O que é o Advanced Threat Analytics?What is Advanced Threat Analytics?

Aplica-se a: Advanced Threat Analytics versão 1.9Applies to: Advanced Threat Analytics version 1.9

O ATA (Advanced Threat Analytics) é uma plataforma local que ajuda a proteger sua empresa contra vários tipos de ataques cibernéticos avançados e ameaças internas.Advanced Threat Analytics (ATA) is an on-premises platform that helps protect your enterprise from multiple types of advanced targeted cyber attacks and insider threats.

Como o ATA funcionaHow ATA works

O ATA aproveita um mecanismo de análise de rede proprietário para capturar e analisar o tráfego de rede de vários protocolos (como Kerberos, DNS, RPC, NTLM entre outros) para autenticação, autorização e coleta de informações.ATA leverages a proprietary network parsing engine to capture and parse network traffic of multiple protocols (such as Kerberos, DNS, RPC, NTLM, and others) for authentication, authorization, and information gathering. Essas informações são coletadas pelo ATA por meio de:This information is collected by ATA via:

  • Espelhamento de porta de seus controladores de domínio e servidores DNS para o Gateway do ATA e/ouPort mirroring from Domain Controllers and DNS servers to the ATA Gateway and/or
  • Implantação de um LGW (Gateway Lightweight do ATA) diretamente nos Controladores de domínioDeploying an ATA Lightweight Gateway (LGW) directly on Domain Controllers

O ATA obtém informações de várias fontes de dados, como eventos e logs em sua rede, a fim de aprender o comportamento dos usuários e de outras entidades na organização e cria um perfil comportamental sobre eles.ATA takes information from multiple data-sources, such as logs and events in your network, to learn the behavior of users and other entities in the organization, and builds a behavioral profile about them. O ATA pode receber eventos e logs de:ATA can receive events and logs from:

  • Integração do SIEMSIEM Integration
  • WEF (Encaminhamento de Eventos do Windows)Windows Event Forwarding (WEF)
  • Diretamente do Coletor de Eventos do Windows (para o Gateway Lightweight)Directly from the Windows Event Collector (for the Lightweight Gateway)

Para saber mais sobre a arquitetura do ATA, confira Arquitetura do ATA.For more information on ATA architecture, see ATA Architecture.

O que o ATA faz?What does ATA do?

A tecnologia do ATA detecta várias atividades suspeitas, concentrando-se em várias fases da cadeia do ataque cibernético, incluindo:ATA technology detects multiple suspicious activities, focusing on several phases of the cyber-attack kill chain including:

  • Reconhecimento, durante o qual os invasores coletam informações sobre como o ambiente foi compilado criado, o que são os ativos diferentes e quais entidades existem.Reconnaissance, during which attackers gather information on how the environment is built, what the different assets are, and which entities exist. Normalmente, este é o ponto no qual os invasores criam planos para suas próximas fases do ataque.Typically, this is where attackers build plans for their next phases of attack.
  • Ciclo de movimentação lateral, durante o qual um invasor investe tempo e esforço na propagação da superfície de seu ataque dentro de sua rede.Lateral movement cycle, during which an attacker invests time and effort in spreading their attack surface inside your network.
  • Controle do domínio (persistência), durante o qual um invasor captura as informações que permitem retomar sua campanha usando vários conjuntos de pontos de entrada, credenciais e técnicas.Domain dominance (persistence), during which an attacker captures the information that allows them to resume their campaign using various sets of entry points, credentials, and techniques.

Essas fases de um ataque cibernético são semelhantes e previsíveis, independentemente do tipo de empresa que está sob ataque ou do tipo de informação visado.These phases of a cyber attack are similar and predictable, no matter what type of company is under attack or what type of information is being targeted. O ATA procura três tipos principais de ataques: Ataques mal-intencionados, comportamento anormal e riscos e problemas de segurança.ATA searches for three main types of attacks: Malicious attacks, abnormal behavior, and security issues and risks.

