Что такое Advanced Threat Analytics?

Применяется к: Advanced Threat Analytics версии 1.9

Advanced Threat Analytics (ATA) представляет собой платформу для локальной сети, которая помогает защитить организацию от многих типов современных целевых кибератак и внутренних угроз.

Примечание

Жизненный цикл поддержки

Окончательная версия ATA доступна в целом. Основная фаза поддержки ATA закончилась 12 января 2021 г. Расширенная поддержка будет продолжена до 2026 января. Дополнительные сведения см. в нашем блоге.

Как работает ATA

ATA использует собственный механизм сетевого анализа для сбора и проверки сетевого трафика по нескольким протоколам проверки подлинности, авторизации и сбора информации (Kerberos, DNS, RPC, NTLM и другие). ATA собирает эти сведения с использованием следующих механизмов:

  • зеркальное отображение портов с контроллеров домена на шлюз ATA;
  • развертывание упрощенного шлюза ATA (LGW) непосредственно на контроллерах домена.

ATA собирает информацию из множества источников данных, включая журналы и события в вашей сети, позволяя изучать поведение пользователей и других сущностей в организации, и создает их поведенческие профили. ATA может получать события и журналы из следующих источников:

  • интеграция SIEM;
  • пересылка событий Windows (WEF).
  • непосредственно из сборщика событий Windows (для упрощенного шлюза).

Дополнительные сведения об архитектуре ATA см. в статье архитектура ATA.

Возможности ATA

Технология ATA выявляет различные подозрительные действия, относящиеся к различным этапам проведения кибератак, в том числе перечисленные ниже.

  • Разведка, в ходе которой злоумышленники собирают сведения о конфигурации среды, выявляют действующие активы и сущности Как правило, при этом злоумышленники планируют следующие этапы атаки.
  • Боковое смещение, в ходе которого злоумышленник стремится захватить максимальное пространство внутри сети.
  • Полное (постоянное) управление доменом, в ходе которого злоумышленник собирает сведения, позволяющие ему возобновить атаку с использованием различных наборов точек входа, учетных данных и методов.

Эти этапы кибератак достаточно схожи и предсказуемы при любых методах нападения на организацию и любых целях атаки. ATA выявляет три основных вида угроз: атака злоумышленников, аномальное поведение и проблемы, а также риски безопасности.

Атаки злоумышленников определяются детерминировано по полному списку известных типов атак, в том числе:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Forged PAC (MS14-068)
  • Golden ticket
  • Вредоносные запросы на репликацию
  • Разведывательная атака
  • Атака методом подбора
  • Удаленное выполнение.

Полный список и описания выявляемых действий можно изучить в статье Типы угроз, которые ищет ATA.

ATA обнаруживает эти подозрительные действия и передает на консоль ATA соответствующую информацию, включая четкое описание "кто, что, как и когда" делал. Как вы видите, на этой простой и удобной панели мониторинга отображается оповещение ATA о предполагаемой атаке Pass-the-Ticket на компьютерах Client 1 и Client 2.

Пример экрана ATA. передавайте билет.

Аномальное поведение ATA выявляет с помощью поведенческого анализа и механизмов машинного обучения. Целью являются подозрительные действия и необычное поведение пользователей и устройств в сети, в том числе перечисленные ниже.

  • Необычные попытки входа
  • Неизвестные угрозы
  • Совместное использование пароля
  • Путешествие по компьютерам
  • Изменение привилегированных групп

Подозрительные действия этого типа можно просмотреть на панели мониторинга ATA. В следующем примере ATA предупреждает, что пользователь обратился к четырем компьютерам, с которыми он обычно не взаимодействует. Это может являться причиной для тревоги.

Пример аномального поведения экрана ATA.

Также ATA выявляет проблемы/риски безопасности, в том числе перечисленные ниже.

  • Нарушение доверительного отношения
  • Слабые протоколы
  • Известные уязвимости протоколов

Подозрительные действия этого типа можно просмотреть на панели мониторинга ATA. В следующем примере ATA сообщает о нарушении доверительных отношений между доменом и одним из компьютеров сети.

Пример экрана ATA с нарушением доверия.

Известные проблемы

  • Если вы выполняете обновление до версии ATA 1.7, а затем сразу до версии ATA 1.8, не обновляя сначала шлюзы ATA, вы не сможете выполнить миграцию в ATA 1.8. Перед обновлением центра ATA до версии 1.8 необходимо сначала обновить все шлюзы до версии 1.7.1 или 1.7.2.

  • Если вы выбираете полную миграцию, она может занять очень много времени в зависимости от размера базы данных. При выборе вариантов миграции отображается предполагаемое время. Обратите на него внимание, прежде чем выбирать вариант.

Дальнейшие действия

  • Дополнительные сведения о месте ATA в сети см. в статье Архитектура ATA.

  • Дополнительные сведения о развертывании ATA см. в статье Установка ATA.

См. также: