Compartilhar via

O que é o Advanced Threat Analytics?

  • Artigo

Aplica-se a: Advanced Threat Analytics versão 1.9

O Advanced Threat Analytics (ATA) é uma plataforma no local que ajuda a proteger a sua empresa de vários tipos de ciberataques direcionados avançados e ameaças internas.

Observação

Ciclo de vida do suporte

A versão final do ATA está geralmente disponível. O Suporte Base do ATA terminou a 12 de janeiro de 2021. O Suporte Alargado continuará até janeiro de 2026. Para obter mais informações, leia o nosso blogue.

Como funciona o ATA

O ATA tira partido de um motor de análise de rede proprietário para capturar e analisar o tráfego de rede de vários protocolos (como Kerberos, DNS, RPC, NTLM, entre outros) para autenticação, autorização e recolha de informações. Estas informações são recolhidas pelo ATA através de:

  • Espelhamento de porta de Controladores de Domínio e servidores DNS para o ATA Gateway e/ou
  • Implementar um ATA Lightweight Gateway (LGW) diretamente nos Controladores de Domínio

O ATA utiliza informações de várias origens de dados, como registos e eventos na sua rede, para saber o comportamento dos utilizadores e de outras entidades na organização e cria um perfil comportamental sobre as mesmas. O ATA pode receber eventos e registos de:

  • Integração do SIEM
  • Reencaminhamento de Eventos do Windows (WEF)
  • Diretamente a partir do Recoletor de Eventos do Windows (para o Lightweight Gateway)

Para obter mais informações sobre a arquitetura do ATA, veja Arquitetura do ATA.

O que faz o ATA?

A tecnologia ATA deteta várias atividades suspeitas, concentrando-se em várias fases da cadeia de eliminação de ataques cibernéticos, incluindo:

  • Reconhecimento, durante o qual os atacantes recolhem informações sobre como o ambiente é criado, quais são os diferentes recursos e quais as entidades que existem. Normalmente, é aqui que os atacantes criam planos para as próximas fases de ataque.
  • Ciclo de movimento lateral, durante o qual um atacante investe tempo e esforço na propagação da superfície de ataque dentro da sua rede.
  • Domínio de domínio (persistência), durante o qual um atacante captura as informações que lhes permitem retomar a campanha com vários conjuntos de pontos de entrada, credenciais e técnicas.

Estas fases de um ataque cibernético são semelhantes e previsíveis, independentemente do tipo de empresa que está a ser atacada ou que tipo de informação está a ser alvo. O ATA procura três main tipos de ataques: ataques maliciosos, comportamento anormal e problemas e riscos de segurança.

Os ataques maliciosos são detetados deterministicamente ao procurar a lista completa de tipos de ataque conhecidos, incluindo:

  • Passagem da Permissão (PtT)
  • Passagem do Hash (PtH)
  • Passagem Superior do Hash
  • PAC Falsificado (MS14-068)
  • Bilhete Dourado
  • Replicação maliciosa
  • Reconhecimento
  • Força Bruta
  • Execução remota

Para obter uma lista completa das deteções e respetivas descrições, veja Que Atividades Suspeitas o ATA pode detetar?.

O ATA deteta estas atividades suspeitas e apresenta as informações na ATA Console, incluindo uma vista clara de Quem, O Quê, Quando e Como. Como pode ver, ao monitorizar este dashboard simples e fácil de utilizar, é alertado de que o ATA suspeita que foi tentado um ataque Pass-the-Ticket em computadores Cliente 1 e Cliente 2 na sua rede.

exemplo de pass-the-ticket do ecrã do ATA.

O comportamento anormal é detetado pelo ATA através da análise comportamental e ao tirar partido do Machine Learning para descobrir atividades questionáveis e comportamentos anormais em utilizadores e dispositivos na sua rede, incluindo:

  • Inícios de sessão anómalos
  • Ameaças desconhecidas
  • Partilha de palavras-passe
  • Movimento lateral
  • Modificação de grupos confidenciais

Pode ver atividades suspeitas deste tipo no ATA Dashboard. No exemplo seguinte, o ATA alerta-o quando um utilizador acede a quatro computadores que normalmente não são acedidos por este utilizador, o que pode ser motivo de alarme.

exemplo de comportamento anormal do ecrã do ATA.

O ATA também deteta problemas e riscos de segurança, incluindo:

  • Confiança quebrada
  • Protocolos fracos
  • Vulnerabilidades de protocolo conhecidas

Pode ver atividades suspeitas deste tipo no ATA Dashboard. No exemplo seguinte, o ATA informa-o de que existe uma relação de confiança quebrada entre um computador na sua rede e o domínio.

A confiança quebrada do ecrã do ATA de exemplo.

Problemas conhecidos

  • Se atualizar para o ATA 1.7 e imediatamente para o ATA 1.8, sem atualizar primeiro os ATA Gateways, não poderá migrar para o ATA 1.8. É necessário atualizar primeiro todos os Gateways para a versão 1.7.1 ou 1.7.2 antes de atualizar o ATA Center para a versão 1.8.

  • Se selecionar a opção para efetuar uma migração completa, poderá demorar muito tempo, dependendo do tamanho da base de dados. Quando estiver a selecionar as opções de migração, é apresentado o tempo estimado. Anote-o antes de decidir qual a opção a selecionar.

O que vem a seguir?

Confira também