Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Что такое Advanced Threat Analytics?What is Advanced Threat Analytics?

Advanced Threat Analytics (ATA) представляет собой платформу для локальной сети, которая помогает защитить организацию от многих типов современных целевых кибератак и внутренних угроз.Advanced Threat Analytics (ATA) is an on-premises platform that helps protect your enterprise from multiple types of advanced targeted cyber attacks and insider threats.

Как работает ATAHow ATA works

ATA использует собственный механизм сетевого анализа для сбора и проверки сетевого трафика по нескольким протоколам проверки подлинности, авторизации и сбора информации (Kerberos, DNS, RPC, NTLM и другие).ATA leverages a proprietary network parsing engine to capture and parse network traffic of multiple protocols (such as Kerberos, DNS, RPC, NTLM, and others) for authentication, authorization, and information gathering. ATA собирает эти сведения с использованием одного из следующих механизмов:This information is collected by ATA via either:

  • зеркальное отображение портов с контроллеров домена на шлюз ATA;Port mirroring from Domain Controllers and DNS servers to the ATA Gateway and/or
  • развертывание упрощенного шлюза ATA (LGW) непосредственно на контроллерах домена.Deploying an ATA Lightweight Gateway (LGW) directly on Domain Controllers

ATA собирает из множества источников данных, таких как журналы и события в вашей сети, на основе которых изучает поведение пользователей и других сущностей в организации и создает их поведенческие профили.ATA takes information from multiple data-sources, such as logs and events in your network, to learn the behavior of users and other entities in the organization and build a behavioral profile about them. ATA может получать события и журналы из следующих источников:ATA can receive events and logs from:

  • интеграция SIEM;SIEM Integration
  • пересылка событий Windows (WEF).Windows Event Forwarding (WEF)
  • непосредственно из сборщика событий Windows (для упрощенного шлюза).Directly from the Windows Event Collector (for the Lightweight Gateway)

Дополнительные сведения об архитектуре ATA см. в этой статье.For more information on ATA architecture, see ATA Architecture.

Возможности ATAWhat does ATA do?

Технология ATA выявляет различные подозрительные действия, относящиеся к различным этапам проведения кибератак, в том числе перечисленные ниже.ATA technology detects multiple suspicious activities, focusing on several phases of the cyber-attack kill chain including:

  • Разведка, в ходе которой злоумышленники собирают сведения о конфигурации среды, выявляют действующие активы и сущностиReconnaissance, during which attackers gather information on how the environment is built, what the different assets are, and which entities exist. и разрабатывают общий план для следующих этапов атаки.They generally building their plan for the next phases of the attack.
  • Боковое смещение, в ходе которого злоумышленник стремится захватить максимальное пространство внутри сети.Lateral movement cycle, during which an attacker invests time and effort in spreading their attack surface inside your network.
  • Захват контроля (устойчивости), нацеленный на сбор сведений, позволяющих возобновить атаку с использованием различных точек входа, учетных данных и методов.Domain dominance (persistence), during which an attacker captures the information allowing them to resume their campaign using various sets of entry points, credentials, and techniques.

Эти этапы кибератак достаточно схожи и предсказуемы при любых методах нападения на организацию и любых целях атаки.These phases of a cyber attack are similar and predictable, no matter what type of company is under attack or what type of information is being targeted. ATA выявляет три основных вида угроз: атака злоумышленников, аномальное поведение и проблемы, а также риски безопасности.ATA searches for three main types of attacks: Malicious attacks, abnormal behavior, and security issues and risks.

Атаки злоумышленников определяются детерминировано по полному списку известных типов атак, в том числе:Malicious attacks are detected deterministically, by looking for the full list of known attack types including:

  • Pass-the-Ticket (PtT)Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)Pass-the-Hash (PtH)
  • Overpass-the-HashOverpass-the-Hash
  • Forged PAC (MS14-068)Forged PAC (MS14-068)
  • Golden ticketGolden Ticket
  • Вредоносные запросы на репликациюMalicious replications
  • Разведывательная атакаReconnaissance
  • Атака методом подбораBrute Force
  • Удаленное выполнение.Remote execution

Полный список и описания выявляемых действий можно изучить в статье Типы угроз, которые ищет ATA.For a complete list of the detections and their descriptions, see What Suspicious Activities Can ATA detect?.

