Was ist Advanced Threat Analytics?What is Advanced Threat Analytics?

Gilt für: Advanced Threat Analytics Version 1.9Applies to: Advanced Threat Analytics version 1.9

Advanced Threat Analytics (ATA) ist eine lokale Plattform, mit deren Hilfe Sie Ihr Unternehmen vor verschiedenen hochentwickelten und gezielten Cyberangriffen und Insiderbedrohungen schützen können.Advanced Threat Analytics (ATA) is an on-premises platform that helps protect your enterprise from multiple types of advanced targeted cyber attacks and insider threats.

So funktioniert ATAHow ATA works

ATA nutzt eine proprietäre Netzwerkanalyse-Engine, um den Netzwerkverkehr verschiedener Protokolle (z.B. Kerberos, DNS, RPC, NTLM und andere) zwecks Authentifizierung, Autorisierung und zum Sammeln von Informationen zu erfassen und zu analysieren.ATA leverages a proprietary network parsing engine to capture and parse network traffic of multiple protocols (such as Kerberos, DNS, RPC, NTLM, and others) for authentication, authorization, and information gathering. ATA sammelt die Informationen über:This information is collected by ATA via:

  • die Portspiegelung von Domänencontrollern und DNS-Servern bis zum ATA-Gateway bzw.Port mirroring from Domain Controllers and DNS servers to the ATA Gateway and/or
  • die direkt Bereitstellung eines ATA-Lightweight-Gateways (LGW) auf Domänencontrollern.Deploying an ATA Lightweight Gateway (LGW) directly on Domain Controllers

ATA bezieht Informationen aus mehreren Datenquellen, wie z.B. aus Protokollen und Ereignissen in Ihrem Netzwerk, um das Verhalten von Benutzern und anderen Entitäten in der Organisation zu lernen und anschließend ein Verhaltensprofil zu erstellen.ATA takes information from multiple data-sources, such as logs and events in your network, to learn the behavior of users and other entities in the organization, and builds a behavioral profile about them. ATA kann Ereignisse und Protokolle aus folgenden Quellen beziehen:ATA can receive events and logs from:

  • SIEM-IntegrationSIEM Integration
  • Windows-Ereignisweiterleitung (Windows Event Forwarding; WEF)Windows Event Forwarding (WEF)
  • Direkt aus der Windows-Ereignissammlung (für Lightweight-Gateways)Directly from the Windows Event Collector (for the Lightweight Gateway)

Weitere Informationen zur ATA-Architektur finden Sie unter ATA-Architektur.For more information on ATA architecture, see ATA Architecture.

Wie funktioniert ATA?What does ATA do?

Die ATA-Technologie erkennt verschiedene verdächtige Aktivitäten und konzentriert sich dabei auf die verschiedenen Phasen der Angriffskette von Cyber-Angriffen, so z.B.:ATA technology detects multiple suspicious activities, focusing on several phases of the cyber-attack kill chain including:

  • Reconnaissance, während der die Angreifer Informationen zum Aufbau der Umgebung, zu den verschiedenen Assets und zu den vorhandenen Entitäten erfassen.Reconnaissance, during which attackers gather information on how the environment is built, what the different assets are, and which entities exist. Häufig ist dies der Punkt, an dem Angreifer die nächsten Angriffsphasen planen.Typically, this is where attackers build plans for their next phases of attack.
  • Der Zyklus der Seitwärtsbewegung: Die Angreifer investieren Zeit und Mühe in die Verbreiterung ihrer Angriffsfläche in Ihrem Netzwerk.Lateral movement cycle, during which an attacker invests time and effort in spreading their attack surface inside your network.
  • Domänendominanz (Domänenpersistenz): In dieser Phase sammeln Angreifer die Informationen, mit deren Hilfe sie ihren Angriff fortsetzen und dabei verschiedene Einstiegspunkte, Anmeldeinformationen und Techniken nutzen können.Domain dominance (persistence), during which an attacker captures the information that allows them to resume their campaign using various sets of entry points, credentials, and techniques.

Diese Phasen eines Cyberangriffs ähneln sich und sind vorhersagbar, unabhängig davon, welche Art von Unternehmen angegriffen oder auf welche Art von Informationen abgezielt wird.These phases of a cyber attack are similar and predictable, no matter what type of company is under attack or what type of information is being targeted. ATA sucht nach drei Haupttypen von Angriffen: böswillige Angriffe, ungewöhnliches/nicht normales Verhalten und Sicherheitsprobleme und -risiken.ATA searches for three main types of attacks: Malicious attacks, abnormal behavior, and security issues and risks.

