Qu’est-ce qu’Advanced Threat Analytics ?What is Advanced Threat Analytics?

S’applique à : Advanced Threat Analytics version 1.9Applies to: Advanced Threat Analytics version 1.9

Advanced Threat Analytics (ATA) est une plateforme locale qui aide à protéger votre entreprise contre plusieurs types d’attaques informatiques ciblées et de menaces internes avancées.Advanced Threat Analytics (ATA) is an on-premises platform that helps protect your enterprise from multiple types of advanced targeted cyber attacks and insider threats.

Fonctionnement d’ATAHow ATA works

ATA s’appuie sur un moteur d’analyse réseau propriétaire pour capturer et analyser le trafic réseau de plusieurs protocoles (comme Kerberos, DNS, RPC, NTLM et d’autres) pour l’authentification, l’autorisation et la collecte d’informations.ATA leverages a proprietary network parsing engine to capture and parse network traffic of multiple protocols (such as Kerberos, DNS, RPC, NTLM, and others) for authentication, authorization, and information gathering. Ces informations sont recueillies par ATA par le biais de :This information is collected by ATA via:

  • La mise en miroir des ports des contrôleurs de domaine et des serveurs DNS vers la passerelle ATA et/ouPort mirroring from Domain Controllers and DNS servers to the ATA Gateway and/or
  • Le déploiement d’une passerelle légère ATA directement sur les contrôleurs de domaineDeploying an ATA Lightweight Gateway (LGW) directly on Domain Controllers

ATA prend les informations provenant de plusieurs sources de données, comme les journaux et les événements du réseau, pour apprendre le comportement des utilisateurs et autres entités de l’organisation, puis génère un profil comportemental.ATA takes information from multiple data-sources, such as logs and events in your network, to learn the behavior of users and other entities in the organization, and builds a behavioral profile about them. ATA peut recevoir des événements et des journaux des éléments suivants :ATA can receive events and logs from:

  • Intégration SIEMSIEM Integration
  • Windows Event Forwarding (WEF)Windows Event Forwarding (WEF)
  • Directement depuis le collecteur d’événements Windows (pour la passerelle légère)Directly from the Windows Event Collector (for the Lightweight Gateway)

Pour plus d’informations sur l’architecture d’ATA, consultez Architecture d’ATA.For more information on ATA architecture, see ATA Architecture.

Que fait ATA ?What does ATA do?

La technologie ATA détecte plusieurs activités suspectes, en se focalisant sur différentes phases de la chaîne de cyber-attaque, notamment :ATA technology detects multiple suspicious activities, focusing on several phases of the cyber-attack kill chain including:

  • Reconnaissance, au cours de laquelle les personnes malveillantes vont recueillir des informations sur la façon dont l’environnement est construit, sur les différents assets, et sur les entités qui existent.Reconnaissance, during which attackers gather information on how the environment is built, what the different assets are, and which entities exist. C’est en général à ce stade que les attaquants élaborent des plans pour les phases d’attaque suivantes.Typically, this is where attackers build plans for their next phases of attack.
  • Cycle de mouvement latéral, pendant lequel un attaquant investit temps et efforts dans la l'élargissement de sa surface d’attaque au sein de votre réseau.Lateral movement cycle, during which an attacker invests time and effort in spreading their attack surface inside your network.
  • Dominance (persistance) de domaine, pendant laquelle un attaquant capture les informations lui permettant de reprendre sa campagne avec différentes séries de points d’entrée, d’informations d’identification et de techniques.Domain dominance (persistence), during which an attacker captures the information that allows them to resume their campaign using various sets of entry points, credentials, and techniques.

Ces phases d’une cyber-attaque sont similaires et prévisibles, quel que soit le type de société visé ou le type d’informations ciblé.These phases of a cyber attack are similar and predictable, no matter what type of company is under attack or what type of information is being targeted. ATA recherche trois principaux types d’attaques : les attaques malveillantes, les comportements anormaux et les risques et problèmes de sécurité.ATA searches for three main types of attacks: Malicious attacks, abnormal behavior, and security issues and risks.

