Co to jest usługa Advanced Threat Analytics?What is Advanced Threat Analytics?

Dotyczy: Advanced Threat Analytics w wersji 1,9Applies to: Advanced Threat Analytics version 1.9

Usługa Advanced Threat Analytics (ATA) jest lokalną platformą, która pomaga chronić przedsiębiorstwo przed wieloma rodzajami zaawansowanych, ukierunkowanych ataków cybernetycznych oraz zagrożeniami wewnętrznymi.Advanced Threat Analytics (ATA) is an on-premises platform that helps protect your enterprise from multiple types of advanced targeted cyber attacks and insider threats.

Działanie usługi ATAHow ATA works

Usługa ATA wykorzystuje własny aparat analizy sieci do przechwytywania i analizowania ruchu sieciowego wielu protokołów (takich jak Kerberos, DNS, RPC, NTLM i inne) do uwierzytelniania, autoryzacji i zbierania informacji.ATA leverages a proprietary network parsing engine to capture and parse network traffic of multiple protocols (such as Kerberos, DNS, RPC, NTLM, and others) for authentication, authorization, and information gathering. Te informacje są zbierane przez usługę ATA przez:This information is collected by ATA via:

  • Dublowanie portów z kontrolerów domeny i serwerów DNS do bramy usługi ATA i/lubPort mirroring from Domain Controllers and DNS servers to the ATA Gateway and/or
  • Wdrażanie bramy ATA Lightweight Gateway (LGW) bezpośrednio na kontrolerach domenyDeploying an ATA Lightweight Gateway (LGW) directly on Domain Controllers

Usługi ATA pobierają informacje z wielu źródeł danych, takich jak dzienniki i zdarzenia w sieci, aby poznać zachowanie użytkowników i innych jednostek w organizacji, a także tworzy profil behawioralny.ATA takes information from multiple data-sources, such as logs and events in your network, to learn the behavior of users and other entities in the organization, and builds a behavioral profile about them. Usługa ATA może odbierać zdarzenia i dzienniki z następujących źródeł:ATA can receive events and logs from:

  • Integracja rozwiązań SIEMSIEM Integration
  • Przesyłanie dalej zdarzeń systemu Windows (WEF)Windows Event Forwarding (WEF)
  • Bezpośrednio z kolektora zdarzeń systemu Windows (w przypadku bramy uproszczonej)Directly from the Windows Event Collector (for the Lightweight Gateway)

Aby uzyskać więcej informacji na temat architektury usługi ATA, zobacz Architektura usługi ATA.For more information on ATA architecture, see ATA Architecture.

Jakie zadania wykonuje usługa ATA?What does ATA do?

Technologia ATA wykrywa wiele podejrzanych działań, skupiając się na poszczególnych fazach ataku cybernetycznego typu kill chain, takich jak:ATA technology detects multiple suspicious activities, focusing on several phases of the cyber-attack kill chain including:

  • Rekonesans, podczas którego osoby atakujące zbierają informacje dotyczące sposobu, w jaki środowisko zostało skompilowane, jakie są różne zasoby i jakie jednostki istnieją.Reconnaissance, during which attackers gather information on how the environment is built, what the different assets are, and which entities exist. Zwykle jest to miejsce, w którym atakujący kompiluje plany na kolejne etapy ataku.Typically, this is where attackers build plans for their next phases of attack.
  • Cykl penetracji sieci, podczas którego osoby atakujące inwestują czas i wysiłek w rozszerzanie obszaru ataku wewnątrz sieci.Lateral movement cycle, during which an attacker invests time and effort in spreading their attack surface inside your network.
  • Dominacja domeny (trwałość), w trakcie której osoba atakująca przechwytuje informacje umożliwiające im wznowienie kampanii przy użyciu różnych zestawów punktów wejścia, poświadczeń i technik.Domain dominance (persistence), during which an attacker captures the information that allows them to resume their campaign using various sets of entry points, credentials, and techniques.

Te fazy ataku cybernetycznego są podobne i przewidywalne, niezależnie od tego, jakiego rodzaju firma jest atakowana ani jakiego typu informacje są celem ataku.These phases of a cyber attack are similar and predictable, no matter what type of company is under attack or what type of information is being targeted. Funkcja ATA wyszukuje trzy główne typy ataków: złośliwe ataki, nietypowe zachowanie i problemy z zabezpieczeniami oraz zagrożenia.ATA searches for three main types of attacks: Malicious attacks, abnormal behavior, and security issues and risks.

