Advanced Threat Analytics の概要

適用対象: Advanced Threat Analytics バージョン 1.9

Advanced Threat Analytics (ATA) は、対象とする複数の種類の高度なサイバー攻撃や内部関係者による脅威から、エンタープライズを保護できるようにするオンプレミスのプラットフォームです。

注意

サポート ライフサイクル

ATA の最終リリースは 一般公開されています。 ATA メインストリームサポートは、2021年1月12日に終了しました。 拡張サポートは、2026年1月まで継続されます。 詳細については、 ブログを参照してください。

ATA のしくみ

ATA は、独自のネットワーク解析エンジンを利用して、認証、承認、および情報収集を目的として複数のプロトコル (Kerberos、DNS、RPC、NTLM など) のネットワーク トラフィックを収集および解析します。 ATA はこの情報を次の方法で収集します。

  • ドメイン コントローラーおよび DNS サーバーから ATA ゲートウェイへのポート ミラーリング
  • ATA Lightweight Gateway (LGW) のドメイン コントローラーへの直接展開

ATA は、ネットワーク内のログやイベントなど、複数のデータソースから情報を収集して、ユーザーと組織の他のエンティティの動作を学習し、それらについて動作プロファイルを作成します。 ATA は、イベントおよびログを次から受け取ることができます。

  • SIEM 統合
  • Windows イベント転送 (WEF)
  • Windows イベント コレクターから直接 (ライトウェイト ゲートウェイの場合)

ATA アーキテクチャの詳細については、「ATA アーキテクチャ」を参照してください。

ATA が実行すること

ATA テクノロジでは、次のようなサイバー攻撃 kill チェーンの複数のフェーズに重点を置いて、複数の不審なアクティビティを検出します。

  • 偵察。環境のビルド方法や、さまざまな資産、存在するエンティティの情報について、攻撃者が収集するフェーズ。 通常、攻撃者はここから攻撃の次のフェーズに向けたプランを作成します。
  • 水平方向の活動サイクル。攻撃者がネットワーク内の攻撃対象領域を広げることに時間と労力を費やすフェーズ。
  • ドメインの支配 (永続化)。攻撃者がさまざまなエントリ ポイント、資格情報、および手法を使って活動を再開するための情報を収集するフェーズ。

サイバー攻撃のこれらのフェーズは、攻撃を受ける会社のタイプや対象となる情報の種類に関係なく、よく似ていて予測可能です。 ATA では、悪意のある攻撃、異常な動作、セキュリティの問題とリスクの 3 つの主な種類の攻撃を検索します。

悪意のある攻撃は、既知の攻撃の種類の完全な一覧を調べることで、確定的に検出されます。一覧には次の攻撃が含まれます。

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • 偽造 PAC (MS14 068)
  • ゴールデン チケット
  • 悪意のあるレプリケーション
  • 偵察
  • ブルート フォース
  • リモート実行

各種検出とその説明の完全な一覧は「What Suspicious Activities Can ATA detect? (ATA が検出できる疑わしいアクティビティ)」を参照してください。

ATA はこれらの疑わしいアクティビティを検出し、誰が、何を、いつ、どのように行ったかが明確に分かる情報を ATA コンソールに表示します。 この単純で使いやすいダッシュボードを監視するとわかるように、ATA は、ネットワーク上の Client 1 および Client 2 コンピューターに Pass-the-Ticket 攻撃が試行されたことを疑っています。

サンプル ATA 画面パススルーチケット。

異常な動作は、ATA が動作分析を使用し、ネットワーク内のユーザーとデバイスの不審なアクティビティや異常な動作を明らかにする機械学習を活用することで、検出されます。これには次の攻撃が含まれます。

  • 異常なログイン
  • 未知の脅威
  • パスワードの共有
  • 侵入拡大
  • 機密性の高いグループの変更

この種類の疑わしいアクティビティは、ATA ダッシュ ボードで確認できます。 次の例では、ユーザーが通常はアクセスしない 4 台のコンピューターにアクセスしたときに、ATA が通知しています。この行動はアラームの原因になる可能性があります。

サンプル ATA 画面の異常な動作。

ATA では、次のようなセキュリティの問題とリスクも検出します。

  • 信頼関係の消失
  • 脆弱なプロトコル
  • 既知のプロトコルの脆弱性

この種類の疑わしいアクティビティは、ATA ダッシュ ボードで確認できます。 次の例では、ネットワーク内のコンピューターとドメインの間の信頼関係が消失したことが、ATA によって示されています。

サンプル ATA 画面の信頼が壊れています。

既知の問題

  • ATA 1.7 に更新してからすぐに、ATA 1.8 に更新する場合、最初に ATA ゲートウェイを更新しないと、ATA 1.8 に移行することはできません。 ATA センターをバージョン 1.8 に更新する前に、すべてのゲートウェイをバージョン 1.7.1 または 1.7.2 に更新する必要があります。

  • 完全な移行を実行するオプションを選択した場合、データベースのサイズによっては、かなり時間がかかる場合があります。 移行オプションを選択すると、推定所要時間が表示されます。どのオプションを選択するかを決める前に、この時間をメモしてください。

次の内容

参照