Os ataques mal-intencionados são detectados de forma determinista, olhando a lista completa de tipos de ataques conhecidos, incluindo:Malicious attacks are detected deterministically, by looking for the full list of known attack types including:

  • Pass-the-Ticket (PtT)Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)Pass-the-Hash (PtH)
  • Overpass-the-HashOverpass-the-Hash
  • PAC Forjado (MS14-068)Forged PAC (MS14-068)
  • Golden TicketGolden Ticket
  • Replicações mal-intencionadasMalicious replications
  • ReconhecimentoReconnaissance
  • Força BrutaBrute Force
  • Execução remotaRemote execution

Para obter uma lista completa de detecções e suas descrições, confira Quais atividades suspeitas o ATA pode detectar?.For a complete list of the detections and their descriptions, see What Suspicious Activities Can ATA detect?.

O ATA detecta essas atividades suspeitas e revela as informações no Console do ATA, incluindo uma visão clara de Quem, O que, Quando e Como.ATA detects these suspicious activities and surfaces the information in the ATA Console including a clear view of Who, What, When and How. Como você pode ver, monitorando este painel simples e fácil de usar, você será alertado de que o ATA suspeita da tentativa de ataque Pass-the-Ticket nos computadores Cliente 1 e Cliente 2 em sua rede.As you can see, by monitoring this simple, user-friendly dashboard, you are alerted that ATA suspects a Pass-the-Ticket attack was attempted on Client 1 and Client 2 computers in your network.

tela de exemplo do ATA de pass-the-ticket

Comportamento anormal é detectado pelo ATA usando análise comportamental e aproveitando o Machine Learning para descobrir atividades questionáveis e comportamentos anormais em usuários e dispositivos de sua rede, incluindo:Abnormal behavior is detected by ATA using behavioral analytics and leveraging Machine Learning to uncover questionable activities and abnormal behavior in users and devices in your network, including:

  • Logons anormaisAnomalous logins
  • Ameaças desconhecidasUnknown threats
  • Compartilhamento de senhaPassword sharing
  • Movimentação lateralLateral movement
  • Modificação de grupos confidenciaisModification of sensitive groups

Você pode exibir as atividades suspeitas desse tipo no Painel do ATA.You can view suspicious activities of this type in the ATA Dashboard. No exemplo a seguir, o ATA alerta você quando um usuário acessa quatro computadores que não são normalmente acessados por esse usuário, o que pode ser uma causa de alarme.In the following example, ATA alerts you when a user accesses four computers that are not ordinarily accessed by this user, which could be a cause for alarm.

comportamento anormal da tela de exemplo do ATA

O ATA também detecta riscos e problemas de segurança, incluindo:ATA also detects security issues and risks, including:

  • Confiança quebradaBroken trust
  • Protocolos fracosWeak protocols
  • Vulnerabilidades de protocolo conhecidasKnown protocol vulnerabilities

Você pode exibir as atividades suspeitas desse tipo no Painel do ATA.You can view suspicious activities of this type in the ATA Dashboard. No exemplo a seguir, o ATA está informando que há uma relação de confiança quebrada entre um computador em sua rede e o domínio.In the following example, ATA is letting you know that there is a broken trust relationship between a computer in your network and the domain.

tela de exemplo de ATA de confiança quebrada

Problemas conhecidosKnown issues

  • Se você atualizar para o ATA 1.7 e imediatamente para o ATA 1.8, sem primeiro atualizar os Gateways do ATA, não será possível migrar para o ATA 1.8.If you update to ATA 1.7 and immediately to ATA 1.8, without first updating the ATA Gateways, you cannot migrate to ATA 1.8. É necessário primeiro atualizar todos os Gateways para a versão 1.7.1 ou 1.7.2 antes de atualizar o Centro do ATA para a versão 1.8.It is necessary to first update all of the Gateways to version 1.7.1 or 1.7.2 before updating the ATA Center to version 1.8.

  • Se você selecionar a opção para executar uma migração completa, ela poderá demorar muito tempo, dependendo do tamanho do banco de dados.If you select the option to perform a full migration, it may take a very long time, depending on the database size. Quando você estiver selecionando as opções de migração, o tempo estimado será exibido, anote-o antes de decidir qual opção selecionar.When you are selecting your migration options, the estimated time is displayed - make note of this before you decide which option to select.

NovidadesWhat's next?

Consulte TambémSee Also

Manual de atividade suspeita do ATA Confira o fórum do ATA!ATA suspicious activity playbook Check out the ATA forum!