Böswillige Angriffe werden deterministisch erkannt, indem nach der vollständigen Liste bekannter Angriffstypen gesucht wird, wie z.B.:Malicious attacks are detected deterministically, by looking for the full list of known attack types including:

  • Pass-the-Ticket (PtT)Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)Pass-the-Hash (PtH)
  • Overpass-the-HashOverpass-the-Hash
  • Forged PAC (MS14-068)Forged PAC (MS14-068)
  • Golden TicketGolden Ticket
  • Böswillige ReplikationenMalicious replications
  • ReconnaissanceReconnaissance
  • Brute-Force-AngriffeBrute Force
  • RemoteausführungRemote execution

Eine vollständige Liste der Erkennungstypen und deren Beschreibungen finden Sie unter Nach welchen Bedrohungen sucht ATA.For a complete list of the detections and their descriptions, see What Suspicious Activities Can ATA detect?.

ATA erkennt diese verdächtigen Aktivitäten und zeigt Informationen dazu in der ATA-Konsole an, einschließlich einer Übersicht darüber, wer den Angriff wann und wie ausgeführt hat und was dabei geschehen ist.ATA detects these suspicious activities and surfaces the information in the ATA Console including a clear view of Who, What, When and How. Durch die Überwachung dieses einfachen und benutzerfreundlichen Dashboards werden Sie also benachrichtigt, wenn ATA vermutet, dass ein Pass-the-Ticket-Angriff auf die Computer „Client 1“ und „Client 2“ in Ihrem Netzwerk versucht wurde.As you can see, by monitoring this simple, user-friendly dashboard, you are alerted that ATA suspects a Pass-the-Ticket attack was attempted on Client 1 and Client 2 computers in your network.

beispiel ATA bildschirm pass-the-ticket

ungewöhnliches/nicht normales Verhalten wird von ATA mithilfe der Verhaltensanalyse und Machine Learning erkannt. So werden fragwürdige Aktivitäten und ungewöhnliches/nicht normales Verhalten wie von Benutzern und Geräten in Ihrem Netzwerk wie die folgenden erkannt:Abnormal behavior is detected by ATA using behavioral analytics and leveraging Machine Learning to uncover questionable activities and abnormal behavior in users and devices in your network, including:

  • Nicht normale AnmeldungenAnomalous logins
  • Unbekannte GefahrenUnknown threats
  • KennwortfreigabePassword sharing
  • Seitliche VerschiebungLateral movement
  • Modifizierung von sensiblen GruppenModification of sensitive groups

Sie können die verdächtigen Aktivitäten dieses Typs im ATA-Dashboard anzeigen.You can view suspicious activities of this type in the ATA Dashboard. Im folgenden Beispiel werden Sie von ATA benachrichtigt, wenn ein Benutzer auf vier Computer zugreift, die in der Regel nicht von diesem Benutzer verwendet werden. Dies kann Anlass für eine Warnung geben.In the following example, ATA alerts you when a user accesses four computers that are not ordinarily accessed by this user, which could be a cause for alarm.

sample ATA screen abnormal behavior

ATA erkennt darüber hinaus Sicherheitsprobleme und -risiken, einschließlich:ATA also detects security issues and risks, including:

  • einer fehlerhaften VertrauensstellungBroken trust
  • schwacher ProtokolleWeak protocols
  • bekannter Protokollschwachstellen.Known protocol vulnerabilities

Sie können die verdächtigen Aktivitäten dieses Typs im ATA-Dashboard anzeigen.You can view suspicious activities of this type in the ATA Dashboard. Im folgenden Beispiel weist Sie ATA darauf hin, dass eine fehlerhafte Vertrauensstellung zwischen einem Computer in Ihrem Netzwerk und der Domäne vorhanden ist.In the following example, ATA is letting you know that there is a broken trust relationship between a computer in your network and the domain.

sample ATA screen broken trust

Bekannte ProblemeKnown issues

  • Wenn Sie ein Update auf ATA 1.7 durchführen und anschließen sofort auf ATA 1.8, ohne vorher die ATA-Gateways zu aktualisieren, können Sie nicht zu ATA 1.8 migrieren.If you update to ATA 1.7 and immediately to ATA 1.8, without first updating the ATA Gateways, you cannot migrate to ATA 1.8. Sie müssen zunächst alle Gateways auf Version 1.7.1 oder 1.7.2 aktualisieren, bevor Sie ATA Center auf Version 1.8 aktualisieren können.It is necessary to first update all of the Gateways to version 1.7.1 or 1.7.2 before updating the ATA Center to version 1.8.

  • Wenn Sie sich dazu entscheiden, eine vollständige Migration durchzuführen, kann dies einige Zeit in Anspruch nehmen, je nach Größe der Datenbank.If you select the option to perform a full migration, it may take a very long time, depending on the database size. Bei der Auswahl der Migrationsoptionen wird die geschätzte Dauer angezeigt. Beachten Sie diese, bevor Sie sich für eine Option entscheiden.When you are selecting your migration options, the estimated time is displayed - make note of this before you decide which option to select.

Wie geht es weiter?What's next?

Weitere Informationen:See Also

Verdächtige ATA-Aktivitäten – Playbook Besuchen Sie das ATA-Forum!ATA suspicious activity playbook Check out the ATA forum!