Wat is Advanced Threat Analytics?What is Advanced Threat Analytics?

Van toepassing op: Advanced Threat Analytics versie 1,9Applies to: Advanced Threat Analytics version 1.9

Advanced Threat Analytics (ATA) is een on-premises platform waarmee uw bedrijf wordt beschermd tegen meerdere soorten geavanceerde, gerichte cyberaanvallen en bedreigingen van binnenuit.Advanced Threat Analytics (ATA) is an on-premises platform that helps protect your enterprise from multiple types of advanced targeted cyber attacks and insider threats.

Hoe ATA werktHow ATA works

ATA maakt gebruik van een eigen engine voor het parseren van netwerken voor het vastleggen en parseren van netwerk verkeer van meerdere protocollen (zoals Kerberos, DNS, RPC, NTLM en andere) voor verificatie, autorisatie en het verzamelen van informatie.ATA leverages a proprietary network parsing engine to capture and parse network traffic of multiple protocols (such as Kerberos, DNS, RPC, NTLM, and others) for authentication, authorization, and information gathering. Deze informatie wordt door ATA verzameld via:This information is collected by ATA via:

  • Poortspiegeling van domeincontrollers en DNS-servers naar de ATA Gateway en/ofPort mirroring from Domain Controllers and DNS servers to the ATA Gateway and/or
  • Het rechtstreeks implementeren van een ATA Lightweight Gateway (LGW) op domeincontrollersDeploying an ATA Lightweight Gateway (LGW) directly on Domain Controllers

ATA haalt gegevens op uit meerdere gegevens bronnen, zoals Logboeken en gebeurtenissen in uw netwerk, om het gedrag van gebruikers en andere entiteiten in de organisatie te leren en een gedrags profiel voor hen samen te stellen.ATA takes information from multiple data-sources, such as logs and events in your network, to learn the behavior of users and other entities in the organization, and builds a behavioral profile about them. ATA ontvangt gebeurtenisinformatie en logboeken van:ATA can receive events and logs from:

  • SIEM-integratieSIEM Integration
  • Windows Event Forwarding (WEF)Windows Event Forwarding (WEF)
  • Rechtstreeks uit Windows Event Collector (voor de Lightweight-gateway)Directly from the Windows Event Collector (for the Lightweight Gateway)

Zie ATA-architectuurvoor meer informatie over de ATA-architectuur.For more information on ATA architecture, see ATA Architecture.

Wat doet ATA?What does ATA do?

Met de ATA-technologie worden meerdere verdachte activiteiten gedetecteerd, gericht op verschillende fasen van het bestrijdingsproces voor cyberaanvallen, waaronder:ATA technology detects multiple suspicious activities, focusing on several phases of the cyber-attack kill chain including:

  • Reconnaissance, waarbij aanvallers informatie verzamelen over hoe de omgeving is gebouwd, wat de verschillende assets zijn en welke entiteiten bestaan.Reconnaissance, during which attackers gather information on how the environment is built, what the different assets are, and which entities exist. Normaal gesp roken vormt een aanvaller plannen voor de volgende aanvals fasen.Typically, this is where attackers build plans for their next phases of attack.
  • Lateral movement-cyclus, waarbij een aanvaller tijd en moeite steekt in het vergroten van het aanvalsbereik in uw netwerk.Lateral movement cycle, during which an attacker invests time and effort in spreading their attack surface inside your network.
  • Domein dominantie (persistentie), waarbij een aanvaller de informatie vastlegt waarmee ze hun campagne kunnen hervatten met behulp van verschillende sets toegangs punten, referenties en technieken.Domain dominance (persistence), during which an attacker captures the information that allows them to resume their campaign using various sets of entry points, credentials, and techniques.

De fasen van een cyberaanval zijn altijd vergelijkbaar en voorspelbaar, welk bedrijf dan ook wordt aangevallen of welke informatie dan ook wordt gestolen.These phases of a cyber attack are similar and predictable, no matter what type of company is under attack or what type of information is being targeted. ATA zoekt naar drie belangrijkste typen aanvallen: kwaad aardige aanvallen, abnormaal gedrag en beveiligings problemen en risico's.ATA searches for three main types of attacks: Malicious attacks, abnormal behavior, and security issues and risks.

