Microsoft ATA (Advanced Threat Analytics)

ATA در حالت کلی و بیان عامیانه، پلت فرمی ست که شبکه سازمانی را در برابر انوع مختلفی از حملات سایبری هدف‌دار و همچنین تهدیدات داخلی محافظت می‌کند.

مکانیزم کاری ATA

ATA ترافیک شبکه را از چندین پروتکل مختلف (مانند Kerberos,DNS, RPS, NTLM, و …) کپچر کرده و آن را با اهدافی مانند authentication, authorization و information gathering تحلیل می‌کند. ATA این اطلاعات را بوسیله:

• Port mirroring از DC و سرورهای DNS به سمت ATA gateway
• پیاده‌سازی ATA Lightweight Gateway، مستقیما از روی DC ها

ATA از چندین سورس مختلف مثل لاگ‌ها و ایونت‌های شبکه، برای تشخیص رفتار یوزرها و یا موجودیت‌های دیگر سازمان، اطلاعات را جمع‌آوری کرده و در نهایت یک پروفایل درباره مدل رفتاری آن‌ها می‌سازد.
ATA ایونت‌ها و لاگ‌ها را از منابع زیر دریافت می‌کند:

• از طریق یکپارچگی با یک SIEM
• Windows Event Forwarding (WEF)
• مستقیما از روی Windows Event Collector (این مورد از طریق Lightweight Gateway انجام می‌شود)

 

ATA چه کاری را انجام می‌دهد

تکنولوژی ATA با تمرکز بر انواع مختلف حملات سایبری، رفتارهای مشکوک متنوعی را تشخیص می‌دهد که شامل:

• Pass-the-Ticket (PtT)
• Pass-the-Hash (PtH)
• Overpass-the-Hash
• Forged PAC (MS14-068)
• Golden Ticket
• Malicious replications
• Reconnaissance
• Brute Force
• Remote execution

ATA کسنولی دارد که پس از شناسایی این رفتارهای مشکوک، می‌تواند در آن براحتی و وضوح با جزئیاتی مانند چه‌کسی، چه‌چیزی، کِی و چگونگی، رخداد را بشما نشان دهد. شکل زیر نشان می‌دهد که ATA با داشبوردی کاربر-پسند، در خصوص شناسایی یک حمله Pas-the-Ticket که از سمت کلاینت ۱ به مقصد کلاینت ۲ در حال انجام است، هشدار می‌دهد:

 

 

در واقع ATA با استفاده از آنالیز رفتاری و قدرت یادگیری ماشین در شفاف‌سازی فعالیت‌های بحث‌برانگیز، رفتارهای غیر‌نرمال را تشخیص می‌دهد. رفتارهای غیرنرمال یوزرها و دیوایس‌ها در شبکه شامل موارد زیر می‌شود:

• لاگین‌های خاص
• تهدیدات طبقه‌بندی نشده
• پسوردهای مشترک
• نفوذ در شبکه
• ویرایش گروه‌های حساس

البته همانطور که گفته شد، به لطف داشبورد محبوب ATA، می‌توان لیست کامل فعالیت‌های مشکوک را در آنجا، دید. بطور مثال، وقتی یک یک یوزر به چهار کامپیوتر که بصورت معمول بر روی آن‌های فعالیتی نداشته، دسترسی گرفته است، می‌تواند از طرف ATA منشاء یک هشدار باشد:

 

 

علاوه بر رفتارشناسی، ATA می‌تواند مشکلات و ریسک‌هات امنیتی را هم تشخیص دهد. بطور مثال:

• Broken trust
• Weak protocol
• Known protocol vulnerabilities

 

معماری ATA

در نقشه زیر، می‌توان به جزئیات، معماری ATA را دید:

 

ATA ترافیک شبکه DC را با استفاده از سوئیچ‌های فیزیکی یا ویرچوال از طریق انجام port mirroring بر روی یک ATA Gateway مانیتور می‌کند. در مقابل، اگر ATA Lightweight Gateway را مستقیما بر روی دومین کنترلرها (DCها) پیاده‌سازی کرده باشید، پیش نیاز اجرای port mirroring بخودی خود حذف می‌شود. علاوه بر این موضوع، ATA می‌تواند بی هیچ کامپوننت اضافه‌ای، فقط از طریق Windows event ها، که بصورت مستقیم توسط DCها یا از سمت یک SIEM فوروارد می‌شوند، کار آنالیز اطلاعات، برای شناسایی تهدیدات و حملات را انجام دهد.

 

 

ATA components

 

ATA از اجزای زیر تشکیل شده است:

• ATA center

اطلاعات را از ATA Gateway ها یا ATA Lightweight Gateway هایی که در سطح شبکه پیاده‎سازی شده‌اند، دریافت می‌کند.

• ATA Gateway

بر روی یک سرور مجزا نصب شده و وظیفه‌اش ماینتور دیتا ارسال شده از سمت DC ها با استفاده از port mirroring یا یک network TAP است.

• ATA Lightweight Gateway

مسقیما بر روی DC ها نصب شده و وظیفه‌اش مانیتور دیتای DC ها بدون نیاز به یک سرور اختصاصی یا کانفیگ port mirroring است. می‌توان گفت که این کامپوننت، جایگزینی برای ATA Gateway است.

پیاده‌سازی ATA، می‌تواند شامل وجود یک ATA Center متصل به تمام ATA Gateway ها، تمام ATA Lightweight Gateway ها و یا ترکیبی از ایندو باشد.

 

 

منابع:
۱٫ https://docs.microsoft.com/en-us/advanced-threat-analytics/what-is-ata
۲٫ https://docs.microsoft.com/en-us/advanced-threat-analytics/install-ata-step1
۳٫ https://docs.microsoft.com/en-us/advanced-threat-analytics/ata-architecture

 

 

 

مانا باشید

احسان امجدی/ کارشناس ارشد و مدرس دوره‌های تحلیل امنیت

” اگر بر این باورید که با نقض قانون کپی‌رایت، وضعیتی بهتر در انتظار است، بدون ذکر نام نویسنده و منبع مجاز به انتشار متن هستید