다음을 통해 공유

Advanced Threat Analytics란?

  • 아티클

적용 대상: Advanced Threat Analytics 버전 1.9

ATA(Advanced Threat Analytics)는 여러 유형의 고급 표적 사이버 공격 및 내부자 위협으로부터 엔터프라이즈를 보호하는 온-프레미스 플랫폼입니다.

참고

수명 주기 지원

ATA의 최종 릴리스는 일반 공급됩니다. ATA 일반 지원은 2021년 1월 12일에 종료되었습니다. 추가 지원은 2026년 1월까지 계속됩니다. 자세한 내용은 블로그를 참조 하세요.

ATA 작동 방식

ATA는 독점 네트워크 구문 분석 엔진을 활용하여 인증, 권한 부여 및 정보 수집을 위해 여러 프로토콜(예: Kerberos, DNS, RPC, NTLM 등)의 네트워크 트래픽을 캡처하고 구문 분석합니다. 이 정보는 다음을 통해 ATA에서 수집됩니다.

  • 도메인 컨트롤러 및 DNS 서버에서 ATA 게이트웨이 및/또는로의 포트 미러링
  • 도메인 컨트롤러에 직접 ATA LGW(경량 게이트웨이) 배포

ATA는 네트워크의 로그 및 이벤트와 같은 여러 데이터 원본에서 정보를 가져와 organization 사용자 및 기타 엔터티의 동작을 학습하고 이에 대한 동작 프로필을 작성합니다. ATA는 다음에서 이벤트 및 로그를 받을 수 있습니다.

  • SIEM 통합
  • WEF(Windows 이벤트 전달)
  • Windows 이벤트 수집기에서 직접(경량 게이트웨이용)

ATA 아키텍처에 대한 자세한 내용은 ATA 아키텍처를 참조하세요.

ATA는 무엇을 합니까?

ATA 기술은 다음과 같은 사이버 공격 킬 체인의 여러 단계에 중점을 두고 여러 의심스러운 활동을 감지합니다.

  • 정찰은 공격자가 환경을 빌드하는 방법, 다른 자산이 무엇인지, 어떤 엔터티가 존재하는지에 대한 정보를 수집하는 동안입니다. 일반적으로 공격자는 다음 공격 단계에 대한 계획을 수립합니다.
  • 공격자가 네트워크 내부에 공격 표면을 분산하는 데 시간과 노력을 투자하는 횡적 이동 주기입니다.
  • 도메인 우위(지속성) 동안 공격자는 다양한 진입점, 자격 증명 및 기술을 사용하여 캠페인을 재개할 수 있는 정보를 캡처합니다.

이러한 사이버 공격 단계는 공격을 받고 있는 회사의 유형이나 대상이 되는 정보 유형에 관계없이 유사하고 예측 가능합니다. ATA는 악의적인 공격, 비정상적인 동작, 보안 문제 및 위험의 세 가지 기본 유형의 공격을 검색합니다.

다음을 비롯한 알려진 공격 유형의 전체 목록을 검색하여 악의적인 공격이 결정적으로 검색됩니다.

  • PtT(Pass-the-Ticket)
  • Pass-the-Hash(PtH)
  • 고가도로 해시
  • 위조된 PAC(MS14-068)
  • 골든 티켓
  • 악의적인 복제
  • 정찰
  • 무력
  • 원격 실행

검색 및 해당 설명의 전체 목록은 ATA에서 검색할 수 있는 의심스러운 활동을 참조하세요.

ATA는 이러한 의심스러운 활동을 감지하고 누가, 무엇을, 언제, 어떻게 하는지에 대한 명확한 보기를 포함하여 ATA 콘솔의 정보를 표시합니다. 이 간단하고 사용자에게 친숙한 dashboard 모니터링하면 ATA에서 네트워크의 클라이언트 1 및 클라이언트 2 컴퓨터에서 Pass-the-Ticket 공격이 시도된 것으로 의심된다는 경고가 표시됩니다.

샘플 ATA 화면 pass-the-ticket.

비정상 동작 은 동작 분석을 사용하고 Machine Learning을 활용하여 다음을 포함하여 네트워크의 사용자 및 디바이스에서 의심스러운 활동 및 비정상적인 동작을 발견하여 ATA에서 검색됩니다.

  • 비정상적인 로그인
  • 알 수 없는 위협
  • 암호 공유
  • 측면 이동
  • 중요한 그룹 수정

ATA 대시보드에서 이러한 유형의 의심스러운 활동을 볼 수 있습니다. 다음 예제에서 ATA는 사용자가 이 사용자가 일반적으로 액세스하지 않는 4대의 컴퓨터에 액세스할 때 경고합니다. 이는 경보의 원인이 될 수 있습니다.

샘플 ATA 화면 비정상적인 동작.

ATA는 다음을 비롯한 보안 문제 및 위험도 검색합니다.

  • 끊어진 신뢰
  • 약한 프로토콜
  • 알려진 프로토콜 취약성

ATA 대시보드에서 이러한 유형의 의심스러운 활동을 볼 수 있습니다. 다음 예제에서 ATA는 네트워크와 도메인의 컴퓨터 간에 트러스트 관계가 끊어졌다는 것을 알려 줍니다.

샘플 ATA 화면이 신뢰를 깨뜨렸습니다.

알려진 문제

  • ATA 게이트웨이를 먼저 업데이트하지 않고 ATA 1.7 및 ATA 1.8로 즉시 업데이트하는 경우 ATA 1.8로 마이그레이션할 수 없습니다. ATA 센터를 버전 1.8로 업데이트하기 전에 먼저 모든 게이트웨이를 버전 1.7.1 또는 1.7.2로 업데이트해야 합니다.

  • 전체 마이그레이션을 수행하는 옵션을 선택하는 경우 데이터베이스 크기에 따라 시간이 오래 걸릴 수 있습니다. 마이그레이션 옵션을 선택하면 선택한 옵션을 결정하기 전에 예상 시간이 표시됩니다.

다음 작업

  • ATA가 네트워크에 적합한 방법에 대한 자세한 내용은 ATA 아키텍처

  • ATA 배포를 시작하려면: ATA 설치

참고 항목