Advanced Threat Analytics nedir?

  • Makale

Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9

Advanced Threat Analytics (ATA), kuruluşunuzun birden fazla türdeki gelişmiş hedefli siber saldırılara ve içeriden gelen tehditlere karşı korunmasına yardımcı olan bir şirket içi platformdur.

Dekont

Destek yaşam döngüsü

ATA'nın son sürümü genel kullanıma sunulmuştur. ATA Temel Desteği 12 Ocak 2021'de sona erdi. Genişletilmiş Destek Ocak 2026'ya kadar devam edecektir. Daha fazla bilgi için blogumuzu okuyun.

ATA nasıl çalışır?

ATA, kimlik doğrulaması, yetkilendirme ve bilgi toplama için birden çok protokolün (Kerberos, DNS, RPC, NTLM ve diğerleri gibi) ağ trafiğini yakalamak ve ayrıştırmak için özel bir ağ ayrıştırma altyapısından yararlanıyor. Bu bilgiler ATA tarafından şu aracılığıyla toplanır:

  • Etki Alanı Denetleyicileri ve DNS sunucularından ATA Gateway'e bağlantı noktası yansıtma ve/veya
  • ATA Lightweight Gateway'i (LGW) doğrudan Etki Alanı Denetleyicilerine dağıtma

ATA, kuruluştaki kullanıcıların ve diğer varlıkların davranışını öğrenmek için ağınızdaki günlükler ve olaylar gibi birden çok veri kaynağından bilgi alır ve bunlar hakkında bir davranış profili oluşturur. ATA şu kaynaklardan olayları ve günlükleri alabilir:

  • SIEM Tümleştirmesi
  • Windows Olay İletme (WEF)
  • Doğrudan Windows Olay Toplayıcısı'ndan (Lightweight Gateway için)

ATA mimarisi hakkında daha fazla bilgi için bkz . ATA Mimarisi.

ATA ne yapar?

ATA teknolojisi, siber saldırı sonlandırma zincirinin çeşitli aşamalarına odaklanan birden çok şüpheli etkinliği algılar:

  • Keşif sırasında saldırganlar ortamın nasıl oluşturulduğu, farklı varlıkların ne olduğu ve hangi varlıkların mevcut olduğu hakkında bilgi toplar. Normalde, saldırganlar bir sonraki saldırı aşamaları için planlar oluşturur.
  • Bir saldırganın saldırı yüzeyini ağınıza yaymak için zaman ve çaba harcaması sırasında yanal hareket döngüsü.
  • Etki alanı hakimiyeti (kalıcılık), saldırgan çeşitli giriş noktaları, kimlik bilgileri ve teknik kümelerini kullanarak kampanyalarını sürdürmesine izin veren bilgileri yakalar.

Saldırı altında olan şirket türü veya hedeflenen bilgi türü ne olursa olsun, siber saldırının bu aşamaları benzer ve tahmin edilebilirdir. ATA üç ana saldırı türü arar: Kötü amaçlı saldırılar, anormal davranışlar ve güvenlik sorunları ve riskler.

Kötü amaçlı saldırılar , aşağıdakiler gibi bilinen saldırı türlerinin tam listesi aranarak belirlenerek algılanır:

  • Anahtar Geçişi (PtT)
  • Karma Geçişi (PtH)
  • KarmaYı Aş
  • Sahte PAC (MS14-068)
  • Altın Bilet
  • Kötü amaçlı çoğaltmalar
  • Keşif
  • Deneme Yanılma
  • Uzaktan yürütme

Algılamaların ve açıklamalarının tam listesi için bkz . ATA Hangi Şüpheli Etkinlikleri Algılayabilir?.

ATA, bu şüpheli etkinlikleri algılar ve bilgileri KIM, Ne, Ne Zaman ve Nasıl açık bir görünüm de dahil olmak üzere ATA Konsolu'nda ortaya çıkarır. Gördüğünüz gibi, bu basit, kullanıcı dostu panoyu izleyerek ATA'nın ağınızdaki İstemci 1 ve İstemci 2 bilgisayarlarında Bilet Geçişi saldırısı girişiminde bulunu olduğundan şüphelendiği konusunda uyarılırsınız.

sample ATA screen pass-the-ticket.

ATA tarafından davranış analizi kullanılarak anormal davranış algılanır ve Machine Learning'i kullanarak ağınızdaki kullanıcılar ve cihazlardaki şüpheli etkinlikleri ve anormal davranışları ortaya çıkarır, örneğin:

  • Anormal oturum açma işlemleri
  • Bilinmeyen tehditler
  • Parola paylaşımı
  • Yana hareket
  • Hassas grupların değiştirilmesi

Bu türdeki şüpheli etkinlikleri ATA Panosu'nda görüntüleyebilirsiniz. Aşağıdaki örnekte ATA, bir kullanıcı normalde bu kullanıcı tarafından erişilmeyen dört bilgisayara eriştiğinde sizi uyarır ve bu da alarma neden olabilir.

sample ATA screen abnormal behavior.

ATA aşağıdakiler dahil olmak üzere güvenlik sorunlarını ve risklerini de algılar:

  • Bozuk güven
  • Zayıf protokoller
  • Bilinen protokol güvenlik açıkları

Bu türdeki şüpheli etkinlikleri ATA Panosu'nda görüntüleyebilirsiniz. Aşağıdaki örnekte ATA, ağınızdaki bir bilgisayar ile etki alanı arasında bozuk bir güven ilişkisi olduğunu size bildirir.

sample ATA screen broken trust.

Bilinen sorunlar

  • ATA 1.7'ye ve hemen ATA 1.8'e güncelleştirirseniz, önce ATA Gateway'leri güncelleştirmeden ATA 1.8'e geçiş yapamazsınız. ATA Center'ı sürüm 1.8'e güncelleştirmeden önce tüm Ağ Geçitlerini 1.7.1 veya 1.7.2 sürümüne güncelleştirmek gerekir.

  • Tam geçiş gerçekleştirme seçeneğini seçerseniz, veritabanı boyutuna bağlı olarak bu işlem çok uzun sürebilir. Geçiş seçeneklerinizi belirlediğinizde tahmini süre görüntülenir; hangi seçeneği belirleyebileceğinize karar vermeden önce bunu not edin.

Sırada ne var?

  • ATA'nın ağınıza nasıl uyduğu hakkında daha fazla bilgi için: ATA mimarisi

  • ATA'nın dağıtımına başlamak için: ATA'yi yükleme

Ayrıca bkz.