Les attaques malveillantes sont détectées de manière déterministe, en recherchant la liste complète des types d’attaques connus, notamment :Malicious attacks are detected deterministically, by looking for the full list of known attack types including:

  • Pass-the-Ticket (PtT)Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)Pass-the-Hash (PtH)
  • Overpass-the-HashOverpass-the-Hash
  • Faux PAC (MS14-068)Forged PAC (MS14-068)
  • Golden TicketGolden Ticket
  • Réplications malveillantesMalicious replications
  • ReconnaissanceReconnaissance
  • Force bruteBrute Force
  • Exécution à distanceRemote execution

Pour obtenir la liste complète des détections et leurs descriptions, consultez Quelles sont les activités suspectes détectables par ATA ?For a complete list of the detections and their descriptions, see What Suspicious Activities Can ATA detect?.

ATA détecte ces activités suspectes et expose les informations dans la console ATA, avec une vue claire précisant qui, quoi, quand et comment.ATA detects these suspicious activities and surfaces the information in the ATA Console including a clear view of Who, What, When and How. Comme vous pouvez le voir, ce tableau de bord simple et convivial vous avertit qu’ATA soupçonne qu’une attaque pass-the-ticket a été tentée sur les ordinateurs Client 1 et Client 2 de votre réseau.As you can see, by monitoring this simple, user-friendly dashboard, you are alerted that ATA suspects a Pass-the-Ticket attack was attempted on Client 1 and Client 2 computers in your network.

exemple d’écran ATA pour pass-the-ticket

Un comportement anormal est détecté par ATA en effectuant une analyse comportementale et en tirant parti de Machine Learning pour découvrir les activités douteuses et un comportement anormal chez les utilisateurs et les périphériques de votre réseau, notamment :Abnormal behavior is detected by ATA using behavioral analytics and leveraging Machine Learning to uncover questionable activities and abnormal behavior in users and devices in your network, including:

  • Connexions anormalesAnomalous logins
  • Menaces inconnuesUnknown threats
  • Partage de mot de passePassword sharing
  • Mouvement latéralLateral movement
  • Modification de groupes sensiblesModification of sensitive groups

Vous pouvez afficher les activités suspectes de ce type dans le tableau de bord ATA.You can view suspicious activities of this type in the ATA Dashboard. Dans l’exemple suivant, ATA vous avertit quand un utilisateur accède à quatre ordinateurs auxquels il n’accède pas normalement, ce qui peut être une cause d’alerte.In the following example, ATA alerts you when a user accesses four computers that are not ordinarily accessed by this user, which could be a cause for alarm.

exemple d’écran ATA pour un comportement anormal

ATA détecte également les risques et problèmes de sécurité, notamment :ATA also detects security issues and risks, including:

  • Relation de confiance rompueBroken trust
  • Protocoles faiblesWeak protocols
  • Vulnérabilités de protocole connuesKnown protocol vulnerabilities

Vous pouvez afficher les activités suspectes de ce type dans le tableau de bord ATA.You can view suspicious activities of this type in the ATA Dashboard. Dans l’exemple suivant, ATA vous signale qu’il existe une relation de confiance rompue entre un ordinateur de votre réseau et le domaine.In the following example, ATA is letting you know that there is a broken trust relationship between a computer in your network and the domain.

exemple d’écran ATA pour une relation de confiance rompue

Problèmes connusKnown issues

  • Si vous mettez à jour vers ATA 1.7 et immédiatement vers ATA 1.8 sans d’abord mettre à jour les passerelles ATA, vous ne pouvez pas migrer vers ATA 1.8.If you update to ATA 1.7 and immediately to ATA 1.8, without first updating the ATA Gateways, you cannot migrate to ATA 1.8. Vous devez commencer par mettre à jour toutes les passerelles vers la version 1.7.1 ou 1.7.2 avant de mettre à jour le centre ATA vers la version 1.8.It is necessary to first update all of the Gateways to version 1.7.1 or 1.7.2 before updating the ATA Center to version 1.8.

  • Si vous choisissez d’effectuer une migration complète, elle peut durer très longtemps en fonction de la taille de la base de données.If you select the option to perform a full migration, it may take a very long time, depending on the database size. Quand vous sélectionnez vos options de migration, le temps estimé s’affiche : notez-le bien avant de décider quelle option choisir.When you are selecting your migration options, the estimated time is displayed - make note of this before you decide which option to select.

Étapes suivantesWhat's next?

Voir aussiSee Also

Scénario d’activité suspecte ATA Consultez le forum ATA !ATA suspicious activity playbook Check out the ATA forum!