Wat is Advanced Threat Analytics?What is Advanced Threat Analytics?

Van toepassing op: Advanced Threat Analytics versie 1.9Applies to: Advanced Threat Analytics version 1.9

Advanced Threat Analytics (ATA) is een on-premises platform waarmee uw bedrijf wordt beschermd tegen meerdere soorten geavanceerde, gerichte cyberaanvallen en bedreigingen van binnenuit.Advanced Threat Analytics (ATA) is an on-premises platform that helps protect your enterprise from multiple types of advanced targeted cyber attacks and insider threats.

Hoe ATA werktHow ATA works

ATA maakt gebruik van een eigen netwerkparseerengine om te leggen en parseren van netwerkverkeer van meerdere protocollen (zoals Kerberos, DNS, RPC, NTLM en andere) voor verificatie, autorisatie en verzamelen van informatie.ATA leverages a proprietary network parsing engine to capture and parse network traffic of multiple protocols (such as Kerberos, DNS, RPC, NTLM, and others) for authentication, authorization, and information gathering. Deze informatie wordt door ATA verzameld via:This information is collected by ATA via:

  • Poortspiegeling van domeincontrollers en DNS-servers naar de ATA Gateway en/ofPort mirroring from Domain Controllers and DNS servers to the ATA Gateway and/or
  • Het rechtstreeks implementeren van een ATA Lightweight Gateway (LGW) op domeincontrollersDeploying an ATA Lightweight Gateway (LGW) directly on Domain Controllers

ATA haalt gegevens op uit meerdere gegevensbronnen, zoals Logboeken en gebeurtenissen in uw netwerk, voor meer informatie over het gedrag van gebruikers en andere partijen in de organisatie, en maakt een gedragsalgoritmen profiel informatie hierover.ATA takes information from multiple data-sources, such as logs and events in your network, to learn the behavior of users and other entities in the organization, and builds a behavioral profile about them. ATA ontvangt gebeurtenisinformatie en logboeken van:ATA can receive events and logs from:

  • SIEM-integratieSIEM Integration
  • Windows Event Forwarding (WEF)Windows Event Forwarding (WEF)
  • Rechtstreeks uit Windows Event Collector (voor de Lightweight-gateway)Directly from the Windows Event Collector (for the Lightweight Gateway)

Zie voor meer informatie over de ATA-architectuur, ATA-architectuur.For more information on ATA architecture, see ATA Architecture.

Wat doet ATA?What does ATA do?

Met de ATA-technologie worden meerdere verdachte activiteiten gedetecteerd, gericht op verschillende fasen van het bestrijdingsproces voor cyberaanvallen, waaronder:ATA technology detects multiple suspicious activities, focusing on several phases of the cyber-attack kill chain including:

  • Reconnaissance, waarbij aanvallers informatie verzamelen over hoe de omgeving is opgebouwd en welke verschillende middelen zijn en welke entiteiten bestaan.Reconnaissance, during which attackers gather information on how the environment is built, what the different assets are, and which entities exist. Dit is meestal waarbij aanvallers plannen maken voor de volgende fasen van een aanval.Typically, this is where attackers build plans for their next phases of attack.
  • Lateral movement-cyclus, waarbij een aanvaller tijd en moeite steekt in het vergroten van het aanvalsbereik in uw netwerk.Lateral movement cycle, during which an attacker invests time and effort in spreading their attack surface inside your network.
  • Domeindominantie (persistentie), waarbij een aanvaller de informatie vastlegt waarmee ze hun campagne met behulp van verschillende sets van toegangspunten, referenties en technieken te hervatten.Domain dominance (persistence), during which an attacker captures the information that allows them to resume their campaign using various sets of entry points, credentials, and techniques.

De fasen van een cyberaanval zijn altijd vergelijkbaar en voorspelbaar, welk bedrijf dan ook wordt aangevallen of welke informatie dan ook wordt gestolen.These phases of a cyber attack are similar and predictable, no matter what type of company is under attack or what type of information is being targeted. ATA zoekt naar drie belangrijkste typen aanvallen: Aanvallen van buitenaf, abnormaal gedrag en beveiligingsproblemen en risico's.ATA searches for three main types of attacks: Malicious attacks, abnormal behavior, and security issues and risks.

