Advanced Threat Analytics, versión 1.7

Hola a todos.

Desde el mes pasado hemos estado probando diferentes esta nueva herramienta de Microsoft de SIEM.

 

Funcionamiento de ATA

ATA toma información de varios orígenes de datos de eventos y registros de la red para aprender el comportamiento de los usuarios y otras entidades de la organización y crear un perfil de comportamiento sobre ellos. ATA puede recibir eventos y registros de:

  • Integración de SIEM
  • Reenvío de eventos de Windows (WEF)

Además, ATA aprovecha un motor de análisis de red propietario para capturar y analizar el tráfico de red de varios protocolos (como Kerberos, DNS, RPC, NTLM y otros) para la autenticación, autorización y recopilación de información. ATA recopila esta información a través de:

  • Creación de reflejo del puerto desde los controladores de dominio y los servidores DNS a la puerta de enlace ATA
  • Implementación de una puerta de enlace ligera ATA (LGW) directamente en los controladores de dominio

Para más información sobre la arquitectura de ATA, consulte ATA architecture (Arquitectura de ATA).

¿Qué hace ATA?

La tecnología ATA detecta varias actividades sospechosas centrándose en varias fases de la cadena de interrupción de ataques cibernéticos, que incluye:

  • Reconocimiento, durante el que los atacantes recopilan información sobre cómo se crea el entorno, cuáles son los diferentes activos y las entidades que existen y generalmente están creando su plan para las siguientes fases del ataque.
  • Ciclo de desplazamiento lateral, durante el que un atacante invierte tiempo y esfuerzo en la propagación de la superficie de ataque dentro de su red.
  • Dominio del dominio (persistencia), durante el que un atacante captura la información, lo que les permite reanudar su campaña con varios puntos de entrada, credenciales y técnicas.

Estas fases de un ataque de ciberseguridad son similares y predecibles, sin importar qué tipo de empresa está sufriendo un ataque o el tipo de información orientada. ATA busca tres tipos principales de ataques: ataques malintencionados, comportamiento anómalo y riesgos y problemas de seguridad.

Los ataques malintencionados se detectan de forma determinista, consultando la lista completa de los tipos de ataque conocidos, incluidos:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • PAC falsificado (MS14-068)
  • Golden ticket
  • Replicaciones malintencionadas
  • Reconocimiento
  • Fuerza bruta
  • Ejecución remota

¿Para una lista completa de detecciones y sus descripciones, consulte ¿Qué actividades sospechosas puede detectar ATA? ATA detecta estas actividades sospechosas y presenta la información en la consola ATA, incluida una vista clara de quién, qué, cuándo y cómo. Como puede ver, mediante la supervisión de este panel simple y fácil de usar, se le avisará de que ATA sospecha que intentó realizar un ataque Pass-the-Hash en los equipos cliente 1 y 2 de la red.

Pass-the-hash en la pantalla ATA de ejemplo

ATA detecta un comportamiento anómalo con el análisis de comportamiento y aprovecha el aprendizaje automático para descubrir actividades cuestionables y un comportamiento anormal en los usuarios y dispositivos de la red, incluidos:

  • Inicios de sesión anómalos
  • Amenazas desconocidas
  • Uso compartido de contraseña
  • Movimiento lateral

Puede ver actividades sospechosas de este tipo en el panel ATA. En el ejemplo siguiente, ATA le avisa cuando un usuario accede a 4 equipos a los que este usuario no puede obtener acceso de forma normalmente, que podría ser la causa de la alarma.

Comportamiento anormal en la pantalla ATA de ejemplo

ATA también detecta riesgos y problemas de seguridad, incluidos:

  • Confianza rota
  • Protocolos débiles
  • Vulnerabilidades conocidas de protocolos

Puede ver actividades sospechosas de este tipo en el panel ATA. En el ejemplo siguiente, ATA le informa de que hay una relación de confianza rota entre un equipo y su red y el dominio.

Confianza rota en la pantalla ATA de ejemplo

¿Qué viene a continuación?

Esta información extraída del TechNet.

la hemos testiado y es maravillosa, haciendo pruebas y realizando ataques programdados arrojando registros bastantes fiables de nuestros riesgos de red.

 

También te podría gustar...