什么是高级威胁分析?

适用于:高级威胁分析版本 1.9

高级威胁分析 (ATA) 是一个本地平台,可帮助保护企业免受多种高级目标网络攻击和内部威胁的影响。

注意

支持生命周期

ATA 的最终版本已正式发布。 ATA 主要支持已于 2021 年 1 月 12 日结束。 外延支持将持续到 2026 年 1 月。 有关详细信息,请阅读我们的博客

ATA 工作原理

ATA 可以利用专有的网络引擎捕获和分析身份验证、授权和信息收集协议(例如 Kerberos、DNS、RPC、NTLM 和其他协议)的网络流量。 ATA 通过以下方式收集此信息:

  • 从域控制器和 DNS 服务器到 ATA 网关和/或的端口镜像
  • 直接在域控制器上部署 ATA 轻型网关 (LGW)

ATA 从多个数据源(例如网络中的日志和事件)获取信息,以了解组织中的用户和其他实体的行为,并生成有关它们的行为配置文件。 ATA 可以通过以下方式接收事件和日志:

  • SIEM 集成
  • Windows 事件转发 (WEF)
  • 直接从 Windows 事件收集器(适用于轻型网关)

有关 ATA 体系结构的详细信息,请参阅 ATA 体系结构

ATA 的作用是什么?

ATA 技术可以检测到多种可疑活动,专注于网络攻击杀伤链的多个阶段,包括:

  • 侦查,在此期间,攻击者收集有关环境构建方式、不同资产以及存在实体的信息。 通常,这是攻击者为其下一阶段攻击构建计划的地方。
  • 横向移动周期,在此期间,攻击者投入时间和精力在网络中散播攻击面。
  • 域控制(暂留),在此期间,攻击者捕获信息,使其能够使用各种入口点、凭证和技术来恢复其市场活动。

网络攻击的这些阶段相似且可预测,无论是哪种类型的公司受到攻击或哪种类型的信息受到针对。 ATA 搜索三种主要类型的攻击:恶意攻击、异常行为以及安全问题和风险。

通过查找已知攻击的完整列表检测到的恶意攻击,包括:

  • 票据传递 (PtT)
  • 哈希传递 (PtH)
  • 跨越哈希
  • 伪造 PAC (MS14-068)
  • 黄金票据
  • 恶意复制
  • 侦测
  • 暴力破解
  • 远程执行

有关检测及其描述的完整列表,请参阅 ATA 可以检测到哪些可疑活动?

ATA 会检测这些可疑活动,并在 ATA 控制台中显示信息,包括对象、内容、时间和方式的清晰视图。 正如所看到的,通过监视这种简单、用户友好的仪表板,系统会提醒你 ATA 怀疑在网络中客户端 1 和客户端 2 计算机上出现了 Pass-the-Ticket 攻击尝试。

sample ATA screen pass-the-ticket.

ATA 使用行为分析检测异常行为,并利用机器学习发现网络中用户和设备中可疑的活动和异常行为,包括:

  • 异常登录
  • 未知威胁
  • 密码共享
  • 横向移动
  • 敏感组的修改

可以在 ATA 仪表板中查看此类型的可疑活动。 在下面的示例中,ATA 会在用户访问此用户通常无法访问的四台计算机时发出警告,这可能是警报的原因。

sample ATA screen abnormal behavior.

ATA 还会检测安全问题和风险,包括:

  • 信任崩塌
  • 弱协议
  • 已知协议漏洞

可以在 ATA 仪表板中查看此类型的可疑活动。 在以下示例中,ATA 告知网络中的计算机与域中存在断开的信任关系。

sample ATA screen broken trust.

已知问题

  • 如果更新到 ATA 1.7 并立即更新到 ATA 1.8,未先更新 ATA 网关,则无法迁移到 ATA 1.8。 在将 ATA 中心更新到版本 1.8 之前,必须先将所有网关更新到版本 1.7.1 或 1.7.2。

  • 如果选择执行完整迁移的选项,则可能需要很长时间,具体取决于数据库大小。 选择迁移选项时,将显示估计的时间 – 在确定要选择的选项之前,请记下这一点。

后续步骤

另请参阅