Apa itu Analitik Ancaman Tingkat Lanjut?

Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9

Advanced Threat Analytics (ATA) adalah platform lokal yang membantu melindungi perusahaan Anda dari beberapa jenis serangan cyber yang ditargetkan tingkat lanjut dan ancaman orang dalam.

Catatan

Siklus hidup dukungan

Rilis akhir ATA umumnya tersedia. Dukungan Mainstream ATA berakhir pada 12 Januari 2021. Dukungan yang Diperpanjang akan berlanjut hingga Januari 2026. Untuk informasi selengkapnya, baca blog kami.

Cara kerja ATA

ATA memanfaatkan mesin pengurai jaringan milik untuk menangkap dan mengurai lalu lintas jaringan dari beberapa protokol (seperti Kerberos, DNS, RPC, NTLM, dan lainnya) untuk autentikasi, otorisasi, dan pengumpulan informasi. Informasi ini dikumpulkan oleh ATA melalui:

  • Pencerminan port dari Pengendali Domain dan server DNS ke Gateway ATA dan/atau
  • Menyebarkan ATA Lightweight Gateway (LGW) langsung di Pengendali Domain

ATA mengambil informasi dari beberapa sumber data, seperti log dan peristiwa di jaringan Anda, untuk mempelajari perilaku pengguna dan entitas lain di organisasi, dan membangun profil perilaku tentang mereka. ATA dapat menerima peristiwa dan log dari:

  • Integrasi SIEM
  • Penerusan Peristiwa Windows (WEF)
  • Langsung dari Pengumpul Peristiwa Windows (untuk Gateway Ringan)

Untuk informasi selengkapnya tentang arsitektur ATA, lihat Arsitektur ATA.

Apa yang dilakukan ATA?

Teknologi ATA mendeteksi beberapa aktivitas mencurigakan, berfokus pada beberapa fase rantai pembunuhan serangan cyber termasuk:

  • Pengintaian, di mana penyerang mengumpulkan informasi tentang bagaimana lingkungan dibangun, apa aset yang berbeda, dan entitas mana yang ada. Biasanya, di sinilah penyerang membangun rencana untuk fase serangan berikutnya.
  • Siklus gerakan lateral, di mana penyerang menginvestasikan waktu dan upaya dalam menyebarkan permukaan serangan mereka di dalam jaringan Anda.
  • Dominasi domain (persistensi), di mana penyerang menangkap informasi yang memungkinkan mereka untuk melanjutkan kampanye mereka menggunakan berbagai set titik masuk, kredensial, dan teknik.

Fase serangan cyber ini serupa dan dapat diprediksi, apa pun jenis perusahaan yang diserang atau jenis informasi apa yang ditargetkan. ATA mencari tiga jenis serangan utama: Serangan berbahaya, perilaku abnormal, dan masalah dan risiko keamanan.

Serangan berbahaya terdeteksi secara deterministik, dengan mencari daftar lengkap jenis serangan yang diketahui termasuk:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • FORGED PAC (MS14-068)
  • Tiket Emas
  • Replikasi berbahaya
  • Pengintaian
  • Serangan Brute Force
  • Eksekusi jarak jauh

Untuk daftar lengkap deteksi dan deskripsinya, lihat Aktivitas Mencurigakan apa yang dapat dideteksi ATA?.

ATA mendeteksi aktivitas mencurigakan ini dan menampilkan informasi di Konsol ATA termasuk tampilan yang jelas tentang Siapa, Apa, Kapan, dan Bagaimana. Seperti yang Anda lihat, dengan memantau dasbor sederhana dan ramah pengguna ini, Anda diberi tahu bahwa ATA mencurigai serangan Pass-the-Ticket dicoba pada komputer Klien 1 dan Klien 2 di jaringan Anda.

sample ATA screen pass-the-ticket.

Perilaku abnormal terdeteksi oleh ATA menggunakan analitik perilaku dan memanfaatkan Pembelajaran Mesin untuk mengungkap aktivitas yang dipertanyakan dan perilaku abnormal dalam pengguna dan perangkat di jaringan Anda, termasuk:

  • Masuk anomali
  • Ancaman yang tidak diketahui
  • Berbagi kata sandi
  • Gerakan lateral
  • Modifikasi grup sensitif

Anda dapat melihat aktivitas mencurigakan dari jenis ini di Dasbor ATA. Dalam contoh berikut, ATA memberi tahu Anda ketika pengguna mengakses empat komputer yang biasanya tidak diakses oleh pengguna ini, yang bisa menjadi penyebab alarm.

sample ATA screen abnormal behavior.

ATA juga mendeteksi masalah dan risiko keamanan, termasuk:

  • Kepercayaan rusak
  • Protokol lemah
  • Kerentanan protokol yang diketahui

Anda dapat melihat aktivitas mencurigakan dari jenis ini di Dasbor ATA. Dalam contoh berikut, ATA memberi tahu Anda bahwa ada hubungan kepercayaan yang rusak antara komputer di jaringan Anda dan domain.

sample ATA screen broken trust.

Masalah yang diketahui

  • Jika Anda memperbarui ke ATA 1.7 dan segera ke ATA 1.8, tanpa terlebih dahulu memperbarui Gateway ATA, Anda tidak dapat bermigrasi ke ATA 1.8. Anda harus terlebih dahulu memperbarui semua Gateway ke versi 1.7.1 atau 1.7.2 sebelum memperbarui Pusat ATA ke versi 1.8.

  • Jika Anda memilih opsi untuk melakukan migrasi penuh, mungkin perlu waktu yang sangat lama, tergantung pada ukuran database. Saat Anda memilih opsi migrasi, perkiraan waktu ditampilkan - catat ini sebelum Anda memutuskan opsi mana yang akan dipilih.

Apa selanjutnya?

  • Untuk informasi selengkapnya tentang bagaimana ATA cocok dengan jaringan Anda: Arsitektur ATA

  • Untuk mulai menyebarkan ATA: Instal ATA

Baca juga