Udostępnij za pośrednictwem

Co to jest usługa Advanced Threat Analytics?

  • Artykuł

Dotyczy: Advanced Threat Analytics w wersji 1.9

Advanced Threat Analytics (ATA) to platforma lokalna, która pomaga chronić przedsiębiorstwo przed wieloma typami zaawansowanych ukierunkowanych cyberataków i zagrożeń wewnętrznych.

Uwaga

Cykl życia pomocy technicznej

Ostateczna wersja usługi ATA jest ogólnie dostępna. Wsparcie główne usługi ATA zakończyło się 12 stycznia 2021 r. Wsparcie rozszerzone będzie kontynuowane do stycznia 2026 r. Aby uzyskać więcej informacji, przeczytaj nasz blog.

Jak działa usługa ATA

Usługa ATA wykorzystuje zastrzeżony aparat analizowania sieci do przechwytywania i analizowania ruchu sieciowego wielu protokołów (takich jak Kerberos, DNS, RPC, NTLM i innych) na potrzeby uwierzytelniania, autoryzacji i zbierania informacji. Te informacje są zbierane przez usługę ATA za pośrednictwem:

  • Dublowanie portów z kontrolerów domeny i serwerów DNS do bramy usługi ATA i/lub
  • Wdrażanie uproszczonej bramy usługi ATA (LGW) bezpośrednio na kontrolerach domeny

Usługa ATA pobiera informacje z wielu źródeł danych, takich jak dzienniki i zdarzenia w sieci, aby poznać zachowanie użytkowników i innych jednostek w organizacji oraz utworzyć profil behawioralny na ich temat. Usługa ATA może odbierać zdarzenia i dzienniki z:

  • Integracja rozwiązania SIEM
  • Przekazywanie zdarzeń systemu Windows (WEF)
  • Bezpośrednio z modułu zbierającego zdarzenia systemu Windows (dla uproszczonej bramy)

Aby uzyskać więcej informacji na temat architektury usługi ATA, zobacz Architektura usługi ATA.

Co robi usługa ATA?

Technologia ATA wykrywa wiele podejrzanych działań, koncentrując się na kilku fazach łańcucha ataków cybernetycznych, w tym:

  • Rekonesans, podczas którego osoby atakujące zbierają informacje o sposobie tworzenia środowiska, czym są różne zasoby i jakie jednostki istnieją. Zazwyczaj jest to miejsce, w którym osoby atakujące tworzą plany dla kolejnych faz ataku.
  • Cykl ruchu bocznego, podczas którego osoba atakująca inwestuje czas i wysiłek w rozprzestrzenianie powierzchni ataku wewnątrz sieci.
  • Dominacja domeny (trwałość), podczas której osoba atakująca przechwytuje informacje umożliwiające wznowienie kampanii przy użyciu różnych zestawów punktów wejścia, poświadczeń i technik.

Te fazy cyberataku są podobne i przewidywalne, bez względu na to, jakiego typu firma jest atakowana lub jakiego rodzaju informacje są celem ataku. Usługa ATA wyszukuje trzy główne typy ataków: złośliwe ataki, nietypowe zachowanie oraz problemy z zabezpieczeniami i zagrożenia.

Złośliwe ataki są wykrywane deterministycznie, poszukując pełnej listy znanych typów ataków, w tym:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Sfałszowany pac (MS14-068)
  • Złoty bilet
  • Złośliwe replikacje
  • Rekonesans
  • Siłowe
  • Zdalne wykonywanie

Aby uzyskać pełną listę wykryć i ich opisów, zobacz Jakie podejrzane działania może wykryć usługa ATA?.

Usługa ATA wykrywa te podejrzane działania i wyświetla informacje w konsoli usługi ATA, w tym jasny widok Kto, Co, Kiedy i Jak. Jak widać, monitorując ten prosty, przyjazny dla użytkownika pulpit nawigacyjny, otrzymujesz alert, że usługa ATA podejrzewa, że na komputerach klienckich 1 i klienckich 2 w sieci podjęto próbę ataku z przekazywaniem biletu.

przykładowy ekran usługi ATA — przekazywanie biletu.

Nietypowe zachowanie jest wykrywane przez usługę ATA przy użyciu analizy behawioralnej i wykorzystującej usługę Machine Learning do odkrywania wątpliwych działań i nietypowych zachowań użytkowników i urządzeń w sieci, w tym:

  • Nietypowe identyfikatory logowania
  • Nieznane zagrożenia
  • Udostępnianie haseł
  • Ruch boczny
  • Modyfikowanie grup poufnych

Podejrzane działania tego typu można wyświetlić na pulpicie nawigacyjnym usługi ATA. W poniższym przykładzie usługa ATA wysyła alerty, gdy użytkownik uzyskuje dostęp do czterech komputerów, do których ten użytkownik zwykle nie uzyskuje dostępu, co może być przyczyną alarmu.

przykładowe nietypowe zachowanie ekranu usługi ATA.

Usługa ATA wykrywa również problemy i zagrożenia związane z zabezpieczeniami, w tym:

  • Przerwane zaufanie
  • Słabe protokoły
  • Znane luki w zabezpieczeniach protokołu

Podejrzane działania tego typu można wyświetlić na pulpicie nawigacyjnym usługi ATA. W poniższym przykładzie usługa ATA informuje, że istnieje przerwana relacja zaufania między komputerem w sieci a domeną.

przykładowy ekran usługi ATA z uszkodzonym zaufaniem.

Znane problemy

  • W przypadku aktualizacji do usługi ATA 1.7 i od razu do usługi ATA 1.8 bez wcześniejszej aktualizacji bram usługi ATA nie można przeprowadzić migracji do usługi ATA 1.8. Przed zaktualizowaniem centrum usługi ATA do wersji 1.8 należy najpierw zaktualizować wszystkie bramy do wersji 1.7.1 lub 1.7.2.

  • Jeśli wybierzesz opcję przeprowadzenia pełnej migracji, może to potrwać bardzo długo, w zależności od rozmiaru bazy danych. Po wybraniu opcji migracji wyświetlany jest szacowany czas — zanotuj to przed podjęciem decyzji, którą opcję wybrać.

Co dalej?

Zobacz też