ATA обнаруживает эти подозрительные действия и передает на консоль ATA соответствующую информацию, включая четкое описание "кто, что, как и когда" делал.ATA detects these suspicious activities and surfaces the information in the ATA Console including a clear view of Who, What, When and How. В этом примере вы видите, что на этой несложной и удобной панели представлена информация о предполагаемой атаке Pass-the-Ticket на компьютерах Client 1 и Client 2.As you can see, by monitoring this simple, user-friendly dashboard, you are alerted that ATA suspects that a Pass-the-Ticket attack was attempted on Client 1 and Client 2 computers in your network.

пример экрана ATA для атаки pass-the-ticket

Аномальное поведение ATA выявляет с помощью поведенческого анализа и механизмов машинного обучения. Целью являются подозрительные действия и необычное поведение пользователей и устройств в сети, в том числе перечисленные ниже.Abnormal behavior is detected by ATA using behavioral analytics and leveraging Machine Learning to uncover questionable activities and abnormal behavior in users and devices in your network, including:

  • Необычные попытки входаAnomalous logins
  • Неизвестные угрозыUnknown threats
  • Совместное использование пароляPassword sharing
  • Боковое смещениеLateral movement
  • Изменение привилегированных группModification of sensitive groups

Подозрительные действия этого типа можно просмотреть на панели мониторинга ATA.You can view suspicious activities of this type in the ATA Dashboard. В следующем примере ATA предупреждает, что пользователь обратился к четырем компьютерам, с которыми он обычно не взаимодействует. Это может являться причиной для тревоги.In the following example, ATA alerts you when a user accesses four computers that are not ordinarily accessed by this user, which could be a cause for alarm.

пример экрана ATA: аномальное поведение

Также ATA выявляет проблемы/риски безопасности, в том числе перечисленные ниже.ATA also detects security issues and risks, including:

  • Нарушение доверительного отношенияBroken trust
  • Слабые протоколыWeak protocols
  • Известные уязвимости протоколовKnown protocol vulnerabilities

Подозрительные действия этого типа можно просмотреть на панели мониторинга ATA.You can view suspicious activities of this type in the ATA Dashboard. В следующем примере ATA сообщает о нарушении доверительных отношений между доменом и одним из компьютеров сети.In the following example, ATA is letting you know that there is a broken trust relationship between a computer in your network and the domain.

пример экрана ATA: нарушение доверительных отношений

Известные проблемыKnown issues

  • Если вы выполняете обновление до версии ATA 1.7, а затем сразу до версии ATA 1.8, не обновляя сначала шлюзы ATA, вы не сможете выполнить миграцию в ATA 1.8.If you update to ATA 1.7 and immediately to ATA 1.8, without first updating the ATA Gateways, you cannot migrate to ATA 1.8. Перед обновлением центра ATA до версии 1.8 необходимо сначала обновить все шлюзы до версии 1.7.1 или 1.7.2.It is necessary to first update all of the Gateways to version 1.7.1 or 1.7.2 before updating the ATA Center to version 1.8.

  • Если вы выбираете полную миграцию, она может занять очень много времени в зависимости от размера базы данных.If you select the option to perform a full migration, it may take a very long time, depending on the database size. При выборе вариантов миграции отображается предполагаемое время. Обратите на него внимание, прежде чем выбирать вариант.When you are selecting your migration options, the estimated time is displayed - make note of this before you decide which option to select.

Дальнейшие действияWhat's next?

См. такжеSee Also

Сборник тренировочных заданий по реагированию на подозрительные действия ATA Обязательно ознакомьтесь с форумом ATA.ATA suspicious activity playbook Check out the ATA forum!