Informazioni su Advanced Threat Analytics

Si applica a: Advanced Threat Analytics versione 1.9

Advanced Threat Analytics (ATA) è una piattaforma locale che consente di proteggere le aziende da diversi tipi di attacchi informatici mirati di livello avanzato e da minacce provenienti dall'interno.

Nota

Ciclo di vita del supporto

La versione finale di ATA è disponibile a livello generale. Il supporto Mainstream di ATA è terminato il 12 gennaio 2021. Il supporto esteso continuerà fino a gennaio 2026. Per altre informazioni, leggere il blog.

Modalità di funzionamento di ATA

ATA si basa su un motore di analisi della rete proprietario per acquisire e analizzare il traffico di rete di più protocolli, quali ad esempio Kerberos, DNS, RPC, NTLM e altri, per l'autenticazione, l'autorizzazione e la raccolta di informazioni. L'acquisizione delle informazioni avviene tramite:

  • Mirroring delle porte da controller di dominio e server DNS al gateway ATA e/o
  • Distribuzione di un gateway ATA Lightweight direttamente nei controller di dominio

ATA acquisisce informazioni da diverse origini, ad esempio log ed eventi nella rete, per apprendere il comportamento di utenti e altre entità all'interno dell'organizzazione e creare un profilo di comportamento in base ai dati raccolti. ATA può ricevere eventi e registri da:

  • Integrazione con SIEM
  • Inoltro degli eventi di Windows
  • Direttamente da Raccolta eventi Windows, per il gateway Lightweight

Per altre informazioni sull'architettura di ATA, vedere Architettura di ATA.

Funzioni svolte da ATA

La tecnologia ATA rileva più attività sospette, concentrandosi su alcune fasi della kill chain dell'attacco informatico, tra cui:

  • Ricognizione, durante la quale gli utenti malintenzionati raccolgono informazioni sull'ambiente, sui diversi asset e sulle entità esistenti. Si tratta in genere della fase in cui gli utenti malintenzionati pianificano le fasi successive dell'attacco.
  • Ciclo di movimento laterale. Durante questa fase, l'utente malintenzionato si dedica ad espandere la superficie dell'attacco all'interno della rete.
  • Dominanza (persistenza) del dominio. Durante questa fase, l'utente malintenzionato acquisisce le informazioni per poter riprendere l'attacco tramite vari set di punti di ingresso, credenziali e tecniche.

Queste fasi di un attacco informatico sono simili e prevedibili, indipendentemente dal tipo di azienda interessata o dal tipo di informazioni a cui mira l'attacco. ATA esegue la ricerca di tre tipi principali di attacchi: attacchi dannosi, comportamenti anomali, rischi e problemi di sicurezza.

Gli attacchi dannosi vengono rilevati in modo deterministico, ricercando l'elenco completo dei tipi di attacchi noti, tra cui:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • PAC contraffatta (MS14-068)
  • Golden Ticket
  • Repliche dannose
  • Esplorazione
  • Forza bruta
  • Esecuzione remota

Per l'elenco completo dei rilevamenti e delle relative descrizioni, vedere Minacce rilevate da ATA.

ATA rileva queste attività sospette e presenta le informazioni nella Console ATA indicando chiaramente gli autori, il tipo di attacco, i tempi e la modalità di esecuzione. Monitorando questo dashboard semplice e intuitivo, l'utente viene informato da ATA riguardo a un possibile attacco di tipo Pass-the-Ticket ai computer Client 1 e Client 2 nella rete.

pass-the-ticket di esempio per la schermata ATA.

I comportamenti anomali vengono rilevati da ATA usando funzionalità di analisi del comportamento e Machine Learning per individuare attività sospette e comportamenti anomali in utenti e dispositivi sulla rete, tra cui:

  • Accessi anomali
  • Minacce sconosciute
  • Condivisione di password
  • Spostamento laterale
  • Modifica di gruppi sensibili

È possibile visualizzare attività sospette di questo tipo nel dashboard di ATA. Nell'esempio seguente, ATA avvisa quando un utente accede a quattro computer a cui normalmente non esegue l'accesso, e questo può essere motivo di allarme.

esempio di comportamento anomalo dello schermo ATA.

ATA rileva inoltre rischi e problemi di sicurezza, tra cui:

  • Relazione di trust interrotta
  • Protocolli deboli
  • Vulnerabilità note dei protocolli

È possibile visualizzare attività sospette di questo tipo nel dashboard di ATA. Nell'esempio seguente ATA informa di aver rilevato una relazione di trust interrotta tra un computer nella rete e il dominio.

Schermata ATA di esempio non attendibile.

Problemi noti

  • Se si esegue l'aggiornamento ad ATA 1.7 e immediatamente dopo ad ATA 1.8 senza prima aggiornare i gateway ATA, non è possibile eseguire la migrazione ad ATA 1.8. È necessario per prima cosa aggiornare tutti i gateway alla versione 1.7.1 o 1.7.2 prima di aggiornare ATA Center alla versione 1.8.

  • Se si seleziona l'opzione per eseguire una migrazione completa, l'operazione potrebbe richiedere molto tempo, a seconda delle dimensioni del database. Quando si selezionano le opzioni di migrazione, viene visualizzato il tempo stimato. Prendere nota di tale stima prima di decidere l'opzione da selezionare.

Passaggi successivi

  • Per altre informazioni sulla modalità di integrazione ATA nella rete, vedere ATA architecture (Architettura ATA)

  • Per iniziare a distribuire ATA, vedere Install ATA (Installare ATA)

Vedere anche