Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Informazioni su Advanced Threat AnalyticsWhat is Advanced Threat Analytics?

Advanced Threat Analytics (ATA) è una piattaforma locale che consente di proteggere le aziende da diversi tipi di attacchi informatici mirati di livello avanzato e da minacce provenienti dall'interno.Advanced Threat Analytics (ATA) is an on-premises platform that helps protect your enterprise from multiple types of advanced targeted cyber attacks and insider threats.

Modalità di funzionamento di ATAHow ATA works

ATA si basa su un motore di analisi della rete proprietario per acquisire e analizzare il traffico di rete di più protocolli, quali ad esempio Kerberos, DNS, RPC, NTLM e altri, per l'autenticazione, l'autorizzazione e la raccolta di informazioni.ATA leverages a proprietary network parsing engine to capture and parse network traffic of multiple protocols (such as Kerberos, DNS, RPC, NTLM, and others) for authentication, authorization, and information gathering. L'acquisizione delle informazioni da parte di ATA avviene tramite:This information is collected by ATA via either:

  • Mirroring delle porte da controller di dominio e server DNS al gateway ATA e/oPort mirroring from Domain Controllers and DNS servers to the ATA Gateway and/or
  • Distribuzione di un gateway ATA Lightweight direttamente nei controller di dominioDeploying an ATA Lightweight Gateway (LGW) directly on Domain Controllers

ATA acquisisce informazioni da diverse origini, come ad esempio registri ed eventi nella rete, per apprendere il comportamento di utenti e altre entità all'interno dell'organizzazione e creare un profilo di comportamento in base ai dati raccolti.ATA takes information from multiple data-sources, such as logs and events in your network, to learn the behavior of users and other entities in the organization and build a behavioral profile about them. ATA può ricevere eventi e registri da:ATA can receive events and logs from:

  • Integrazione con SIEMSIEM Integration
  • Inoltro degli eventi di WindowsWindows Event Forwarding (WEF)
  • Direttamente da Raccolta eventi Windows, per il gateway LightweightDirectly from the Windows Event Collector (for the Lightweight Gateway)

Per altre informazioni, vedere Architettura di ATA.For more information on ATA architecture, see ATA Architecture.

Funzioni svolte da ATAWhat does ATA do?

La tecnologia ATA rileva più attività sospette, concentrandosi su alcune fasi della kill chain dell'attacco informatico, tra cui:ATA technology detects multiple suspicious activities, focusing on several phases of the cyber-attack kill chain including:

  • Ricognizione, durante la quale gli utenti malintenzionati raccolgono informazioni sull'ambiente, sui diversi asset e sulle entità esistenti.Reconnaissance, during which attackers gather information on how the environment is built, what the different assets are, and which entities exist. Questa è la fase in cui viene in genere elaborato il piano per le fasi successive dell'attacco.They generally building their plan for the next phases of the attack.
  • Ciclo di movimento laterale. Durante questa fase, l'utente malintenzionato si dedica ad espandere la superficie dell'attacco all'interno della rete.Lateral movement cycle, during which an attacker invests time and effort in spreading their attack surface inside your network.
  • Dominanza (persistenza) del dominio. Durante questa fase, l'utente malintenzionato acquisisce le informazioni per poter riprendere l'attacco tramite vari set di punti di ingresso, credenziali e tecniche.Domain dominance (persistence), during which an attacker captures the information allowing them to resume their campaign using various sets of entry points, credentials, and techniques.

Queste fasi di un attacco informatico sono simili e prevedibili, indipendentemente dal tipo di azienda interessata o dal tipo di informazioni a cui mira l'attacco.These phases of a cyber attack are similar and predictable, no matter what type of company is under attack or what type of information is being targeted. ATA esegue la ricerca di tre tipi principali di attacchi: attacchi dannosi, comportamenti anomali, rischi e problemi di sicurezza.ATA searches for three main types of attacks: Malicious attacks, abnormal behavior, and security issues and risks.

Gli attacchi dannosi vengono rilevati in modo deterministico, ricercando l'elenco completo dei tipi di attacchi noti, tra cui:Malicious attacks are detected deterministically, by looking for the full list of known attack types including:

  • Pass-the-Ticket (PtT)Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)Pass-the-Hash (PtH)
  • Overpass-the-HashOverpass-the-Hash
  • PAC contraffatta (MS14-068)Forged PAC (MS14-068)
  • Golden TicketGolden Ticket
  • Repliche dannoseMalicious replications
  • EsplorazioneReconnaissance
  • Forza brutaBrute Force
  • Esecuzione remotaRemote execution

Per l'elenco completo dei rilevamenti e delle relative descrizioni, vedere Minacce rilevate da ATA.For a complete list of the detections and their descriptions, see What Suspicious Activities Can ATA detect?.

