שלום לכולם ,
היום אנחנו נדבר על ATA, מוצר אבטחת מידע של מייקרוסופט אשר מאפשר זיהוי ניטור מתקפות על גבי השרתים הפיזיים שלנו ודיווח אל הDC שלנו בזמן אמת .
המוצר עצמו הינו מוצר On-premises אשר מצריך רישוי עבור שרת הניהול שלו שנקרא ATA Center , דרכו ניתן לראות את הפעולות שהמשתמש מבצע בזמן אמת ע”י שימוש בכרטיסי הרשת שבשרתים
סוגי ההתקפות שATA מזהה הם :
Pass-the-Ticket (PtT)
Pass-the-Hash (PtH)
Overpass-the-Hash
Forged PAC (MS14-068)
Golden Ticket
Malicious replications
Reconnaissance
Brute Force
Remote execution
המוצר מזהה גם את הדברים הבאיםןהבאים מבחינת סיכוני אבט”מ :
Broken trust
Weak protocols
Known protocol vulnerabilities
Anomalous logins – כניסות אנומליות
Unknown threats – איומים לא ידועים
Password sharing – שיתוף סיסמאות
Lateral movement – פעילות המשתמשים בזמן אמת בגישה למשאבים חשובים בארגון
Modification of sensitive groups – עריכת מאפיינים של קבוצות חשובות, זיהוי משתמשי מנהלי מערכת (Admin) כחשבונות רגישים
ATA screen abnormal behavior
Known issues
המידע מטה מדבר על עדכון מגרסאות ישנות של המוצר ועל שדרוגים שלהם
If you update to ATA 1.7 and immediately to ATA 1.8, without first updating the ATA Gateways you cannot migrate to ATA 1.8
You must first update all of the Gateways to version 1.7.1 or 1.7.2 before updating the ATA Center to version 1.8.
If you select the option to perform a full migration, it may take a very long time, depending on the database size. When you are selecting your migration options, the estimated time is displayed – make note of this before you decide which option to select.
סוגי פעילויות
True positive: פעילות חשודה שזוהתה.
Benign true positive: פעילות שזוהתתה אך לא בהכרח מכילה נוזקה, לרוב משתמשים בו לטובת מבדקי חדירה.
False positive: אזעקת שווא, פעילות שלא קרתה.
למידע נוסף לחצו
ATA Architecture
כאן ניתן גם לראות בתרשימים הנ”ל איך המוצר עצמו עובד אל מול השרתים הפיזיים
Working with Suspicious Activities
ניתן לראות במסך ציר הזמן את האירועים שקרו וגם התראות עבור משאבי מערכת של ממשק הניהול .
ניתן לבצע סגירה של אותם התראות ולבצע סינון לפי סוג ההתראה ולכך יש לנו 3 מצבים :
Suspicious activity severity
- Low התראות שנותנות חשד מסויים בדרגה נמוכה לביצוע גניבת זהויות –
- Indicates suspicious activities that can lead to attacks designed for malicious users or software to gain access to organizational data.
- Medium- מזהה סיכון ברמה בינוני לגניבת זהויות
- Indicates suspicious activities that can put specific identities at risk for more severe attacks that could result in identity theft or privileged escalation
- High – מזהה פעילות חשודה ברמת סיכון גבוהה ע”י יכולת זיהוי שדל גניבת זהויות והתקפות גבוהות אחרות .
- Indicates suspicious activities that can lead to identity theft, privilege escalation, or other high-impact attacks
Remediating suspicious activities
כאן ניתן לנהל את ההתראות שיש לנו בציר הזמן ולבצע מס’ אפשרויות :
Suspicious activity status
- Open – כל הפעילויות הפתוחות
- All new suspicious activities appear in this list.
- Close: סגירת פעילויות למרות שייתכן ופעילות שנסגרה בעבר תיפתח שנית
Is used to track suspicious activities that you identified, researched, and fixed for mitigated.
- Note
- If the same activity is detected again within a short period of time, ATA may reopen a closed activity.
- Suppress – ההתראה עדיין נשארת אך ניתן לבצע תזכורת לעוד מס’ ימים על מנת לטפל בה.
- Suppressing an activity means you want to ignore it for now, and only be alerted again if there’s a new instance. This means that if there’s a similar alert ATA doesn’t reopen it. But if the alert stops for seven days, and is then seen again, you are alerted again.
- Delete – מחיקת התראות עד לפעם הבאה שתופיע
If you Delete an alert, it is deleted from the system, from the database and you will NOT be able to restore it. After you click delete, you’ll be able to delete all suspicious activities of the same type.
- Exclude – החרגה של התראה על שרת או משתמש מסוים
The ability to exclude an entity from raising more of a certain type of alerts. For example, you can set ATA to exclude a specific entity (user or computer) from alerting again for a certain type of suspicious activity, such as a specific admin who runs remote code or a security scanner that does DNS reconnaissance. In addition to being able to add exclusions directly on the Suspicious activity as it is detected in the time line, you can also go to the Configuration page to Exclusions, and for each suspicious activity you can manually add and remove excluded entities or subnets (for example for Pass-the-Ticket).
כאן למידע נוסף לחצו
Deployment options
- Using only ATA Gateways – Port-Mirroring עבור מצריך הגדרה מול שרת פיזי
Your ATA deployment can contain only ATA Gateways, without any ATA Lightweight Gateways: All the domain controllers must be configured to enable port mirroring to an ATA Gateway or network TAPs must be in place.
- Using only ATA Lightweight Gateways – לשימוש בעיקר עבור סנכרון מידע מתוך Domain Controllers
Your ATA deployment can contain only ATA Lightweight Gateways: The ATA Lightweight Gateways are deployed on each domain controller and no additional servers or port mirroring configuration is necessary.
- Using both ATA Gateways and ATA Lightweight Gateways – ניתן להשתמש בשניהם לטובת סנכרון מידע מהאתרים הראשיים.
Your ATA deployment includes both ATA Gateways and ATA Lightweight Gateways. The ATA Lightweight Gateways are installed on some of your domain controllers (for example, all domain controllers in your branch sites). At the same time, other domain controllers are monitored by ATA Gateways (for example, the larger domain controllers in your main data centers).
ATA מבוסס על MongoDB מבחינת מסד הנתונים שלו (Database) ושומר בתוכו את המידע הבא:
– Network activities
– Event activities
– Unique entities
– Suspicious activities
– ATA configuration
למידע נוסף לחצו כאן
ATA Capacity Planning
לפני התקנה יש לבצע ניתוח נתונים לפי ATA Sizing Tool ולהוריד אותו כאן
ולהריץ על הDC’s בארגון .
על בסיס אותם נתונים נוכל לבצע התקנה של המוצר עפ”י המלצות מייקרוסופט , המלצות אלו מתחלקות כך לפי כמות Maximum Network Packets:
- ATA Center Sizing
- ATA Lightweight Gateway
- ATA Gateway
למידע נוסף לחצו כאן
IT & Cyber Security Blog 