O que é o Advanced Threat Analytics?

Aplica-se a: Advanced Threat Analytics versão 1.9

O Advanced Threat Analytics (ATA) é uma plataforma no local que ajuda a proteger a sua empresa de vários tipos de ataques informáticos direcionados avançados.

Nota

Ciclo de vida do suporte

A versão final da ATA está geralmente disponível. O Apoio Mainstream da ATA terminou em 12 de janeiro de 2021. O Apoio Alargado continuará até janeiro de 2026. Para mais informações, leia o nosso blog.

Como funciona o ATA

A ATA aproveita um motor de análise de rede proprietário para capturar e analisar o tráfego de rede de múltiplos protocolos (como Kerberos, DNS, RPC, NTLM, entre outros) para autenticação, autorização e recolha de informação. Estas informações são recolhidas pelo ATA via:

  • Espelhamento de porta dos Controladores de Domínio e dos servidores DNS para o ATA Gateway e/ou
  • Implementação de um ATA Lightweight Gateway (LGW) diretamente em Controladores de Domínio

A ATA retira informações de várias fontes de dados, como registos e eventos na sua rede, para aprender o comportamento dos utilizadores e de outras entidades na organização, e constrói um perfil comportamental sobre eles. O ATA pode receber eventos e registos de:

  • Integração do SIEM
  • Reencaminhamento de Eventos do Windows (WEF)
  • Diretamente do Recoletor de Eventos do Windows (para o Lightweight Gateway)

Para mais informações sobre arquitetura ATA, consulte ATA Architecture.

O que faz o ATA?

A tecnologia do ATA deteta várias atividades suspeitas, centrando-se em várias fases da cadeia de eliminação dos ataques informáticos, incluindo:

  • Reconhecimento, durante o qual os atacantes recolhem informações sobre como o ambiente é construído, quais são os diferentes ativos, e quais as entidades existentes. Normalmente, é aqui que os atacantes constroem planos para as próximas fases de ataque.
  • O ciclo de movimento lateral, durante o qual um atacante investe tempo e esforço propagando a respetiva superfície de ataque no interior da rede.
  • Domínio do domínio (persistência), durante o qual um intruso captura a informação que lhes permite retomar a sua campanha usando vários conjuntos de pontos de entrada, credenciais e técnicas.

Estas fases dos ataques informáticos são semelhantes e previsíveis, independentemente do tipo da empresa que está sob ataque ou que tipo de informações estão a ser visadas. A ATA procura três tipos principais de ataques: ataques maliciosos, comportamentos anormais e problemas de segurança e riscos.

Os Ataques maliciosos são detetados deterministicamente, procurando a lista completa dos tipos de ataques conhecidos, incluindo:

  • Passagem da Permissão (PtT)
  • Passagem do Hash (PtH)
  • Passagem Superior do Hash
  • PAC Falsificado (MS14-068)
  • Permissão Dourada
  • Replicações maliciosas
  • Reconhecimento
  • Força Bruta
  • Execução remota

Para obter uma lista completa das deteções e suas descrições, consulte o que as atividades suspeitas a ATA podem detetar?

O ATA deteta estes atividades suspeitas e apresenta as informações na ATA Console, incluindo uma vista clara de Quem, O Quê, Quando e Como. Como pode ver, ao monitorizar este simples painel de instrumentos, fácil de utilizar, é alertado de que a ATA suspeita que um ataque Pass-the-Ticket foi tentado nos computadores do Cliente 1 e do Cliente 2 na sua rede.

amostra de tela ATA passar o bilhete.

O comportamento anormal é detetado pelo ATA através da análise comportamental e tirando partido do Machine Learning para descobrir atividades questionáveis e comportamentos anormais nos utilizadores e dispositivos da sua rede, incluindo:

  • Inícios de sessão anómalos
  • Ameaças desconhecidas
  • Partilha de palavras-passe
  • Movimento lateral
  • Modificação de grupos confidenciais

Pode ver atividades suspeitas deste tipo no ATA Dashboard. No exemplo seguinte, a ATA alerta-o quando um utilizador acede a quatro computadores que não são normalmente acedidos por este utilizador, o que pode ser motivo de alarme.

amostra de comportamento anormal do ecrã ATA.

O ATA também deteta problemas de segurança e riscos, incluindo:

  • Confiança quebrada
  • Protocolos fracos
  • Vulnerabilidades de protocolos conhecidas

Pode ver atividades suspeitas deste tipo no ATA Dashboard. No exemplo seguinte, o ATA informa-o de que existe uma relação de confiança quebrada entre um computador na sua rede e o domínio.

amostra de tela ATA quebrada confiança.

Problemas conhecidos

  • Se atualizar para ATA 1.7 e imediatamente para ATA 1.8, sem atualizar primeiro os Gateways ATA, não poderá migrar para ATA 1.8. É necessário atualizar primeiro todos os Gateways para a versão 1.7.1 ou 1.7.2 antes de atualizar o ATA Center para a versão 1.8.

  • Se selecionar a opção para efetuar uma migração completa, poderá demorar muito tempo, consoante o tamanho da base de dados. Quando estiver a selecionar as suas opções de migração, o tempo estimado é apresentado - tome nota disso antes de decidir qual a opção a selecionar.

O que se segue?

Consulte também