Złośliwe ataki są wykrywane w sposób deterministyczny, przez wyszukiwanie pełnej listy znanych typów ataków, która obejmuje:Malicious attacks are detected deterministically, by looking for the full list of known attack types including:

  • Ataki typu Pass-the-Ticket (PtT)Pass-the-Ticket (PtT)
  • Ataki typu Pass-the-Hash (PtH)Pass-the-Hash (PtH)
  • Ataki typu Overpass-the-HashOverpass-the-Hash
  • Sfałszowany element PAC (MS14-068)Forged PAC (MS14-068)
  • Sfałszowany bilet uwierzytelniania Golden TicketGolden Ticket
  • Złośliwe żądania replikacjiMalicious replications
  • RekonesansReconnaissance
  • Atak siłowyBrute Force
  • Zdalne wykonywanie koduRemote execution

Aby zapoznać się z pełną listą wykrywania i ich opisów, zobacz, jakie podejrzane działania mogą wykryć ATA?.For a complete list of the detections and their descriptions, see What Suspicious Activities Can ATA detect?.

Usługa ATA wykrywa te podejrzane działania i udostępnia informacje w konsoli ATA, w jasny sposób przedstawiając sprawcę, przedmiot, czas i sposób działania.ATA detects these suspicious activities and surfaces the information in the ATA Console including a clear view of Who, What, When and How. Jak widać, monitorując ten prosty, przyjazny dla użytkownika pulpit nawigacyjny, zostanie wyświetlony alert informujący, że usługa ATA podejrzewa, że podjęto próbę ataku typu Pass-the-bilet na komputerach klienckich 1 i klienta 2 w sieci.As you can see, by monitoring this simple, user-friendly dashboard, you are alerted that ATA suspects a Pass-the-Ticket attack was attempted on Client 1 and Client 2 computers in your network.

Przykładowy ekran usługi ATA z alertem dotyczącym ataku typu Pass-the-Ticket

Nietypowe zachowanie jest wykrywane przez usługę ATA dzięki analizie behawioralnej i wykorzystaniu uczenia maszynowego do wykrywania podejrzanych działań i nietypowych zachowań użytkowników i urządzeń w sieci, takich jak:Abnormal behavior is detected by ATA using behavioral analytics and leveraging Machine Learning to uncover questionable activities and abnormal behavior in users and devices in your network, including:

  • Nietypowe logowaniaAnomalous logins
  • Nieznane zagrożeniaUnknown threats
  • Udostępnianie hasełPassword sharing
  • Ruch bocznyLateral movement
  • Modyfikacja wrażliwych grupModification of sensitive groups

Podejrzane działania tego typu można przeglądać na pulpicie nawigacyjnym usługi ATA.You can view suspicious activities of this type in the ATA Dashboard. W poniższym przykładzie usługi ATA ostrzega użytkownika, gdy użytkownik uzyskuje dostęp do czterech komputerów, które nie są zwykle używane przez tego użytkownika, co może być przyczyną alarmu.In the following example, ATA alerts you when a user accesses four computers that are not ordinarily accessed by this user, which could be a cause for alarm.

Przykładowy ekran usługi ATA z informacją o nietypowym zachowaniu

Usługa ATA wykrywa także problemy dotyczące zabezpieczeń i czynniki ryzyka, takie jak:ATA also detects security issues and risks, including:

  • Zerwanie relacji zaufaniaBroken trust
  • Słabe protokołyWeak protocols
  • Znane luki w zabezpieczeniach protokołówKnown protocol vulnerabilities

Podejrzane działania tego typu można przeglądać na pulpicie nawigacyjnym usługi ATA.You can view suspicious activities of this type in the ATA Dashboard. W poniższym przykładzie usługa ATA informuje, że istnieje zerwana relacja zaufania między komputerem w sieci a domeną.In the following example, ATA is letting you know that there is a broken trust relationship between a computer in your network and the domain.

Przykładowy ekran usługi ATA przedstawiający zerwanie relacji zaufania

Znane problemyKnown issues

  • W przypadku aktualizacji do usługi ATA 1,7 i natychmiastowej usługi ATA 1,8 bez wcześniejszego zaktualizowania bram usługi ATA nie można migrować do usługi ATA 1,8.If you update to ATA 1.7 and immediately to ATA 1.8, without first updating the ATA Gateways, you cannot migrate to ATA 1.8. Należy najpierw zaktualizować wszystkie bramy do wersji 1.7.1 lub 1.7.2 przed aktualizowaniem centrum usługi ATA do wersji 1.8.It is necessary to first update all of the Gateways to version 1.7.1 or 1.7.2 before updating the ATA Center to version 1.8.

  • Jeśli wybierzesz opcję pełnej migracji, może ona potrwać bardzo długo w zależności od rozmiaru bazy danych.If you select the option to perform a full migration, it may take a very long time, depending on the database size. Po wybraniu opcji migracji szacowany czas jest wyświetlany — Zanotuj to przed podjęciem decyzji, którą opcję wybrać.When you are selecting your migration options, the estimated time is displayed - make note of this before you decide which option to select.

Co dalej?What's next?

Zobacz teżSee Also

Podejrzane działanie usługi ATA element PlayBook Zapoznaj się z forum usługi ATA!ATA suspicious activity playbook Check out the ATA forum!