Aanvallen van buitenaf worden deterministisch gedetecteerd door te zoeken naar alle soorten bekende aanvallen, waaronder:Malicious attacks are detected deterministically, by looking for the full list of known attack types including:

  • Pass-the-Ticket (PtT)Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)Pass-the-Hash (PtH)
  • Overpass-the-HashOverpass-the-Hash
  • Forged PAC (MS14-068)Forged PAC (MS14-068)
  • Golden TicketGolden Ticket
  • Schadelijke replicatiesMalicious replications
  • ReconnaissanceReconnaissance
  • BeveiligingsaanvalBrute Force
  • Uitvoering op afstandRemote execution

Zie voor een volledige lijst van de detecties en beschrijvingen, wat verdachte activiteiten kan ATA detecteren?.For a complete list of the detections and their descriptions, see What Suspicious Activities Can ATA detect?.

ATA detecteert deze verdachte activiteiten en toont de informatie in de ATA Console, met een duidelijk overzicht van wie, wat, wanneer en hoe.ATA detects these suspicious activities and surfaces the information in the ATA Console including a clear view of Who, What, When and How. Zoals u zien kunt, door de bewaking van deze eenvoudige, gebruiksvriendelijke dashboard u vermoedt dat ATA een Pass-the-Ticket-aanval is uitgevoerd op de Client 1- en Client 2-computers in uw netwerk.As you can see, by monitoring this simple, user-friendly dashboard, you are alerted that ATA suspects a Pass-the-Ticket attack was attempted on Client 1 and Client 2 computers in your network.

Voorbeeld van ATA-scherm bij Pass-the-Ticket

Abnormaal gedrag wordt door ATA gedetecteerd met gedragsanalyses. Machine Learning wordt gebruikt om verdachte activiteiten en abnormaal gedrag van gebruikers en apparaten in uw netwerk te herkennen, waaronder:Abnormal behavior is detected by ATA using behavioral analytics and leveraging Machine Learning to uncover questionable activities and abnormal behavior in users and devices in your network, including:

  • Afwijkende aanmeldingenAnomalous logins
  • Onbekende bedreigingenUnknown threats
  • Wachtwoord delenPassword sharing
  • Lateral movementLateral movement
  • Wijziging van gevoelige groepenModification of sensitive groups

U kunt verdachte activiteiten van dit type in het ATA Dashboard bekijken.You can view suspicious activities of this type in the ATA Dashboard. In het volgende voorbeeld, stuurt ATA een waarschuwing wanneer een gebruiker vier computers die normaal niet door deze gebruiker, die mogelijk de oorzaak voor waarschuwingen.In the following example, ATA alerts you when a user accesses four computers that are not ordinarily accessed by this user, which could be a cause for alarm.

Voorbeeld van ATA-scherm bij abnormaal gedrag

ATA detecteert ook beveiligingsproblemen en -risico’s, waaronder:ATA also detects security issues and risks, including:

  • Broken trustBroken trust
  • Zwakke protocollenWeak protocols
  • Bekende zwakke plekken in het protocolKnown protocol vulnerabilities

U kunt verdachte activiteiten van dit type in het ATA Dashboard bekijken.You can view suspicious activities of this type in the ATA Dashboard. In het volgende voorbeeld toont ATA u dat er sprake is van een broken trust-relatie tussen een computer in uw netwerk en het domein.In the following example, ATA is letting you know that there is a broken trust relationship between a computer in your network and the domain.

Voorbeeld van ATA-scherm bij broken trust

Bekende problemenKnown issues

  • Als u bijwerkt naar ATA 1.7 en onmiddellijk naar ATA 1.8 zonder eerst de ATA-Gateways worden bijgewerkt, kunt u niet migreren naar ATA 1.8.If you update to ATA 1.7 and immediately to ATA 1.8, without first updating the ATA Gateways, you cannot migrate to ATA 1.8. U moet eerst alle gateways bijwerken naar versie 1.7.1 of 1.7.2 voordat u ATA Center naar versie 1.8 bijwerkt.It is necessary to first update all of the Gateways to version 1.7.1 or 1.7.2 before updating the ATA Center to version 1.8.

  • Als u ervoor kiest een volledige migratie uit te voeren, kan dit zeer lang duren, afhankelijk van de grootte van de database.If you select the option to perform a full migration, it may take a very long time, depending on the database size. Als u uw migratieopties kiest, wordt de geschatte tijdsduur weergegeven - Maak notitie van deze voordat u welke optie besluit te selecteren.When you are selecting your migration options, the estimated time is displayed - make note of this before you decide which option to select.

Volgende stappenWhat's next?

Zie ookSee Also

ATA verdachte activiteit playbook Bekijk het ATA-forum.ATA suspicious activity playbook Check out the ATA forum!