Aanvallen van buitenaf worden deterministisch gedetecteerd door te zoeken naar alle soorten bekende aanvallen, waaronder:Malicious attacks are detected deterministically, by looking for the full list of known attack types including:

  • Pass-the-Ticket (PtT)Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)Pass-the-Hash (PtH)
  • Overpass-the-HashOverpass-the-Hash
  • Forged PAC (MS14-068)Forged PAC (MS14-068)
  • Golden TicketGolden Ticket
  • Schadelijke replicatiesMalicious replications
  • ReconnaissanceReconnaissance
  • BeveiligingsaanvalBrute Force
  • Uitvoering op afstandRemote execution

Zie voor een volledige lijst met detecties en hun beschrijvingen wat verdachte activiteiten ATA-detectie kunnen?.For a complete list of the detections and their descriptions, see What Suspicious Activities Can ATA detect?.

ATA detecteert deze verdachte activiteiten en toont de informatie in de ATA Console, met een duidelijk overzicht van wie, wat, wanneer en hoe.ATA detects these suspicious activities and surfaces the information in the ATA Console including a clear view of Who, What, When and How. Zoals u ziet, wordt u gewaarschuwd als u dit eenvoudige, gebruiks vriendelijke dash board bewaakt. er wordt een waarschuwing weer gegeven dat ATA een Pass-the-ticket-aanval heeft uitgevoerd op client 1-en client 2-computers in uw netwerk.As you can see, by monitoring this simple, user-friendly dashboard, you are alerted that ATA suspects a Pass-the-Ticket attack was attempted on Client 1 and Client 2 computers in your network.

Voorbeeld van ATA-scherm bij Pass-the-Ticket

Abnormaal gedrag wordt door ATA gedetecteerd met gedragsanalyses. Machine Learning wordt gebruikt om verdachte activiteiten en abnormaal gedrag van gebruikers en apparaten in uw netwerk te herkennen, waaronder:Abnormal behavior is detected by ATA using behavioral analytics and leveraging Machine Learning to uncover questionable activities and abnormal behavior in users and devices in your network, including:

  • Afwijkende aanmeldingenAnomalous logins
  • Onbekende bedreigingenUnknown threats
  • Wachtwoord delenPassword sharing
  • Zijwaartse bewegingLateral movement
  • Wijziging van gevoelige groepenModification of sensitive groups

U kunt verdachte activiteiten van dit type in het ATA Dashboard bekijken.You can view suspicious activities of this type in the ATA Dashboard. In het volgende voor beeld wordt u door ATA gewaarschuwd wanneer een gebruiker vier computers opent die normaal gesp roken niet worden gebruikt door deze gebruiker. Dit kan een oorzaak zijn van een waarschuwing.In the following example, ATA alerts you when a user accesses four computers that are not ordinarily accessed by this user, which could be a cause for alarm.

Voorbeeld van ATA-scherm bij abnormaal gedrag

ATA detecteert ook beveiligingsproblemen en -risico’s, waaronder:ATA also detects security issues and risks, including:

  • Broken trustBroken trust
  • Zwakke protocollenWeak protocols
  • Bekende zwakke plekken in het protocolKnown protocol vulnerabilities

U kunt verdachte activiteiten van dit type in het ATA Dashboard bekijken.You can view suspicious activities of this type in the ATA Dashboard. In het volgende voorbeeld toont ATA u dat er sprake is van een broken trust-relatie tussen een computer in uw netwerk en het domein.In the following example, ATA is letting you know that there is a broken trust relationship between a computer in your network and the domain.

Voorbeeld van ATA-scherm bij broken trust

Bekende problemenKnown issues

  • Als u bijwerkt naar ATA 1,7 en direct op ATA 1,8 zonder eerst de ATA-gateways bij te werken, kunt u niet migreren naar ATA 1,8.If you update to ATA 1.7 and immediately to ATA 1.8, without first updating the ATA Gateways, you cannot migrate to ATA 1.8. U moet eerst alle gateways bijwerken naar versie 1.7.1 of 1.7.2 voordat u ATA Center naar versie 1.8 bijwerkt.It is necessary to first update all of the Gateways to version 1.7.1 or 1.7.2 before updating the ATA Center to version 1.8.

  • Als u ervoor kiest een volledige migratie uit te voeren, kan dit zeer lang duren, afhankelijk van de grootte van de database.If you select the option to perform a full migration, it may take a very long time, depending on the database size. Wanneer u de migratie opties selecteert, wordt de geschatte tijd weer gegeven. Noteer deze voordat u besluit welke optie u wilt selecteren.When you are selecting your migration options, the estimated time is displayed - make note of this before you decide which option to select.

Volgende stappenWhat's next?

Zie ookSee Also

Verdachte activiteit van de ATA-Playbook Bekijk het ATA-forum.ATA suspicious activity playbook Check out the ATA forum!