Apa itu Analitik Ancaman Tingkat Lanjut?

Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9

Advanced Threat Analytics (ATA) adalah platform lokal yang membantu melindungi perusahaan Anda dari berbagai jenis serangan cyber yang ditargetkan tingkat lanjut dan ancaman orang dalam.

Catatan

Siklus hidup dukungan

Rilis akhir ATA umumnya tersedia. Dukungan Mainstream ATA berakhir pada 12 Januari 2021. Dukungan yang Diperpanjang akan berlanjut hingga Januari 2026. Untuk informasi lebih lanjut, baca blog kami.

Cara kerja ATA

ATA memanfaatkan mesin penguraian jaringan eksklusif untuk menangkap dan mengurai lalu lintas jaringan dari beberapa protokol (seperti Kerberos, DNS, RPC, NTLM, dan lainnya) untuk autentikasi, otorisasi, dan pengumpulan informasi. Informasi ini dikumpulkan oleh ATA melalui:

  • Pencerminan port dari Pengendali Domain dan server DNS ke Gateway ATA dan/atau
  • Menyebarkan ATA Lightweight Gateway (LGW) langsung di Pengendali Domain

ATA mengambil informasi dari beberapa sumber data, seperti log dan peristiwa di jaringan Anda, untuk mempelajari perilaku pengguna dan entitas lain dalam organisasi, dan membangun profil perilaku tentang mereka. ATA dapat menerima peristiwa dan log dari:

  • Integrasi SIEM
  • Penerusan Peristiwa Windows (WEF)
  • Langsung dari Windows Event Collector (untuk Lightweight Gateway)

Untuk informasi selengkapnya tentang arsitektur ATA, lihat Arsitektur ATA.

Apa yang dilakukan ATA?

Teknologi ATA mendeteksi beberapa aktivitas mencurigakan, berfokus pada beberapa fase rantai pembunuhan serangan cyber termasuk:

  • Pengintaian, di mana penyerang mengumpulkan informasi tentang bagaimana lingkungan dibangun, apa aset yang berbeda, dan entitas mana yang ada. Biasanya, di sinilah penyerang membangun rencana untuk fase serangan berikutnya.
  • Siklus gerakan lateral, di mana penyerang menginvestasikan waktu dan upaya dalam menyebarkan permukaan serangan mereka di dalam jaringan Anda.
  • Dominasi domain (persistensi), di mana penyerang menangkap informasi yang memungkinkan mereka untuk melanjutkan kampanye mereka menggunakan berbagai set titik masuk, kredensial, dan teknik.

Fase serangan cyber ini serupa dan dapat diprediksi, apa pun jenis perusahaan yang diserang atau jenis informasi apa yang ditargetkan. ATA mencari tiga jenis serangan utama: Serangan berbahaya, perilaku abnormal, serta masalah dan risiko keamanan.

Serangan berbahaya terdeteksi secara deterministik, dengan mencari daftar lengkap jenis serangan yang diketahui termasuk:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • FORGED PAC (MS14-068)
  • Tiket Emas
  • Replikasi berbahaya
  • Pengintaian
  • Serangan Brute Force
  • Eksekusi jarak jauh

Untuk daftar lengkap deteksi dan deskripsinya, lihat Aktivitas Mencurigakan Apa yang Dapat dideteksi ATA?.

ATA mendeteksi aktivitas mencurigakan ini dan menampilkan informasi di Konsol ATA termasuk tampilan Siapa yang jelas, Apa, Kapan, dan Bagaimana. Seperti yang Anda lihat, dengan memantau dasbor sederhana dan ramah pengguna ini, Anda diberitahu bahwa ATA mencurigai serangan Pass-the-Ticket telah dicoba pada komputer Klien 1 dan Klien 2 di jaringan Anda.

sample ATA screen pass-the-ticket.

Perilaku abnormal terdeteksi oleh ATA menggunakan analitik perilaku dan memanfaatkan Pembelajaran Mesin untuk mengungkap aktivitas yang dipertanyakan dan perilaku abnormal pada pengguna dan perangkat di jaringan Anda, termasuk:

  • Masuk anomali
  • Ancaman yang tidak diketahui
  • Berbagi kata sandi
  • Gerakan lateral
  • Modifikasi grup sensitif

Anda dapat melihat aktivitas mencurigakan jenis ini di Dasbor ATA. Dalam contoh berikut, ATA memberi tahu Anda ketika pengguna mengakses empat komputer yang biasanya tidak diakses oleh pengguna ini, yang bisa menjadi penyebab alarm.

sample ATA screen abnormal behavior.

ATA juga mendeteksi masalah dan risiko keamanan, termasuk:

  • Kepercayaan yang rusak
  • Protokol lemah
  • Kerentanan protokol yang diketahui

Anda dapat melihat aktivitas mencurigakan jenis ini di Dasbor ATA. Dalam contoh berikut, ATA memberi tahu Anda bahwa ada hubungan kepercayaan yang rusak antara komputer di jaringan Anda dan domain.

sample ATA screen broken trust.

Masalah yang diketahui

  • Jika Anda memperbarui ke ATA 1.7 dan segera ke ATA 1.8, tanpa terlebih dahulu memperbarui Gateway ATA, Anda tidak dapat bermigrasi ke ATA 1.8. Anda harus terlebih dahulu memperbarui semua Gateway ke versi 1.7.1 atau 1.7.2 sebelum memperbarui ATA Center ke versi 1.8.

  • Jika Anda memilih opsi untuk melakukan migrasi penuh, mungkin perlu waktu yang sangat lama, tergantung pada ukuran database. Saat Anda memilih opsi migrasi, perkiraan waktu ditampilkan - catat ini sebelum Anda memutuskan opsi mana yang akan dipilih.

Apa selanjutnya?

  • Untuk informasi selengkapnya tentang bagaimana ATA cocok dengan jaringan Anda: Arsitektur ATA

  • Untuk mulai menyebarkan ATA: Instal ATA

Lihat juga