ATA rileva queste attività sospette e presenta le informazioni nella Console ATA indicando chiaramente gli autori, il tipo di attacco, i tempi e la modalità di esecuzione.ATA detects these suspicious activities and surfaces the information in the ATA Console including a clear view of Who, What, When and How. Controllando il dashboard semplice e intuitivo, l'utente viene informato da ATA riguardo a un possibile attacco di tipo Pass-the-Ticket ai computer Client 1 e Client 2 nella rete.As you can see, by monitoring this simple, user-friendly dashboard, you are alerted that ATA suspects that a Pass-the-Ticket attack was attempted on Client 1 and Client 2 computers in your network.

Schermata ATA di esempio: Pass-the-Ticket

I comportamenti anomali vengono rilevati da ATA usando funzionalità di analisi del comportamento e Machine Learning per individuare attività sospette e comportamenti anomali in utenti e dispositivi sulla rete, tra cui:Abnormal behavior is detected by ATA using behavioral analytics and leveraging Machine Learning to uncover questionable activities and abnormal behavior in users and devices in your network, including:

  • Accessi anomaliAnomalous logins
  • Minacce sconosciuteUnknown threats
  • Condivisione di passwordPassword sharing
  • Movimento lateraleLateral movement
  • Modifica di gruppi sensibiliModification of sensitive groups

È possibile visualizzare attività sospette di questo tipo nel dashboard di ATA.You can view suspicious activities of this type in the ATA Dashboard. Nell'esempio seguente, ATA avvisa quando un utente accede a quattro computer a cui normalmente non esegue l'accesso, e questo può essere motivo di allarme.In the following example, ATA alerts you when a user accesses four computers that are not ordinarily accessed by this user, which could be a cause for alarm.

Schermata ATA di esempio - Comportamento anomalo

ATA rileva inoltre rischi e problemi di sicurezza, tra cui:ATA also detects security issues and risks, including:

  • Relazione di trust interrottaBroken trust
  • Protocolli deboliWeak protocols
  • Vulnerabilità note dei protocolliKnown protocol vulnerabilities

È possibile visualizzare attività sospette di questo tipo nel dashboard di ATA.You can view suspicious activities of this type in the ATA Dashboard. Nell'esempio seguente ATA informa di aver rilevato una relazione di trust interrotta tra un computer nella rete e il dominio.In the following example, ATA is letting you know that there is a broken trust relationship between a computer in your network and the domain.

Schermata ATA di esempio - Relazione di trust interrotta

Problemi notiKnown issues

  • Se si esegue l'aggiornamento ad ATA 1.7 e immediatamente dopo ad ATA 1.8 senza prima aggiornare i gateway ATA, non è possibile eseguire la migrazione ad ATA 1.8.If you update to ATA 1.7 and immediately to ATA 1.8, without first updating the ATA Gateways, you cannot migrate to ATA 1.8. È necessario per prima cosa aggiornare tutti i gateway alla versione 1.7.1 o 1.7.2 prima di aggiornare ATA Center alla versione 1.8.It is necessary to first update all of the Gateways to version 1.7.1 or 1.7.2 before updating the ATA Center to version 1.8.

  • Se si seleziona l'opzione per eseguire una migrazione completa, l'operazione potrebbe richiedere molto tempo, a seconda delle dimensioni del database.If you select the option to perform a full migration, it may take a very long time, depending on the database size. Quando si selezionano le opzioni di migrazione, viene visualizzato il tempo stimato. Prendere nota di tale stima prima di decidere l'opzione da selezionare.When you are selecting your migration options, the estimated time is displayed - make note of this before you decide which option to select.

Passaggi successiviWhat's next?

  • Per altre informazioni sulla modalità di integrazione ATA nella rete, vedere ATA architecture (Architettura ATA)For more information about how ATA fits into your network: ATA architecture

  • Per iniziare a distribuire ATA, vedere Install ATA (Installare ATA)To get started deploying ATA: Install ATA

Vedere ancheSee Also

ATA Suspicious Activity Playbook Consultare il forum di ATAATA suspicious activity playbook Check out the ATA forum!