Wat is Advanced Threat Analytics?

Van toepassing op: Advanced Threat Analytics versie 1.9

Advanced Threat Analytics (ATA) is een on-premises platform waarmee uw bedrijf wordt beschermd tegen meerdere soorten geavanceerde, gerichte cyberaanvallen en bedreigingen van binnenuit.

Notitie

Ondersteuningslevenscyclus

De definitieve release van ATA is algemeen beschikbaar. ATA Mainstream Support is beëindigd op 12 januari 2021. Uitgebreide ondersteuning wordt voortgezet tot januari 2026. Lees onze blog voor meer informatie.

Hoe ATA werkt

ATA maakt gebruik van een eigen netwerkparseringsengine voor het vastleggen en parseren van netwerkverkeer van meerdere protocollen (zoals Kerberos, DNS, RPC, NTLM en andere) voor verificatie, autorisatie en informatieverzameling. Deze informatie wordt door ATA verzameld via:

  • Poortspiegeling van domeincontrollers en DNS-servers naar de ATA Gateway en/of
  • Het rechtstreeks implementeren van een ATA Lightweight Gateway (LGW) op domeincontrollers

ATA haalt informatie op uit meerdere gegevensbronnen, zoals logboeken en gebeurtenissen in uw netwerk, om het gedrag van gebruikers en andere entiteiten in de organisatie te leren en een gedragsprofiel over hen te bouwen. ATA ontvangt gebeurtenisinformatie en logboeken van:

  • SIEM-integratie
  • Windows Event Forwarding (WEF)
  • Rechtstreeks uit Windows Event Collector (voor de Lightweight-gateway)

Zie ATA-architectuur voor meer informatie over ATA-architectuur.

Wat doet ATA?

Met de ATA-technologie worden meerdere verdachte activiteiten gedetecteerd, gericht op verschillende fasen van het bestrijdingsproces voor cyberaanvallen, waaronder:

  • Reconnaissance, waarbij aanvallers informatie verzamelen over hoe de omgeving wordt gebouwd, wat de verschillende assets zijn en welke entiteiten bestaan. Normaal gesproken bouwen aanvallers plannen voor hun volgende aanvallen.
  • Lateral movement-cyclus, waarbij een aanvaller tijd en moeite steekt in het vergroten van het aanvalsbereik in uw netwerk.
  • Domeindominantie (persistentie), waarbij een aanvaller de informatie vastlegt waarmee ze hun campagne kunnen hervatten met behulp van verschillende sets toegangspunten, referenties en technieken.

De fasen van een cyberaanval zijn altijd vergelijkbaar en voorspelbaar, welk bedrijf dan ook wordt aangevallen of welke informatie dan ook wordt gestolen. ATA zoekt naar drie hoofdtypen aanvallen: schadelijke aanvallen, abnormaal gedrag en beveiligingsproblemen en risico's.

Aanvallen van buitenaf worden deterministisch gedetecteerd door te zoeken naar alle soorten bekende aanvallen, waaronder:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Forged PAC (MS14-068)
  • Golden Ticket
  • Schadelijke replicaties
  • Reconnaissance
  • Beveiligingsaanval
  • Uitvoering op afstand

Zie What Suspicious Activities Can ATA detect?voor een volledige lijst met de detecties en de bijbehorende beschrijvingen.

ATA detecteert deze verdachte activiteiten en toont de informatie in de ATA Console, met een duidelijk overzicht van wie, wat, wanneer en hoe. Zoals u kunt zien, door dit eenvoudige, gebruiksvriendelijke dashboard te bewaken, wordt u gewaarschuwd dat ATA vermoedt dat er een Pass-the-Ticket-aanval is geprobeerd op client 1- en client 2-computers in uw netwerk.

voorbeeld van het ATA-scherm pass-the-ticket.

Abnormaal gedrag wordt door ATA gedetecteerd met gedragsanalyses. Machine Learning wordt gebruikt om verdachte activiteiten en abnormaal gedrag van gebruikers en apparaten in uw netwerk te herkennen, waaronder:

  • Afwijkende aanmeldingen
  • Onbekende bedreigingen
  • Wachtwoord delen
  • Zijwaartse beweging
  • Wijziging van gevoelige groepen

U kunt verdachte activiteiten van dit type in het ATA Dashboard bekijken. In het volgende voorbeeld waarschuwt ATA u wanneer een gebruiker vier computers opent die normaal gesproken niet toegankelijk zijn voor deze gebruiker, wat een oorzaak kan zijn van alarm.

voorbeeld van abnormaal gedrag van ATA-scherm.

ATA detecteert ook beveiligingsproblemen en -risico’s, waaronder:

  • Broken trust
  • Zwakke protocollen
  • Bekende zwakke plekken in het protocol

U kunt verdachte activiteiten van dit type in het ATA Dashboard bekijken. In het volgende voorbeeld toont ATA u dat er sprake is van een broken trust-relatie tussen een computer in uw netwerk en het domein.

voorbeeld van een verbroken ATA-schermvertrouwen.

Bekende problemen

  • Als u bijwerkt naar ATA 1.7 en onmiddellijk naar ATA 1.8, zonder eerst de ATA-gateways bij te werken, kunt u niet migreren naar ATA 1.8. U moet eerst alle gateways bijwerken naar versie 1.7.1 of 1.7.2 voordat u ATA Center naar versie 1.8 bijwerkt.

  • Als u ervoor kiest een volledige migratie uit te voeren, kan dit zeer lang duren, afhankelijk van de grootte van de database. Wanneer u de migratieopties selecteert, wordt de geschatte tijd weergegeven. Noteer dit voordat u besluit welke optie u wilt selecteren.

Volgende stappen

Zie ook