Vad är Advanced Threat Analytics?

Gäller för: Advanced Threat Analytics version 1,9

Advanced Threat Analytics (ATA) är en lokal plattform som skyddar ditt företag från flera typer av avancerade riktade cyberattacker och insiderhot.

Anteckning

Supportlivscykel

Den slutliga versionen av ATA är allmänt tillgänglig. ATA Mainstream Support upphörde den 12 januari 2021. Utökad support fortsätter till januari 2026. Mer information finns i vår blogg.

Så här fungerar ATA

ATA använder en egen nätverksparsningsmotor för att samla in och parsa nätverkstrafik för flera protokoll (till exempel Kerberos, DNS, RPC, NTLM med flera) för autentisering, auktorisering och insamling av information. Den här informationen samlas in av ATA via:

  • Portspegling från domänkontrollanter och DNS-servrar mot ATA-gatewayen och/eller
  • Distribuera en ATA Lightweight Gateway (LGW) direkt på domänkontrollanter

ATA tar information från flera datakällor, till exempel loggar och händelser i nätverket, för att lära sig beteendet för användare och andra entiteter i organisationen och skapar en beteendeprofil om dem. ATA kan ta emot händelser och loggar från:

  • SIEM-integrering
  • Vidarebefordran av Windows-händelser (WEF)
  • Direkt från Windows Event Collector (för Lightweight Gateway)

Mer information om ATA-arkitektur finns i ATA-arkitektur.

Vad gör ATA?

ATA-teknik identifierar flera misstänkta aktiviteter och fokuserar på flera faser av cyberattackkedjan, inklusive:

  • Rekognosering, där angripare samlar in information om hur miljön är byggd, vilka de olika tillgångarna är och vilka entiteter som finns. Det är vanligtvis här angripare skapar planer för sina nästa attackfaser.
  • Lateral rörelsecykel då en angripare investerar tid och möda i spridning av sin angreppsyta i nätverket.
  • Domändominans (persistence), där en angripare samlar in information som gör att de kan återuppta sin kampanj med hjälp av olika uppsättningar startpunkter, autentiseringsuppgifter och tekniker.

Faserna för en cyberattack är liknande och förutsägbara, oavsett vilken typ av företag som är utsatt för en attack eller vilken typ av information som bearbetas. ATA söker efter tre huvudtyper av attacker: skadliga attacker, onormalt beteende samt säkerhetsproblem och risker.

Skadliga attacker upptäcks deterministiskt, genom att söka efter en fullständig lista över kända angreppstyper inklusive:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • Förfalskade PAC (MS14-068)
  • Golden ticket
  • Skadliga replikeringarna
  • Rekognosering
  • Brute force
  • Fjärrkörning

En fullständig lista över identifieringar och deras beskrivningar finns i Vilka misstänkta aktiviteter kan ATA identifiera?.

ATA identifierar dessa misstänkta aktiviteter och hämtar information i ATA-konsolen, inklusive en överblick av Vem, Vad, När och Hur. Som du ser, genom att övervaka den här enkla, användarvänliga instrumentpanelen, får du en avisering om att ATA misstänker att ett Pass-the-Ticket-angrepp har försökts på klient 1- och klient 2-datorer i nätverket.

exempel på ATA-skärm pass-the-ticket.

Onormalt beteende identifieras av ATA med beteendeanalyser och utnyttjande av Machine Learning för att visa tveksamma aktiviteter och onormalt beteende hos användare och enheter i nätverket, inklusive:

  • Avvikande inloggningar
  • Okända hot
  • Lösenordsdelning
  • Sidorörelse
  • Ändring av känsliga grupper

Du kan se misstänkta aktiviteter av den här typen på ATA-instrumentpanelen. I följande exempel varnar ATA dig när en användare kommer åt fyra datorer som normalt inte används av den här användaren, vilket kan vara en orsak till larmet.

exempel på ata-skärm onormalt beteende.

ATA upptäcker också säkerhetsproblem och risker, inklusive:

  • Brutet förtroende
  • Svaga protokoll
  • Kända sårbarheter i protokoll

Du kan se misstänkta aktiviteter av den här typen på ATA-instrumentpanelen. I följande exempel låter ATA dig veta att det finns en bruten förtroenderelation mellan en dator i nätverket och domänen.

exempel på ATA-skärm brutet förtroende.

Kända problem

  • Om du uppdaterar till ATA 1.7 och omedelbart till ATA 1.8, utan att först uppdatera ATA-gatewayerna, kan du inte migrera till ATA 1.8. Du måste uppdatera alla gatewayer till version 1.7.1 eller 1.7.2 innan du uppdaterar ATA Center till version 1.8.

  • Om du väljer att utföra en fullständig migrering kan det ta lång tid, beroende på databasens storlek. När du väljer migreringsalternativ visas den beräknade tiden . Anteckna detta innan du bestämmer vilket alternativ du ska välja.

Nästa steg

Se även

Spelbok om misstänkt aktivitet i ATA Kolla in ATA-forumet!