次の方法で共有

Advanced Threat Analytics とは

  • [アーティクル]

適用対象: Advanced Threat Analytics バージョン 1.9

Advanced Threat Analytics (ATA) は、複数の種類の高度な標的型サイバー攻撃やインサイダー脅威から企業を保護するのに役立つオンプレミス プラットフォームです。

注:

サポート ライフサイクル

ATA の最終リリースが 一般公開されます。 ATA メインストリーム サポートは 2021 年 1 月 12 日に終了しました。 延長サポートは 2026 年 1 月まで継続されます。 詳細については、 ブログを参照してください

ATA のしくみ

ATA では、独自のネットワーク解析エンジンを利用して、認証、承認、情報収集のために、複数のプロトコル (Kerberos、DNS、RPC、NTLM など) のネットワーク トラフィックをキャプチャして解析します。 この情報は、次の方法で ATA によって収集されます。

  • ドメイン コントローラーと DNS サーバーから ATA ゲートウェイまたは/またはへのポート ミラーリング
  • ドメイン コントローラーに ATA ライトウェイト ゲートウェイ (LGW) を直接デプロイする

ATA は、ネットワーク内のログやイベントなどの複数のデータ ソースから情報を取得して、organization内のユーザーやその他のエンティティの動作を学習し、それらに関する動作プロファイルを構築します。 ATA は、次の場所からイベントとログを受信できます。

  • SIEM 統合
  • Windows イベント転送 (WEF)
  • Windows イベント コレクターから直接 (ライトウェイト ゲートウェイの場合)

ATA アーキテクチャの詳細については、「 ATA アーキテクチャ」を参照してください。

ATA は何を行いますか?

ATA テクノロジは、次のようなサイバー攻撃キル チェーンのいくつかのフェーズに焦点を当てて、複数の疑わしいアクティビティを検出します。

  • 偵察。その間、攻撃者は環境の構築方法、さまざまな資産、存在するエンティティに関する情報を収集します。 通常、これは攻撃者が次の攻撃フェーズの計画を構築する場所です。
  • 横移動サイクル。その間、攻撃者はネットワーク内に攻撃面を広げるための時間と労力を費やします。
  • ドメイン支配 (永続化)。その間、攻撃者はさまざまなエントリ ポイント、資格情報、手法のセットを使用してキャンペーンを再開できる情報をキャプチャします。

サイバー攻撃のこれらのフェーズは、攻撃を受けている企業の種類や対象となる情報の種類に関係なく、類似し、予測可能です。 ATA は、悪意のある攻撃、異常な動作、セキュリティの問題とリスクの 3 種類のメイン攻撃を検索します。

悪意のある攻撃 は、次のような既知の攻撃の完全な一覧を探すことによって、決定的に検出されます。

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • 偽造 PAC (MS14-068)
  • ゴールデンチケット
  • 悪意のあるレプリケーション
  • 偵察
  • ブルートフォース
  • リモート実行

検出とその説明の完全な一覧については、「 ATA で検出できる不審なアクティビティ」を参照してください。

ATA は、これらの疑わしいアクティビティを検出し、ユーザー、What、When、How の明確なビューを含む ATA コンソールに情報を表示します。 ご覧のように、このシンプルで使いやすいダッシュボードを監視すると、ATA はネットワーク内のクライアント 1 およびクライアント 2 コンピューターで Pass-the-Ticket 攻撃が試行された疑いがあることを警告します。

サンプル ATA 画面 pass-the-ticket。

異常な動作 は、行動分析を使用して ATA によって検出され、Machine Learning を利用して、ネットワーク内のユーザーとデバイスの疑わしいアクティビティと異常な動作を明らかにします。これには、次の情報が含まれます。

  • 異常なログイン
  • 不明な脅威
  • パスワード共有
  • 横方向の移動
  • 機密性の高いグループの変更

ATA ダッシュボードでは、この種類の不審なアクティビティを表示できます。 次の例では、ユーザーがこのユーザーが通常アクセスしていない 4 台のコンピューターにアクセスすると、ATA によってアラートが表示されます。これは、アラームの原因になる可能性があります。

サンプル ATA 画面の異常な動作。

ATA では、 次のようなセキュリティの問題とリスクも検出されます。

  • 信頼の破損
  • 脆弱なプロトコル
  • 既知のプロトコルの脆弱性

ATA ダッシュボードでは、この種類の不審なアクティビティを表示できます。 次の例では、ATA は、ネットワーク内のコンピューターとドメインの間に信頼関係が壊れていることを知らせます。

サンプル ATA 画面の破損した信頼。

既知の問題

  • ATA 1.7 に更新し、ATA 1.8 に直ちに更新した場合、最初に ATA ゲートウェイを更新せずに ATA 1.8 に移行することはできません。 ATA センターをバージョン 1.8 に更新する前に、まずすべてのゲートウェイをバージョン 1.7.1 または 1.7.2 に更新する必要があります。

  • 完全な移行を実行するオプションを選択した場合、データベースのサイズによっては非常に長い時間がかかる場合があります。 移行オプションを選択すると、推定時間が表示されます。選択するオプションを決定する前に、この点に注意してください。

次の手順

関連項目