectes de ce type dans le tableau de bord ATA. Dans l’exemple suivant, ATA vous avertit lorsqu’un utilisateur accède à quatre ordinateurs qui ne sont pas habituellement accessibles par cet utilisateur, ce qui peut être une cause d’alarme.

exemple de comportement anormal de l’écran ATA.

ATA détecte également les problèmes de sécurité et les risques, notamment :

  • Confiance rompue
  • Protocoles faibles
  • Vulnérabilités de protocole connues

Vous pouvez afficher les activités suspectes de ce type dans le tableau de bord ATA. Dans l’exemple suivant, ATA vous indique qu’il existe une relation d’approbation rompue entre un ordinateur de votre réseau et le domaine.

exemple d’approbation rompue de l’écran ATA.

Problèmes connus

  • Si vous effectuez une mise à jour vers ATA 1.7 et immédiatement vers ATA 1.8, sans mettre à jour au préalable les passerelles ATA, vous ne pouvez pas migrer vers ATA 1.8. Il est nécessaire de mettre à jour toutes les passerelles vers la version 1.7.1 ou 1.7.2 avant de mettre à jour le centre ATA vers la version 1.8.

  • Si vous sélectionnez l’option pour effectuer une migration complète, cela peut prendre beaucoup de temps, en fonction de la taille de la base de données. Lorsque vous sélectionnez vos options de migration, l’heure estimée s’affiche. Notez-la avant de choisir l’option à sélectionner.

Étape suivante

  • Pour plus d’informations sur la façon dont ATA s’intègre à votre réseau : Architecture ATA

  • Pour commencer à déployer ATA : Installer ATA

Voir aussi