Co je Advanced Threat Analytics?
Platí pro: Advanced Threat Analytics verze 1.9
Advanced Threat Analytics (ATA) je místní platforma, která pomáhá chránit váš podnik před několika typy pokročilých cílených kybernetických útoků a vnitřních hrozeb.
Poznámka:
Životní cyklus podpory
Konečná verze ATA je obecně dostupná. Hlavní podpora ATA skončila 12. ledna 2021. Rozšířená podpora bude pokračovat až do ledna 2026. Další informace najdete v našem blogu.
Jak ATA funguje
ATA využívá proprietární síťový parsovací modul k zachytávání a parsování síťového provozu více protokolů (jako je Kerberos, DNS, RPC, NTLM a další) pro ověřování, autorizaci a shromažďování informací. AtA shromažďuje tyto informace prostřednictvím:
- Zrcadlení portů z řadičů domény a serverů DNS do ATA Gateway a/nebo
- Nasazení ATA Lightweight Gateway (LGW) přímo na řadiče domény
ATA přebírá informace z více zdrojů dat, jako jsou protokoly a události ve vaší síti, aby se dozvěděla o chování uživatelů a dalších entit v organizaci a vytvořila o nich profil chování. ATA může přijímat události a protokoly z:
- Integrace SIEM
- Předávání událostí Systému Windows (WEF)
- Přímo ze kolekce událostí systému Windows (pro zjednodušenou bránu)
Další informace o architektuře ATA najdete v tématu ARCHITEKTURA ATA.
Co ATA dělá?
Technologie ATA detekuje několik podezřelých aktivit a zaměřuje se na několik fází řetězce útoků kyber-útoku, mezi které patří:
- Rekognoskace, během které útočníci shromažďují informace o tom, jak je prostředí sestavené, jaké jsou různé prostředky a které entity existují. Obvykle je to místo, kde útočníci vytvářejí plány pro další fáze útoku.
- Cyklus laterálního pohybu, během kterého útočník investuje čas a úsilí při šíření prostoru pro útok uvnitř vaší sítě.
- Dominantní doména (trvalost), během které útočník zachytí informace, které jim umožní obnovit kampaň pomocí různých sad vstupních bodů, přihlašovacích údajů a technik.
Tyto fáze kyberútoku jsou podobné a předvídatelné, bez ohledu na to, jaký typ společnosti je napaden nebo na jaký typ informací se cílí. ATA hledá tři hlavní typy útoků: škodlivé útoky, neobvyklé chování a problémy se zabezpečením a rizika.
Škodlivé útoky se detekují deterministicky, a to vyhledáním úplného seznamu známých typů útoků, mezi které patří:
- Pass-the-Ticket (PtT)
- Pass-the-Hash (PtH)
- Overpass-the-Hash
- Zděděný PAC (MS14-068)
- Zlatý lístek
- Škodlivé replikace
- Průzkum
- Hrubá síla
- Vzdálené spuštění
Úplný seznam detekcí a jejich popisů najdete v tématu Jaké podezřelé aktivity může ATA detekovat?.
ATA detekuje tyto podezřelé aktivity a zobrazí informace v konzole ATA, včetně jasného zobrazení Kdo, Co, Kdy a jak. Jak můžete vidět, monitorováním tohoto jednoduchého uživatelsky přívětivého řídicího panelu se zobrazí upozornění, že ATA má podezření, že útok Pass-the-Ticket byl na počítačích klienta 1 a 2 ve vaší síti pokus o útok typu Pass-the-Ticket.
ATA detekuje neobvyklé chování pomocí analýzy chování a využití strojového Učení k odhalení pochybných aktivit a neobvyklého chování uživatelů a zařízení ve vaší síti, mezi které patří:
- Neobvyklá přihlášení
- Neznámé hrozby
- Sdílení hesel
- Laterální pohyb
- Úprava citlivých skupin
Podezřelé aktivity tohoto typu můžete zobrazit na řídicím panelu ATA. V následujícím příkladu vás ATA upozorní, když uživatel přistupuje ke čtyř počítačům, ke kterým obvykle tento uživatel nemá přístup, což může být příčinou alarmu.
ATA také detekuje problémy se zabezpečením a rizika, mezi které patří:
- Poškozený vztah důvěryhodnosti
- Slabé protokoly
- Známá ohrožení zabezpečení protokolu
Podezřelé aktivity tohoto typu můžete zobrazit na řídicím panelu ATA. V následujícím příkladu ATA vás informuje, že mezi počítačem v síti a doménou existuje poškozený vztah důvěryhodnosti.
Známé problémy
Pokud aktualizujete na ATA 1.7 a okamžitě na ATA 1.8 bez první aktualizace ATA Gateway, nemůžete migrovat na ATA 1.8. Před aktualizací ATA Center na verzi 1.7.1 nebo 1.7.2 je nutné nejprve aktualizovat všechny brány na verzi 1.8.
Pokud vyberete možnost provést úplnou migraci, může trvat velmi dlouhou dobu v závislosti na velikosti databáze. Když vyberete možnosti migrace, zobrazí se odhadovaný čas – než se rozhodnete, kterou možnost vybrat, poznamenejte si ji.
Co dále?
Další informace o tom, jak ATA zapadá do vaší sítě: Architektura ATA
Začínáme s nasazováním ATA: Instalace ATA