Existe uma antiga frase na área de TI que diz que o Active Directory é o “esqueleto” do seu ambiente. Ele é a base de acesso aos seus sistemas, permissão de arquivos, autenticação de usuários, etc. Baseando-se nisso entendemos que se algo acontece a ele, a operação da sua empresa será atingida de alguma forma. Mas como realizar uma tratativa/análise constante no ambiente de Active Directory para saber exatamente o que acontece, evitando ataques e possíveis quebras de acessos? A Microsoft lançou o Microsoft ATA (Advanced Threat Analytics) para ajudar nessa questão e é sobre ele que iremos falar.

O que é o Advanced Threat Analytics?

O ATA (Advanced Threat Analytics) é uma plataforma local que ajuda a proteger empresas contra vários tipos de ataques cibernéticos avançados e ameaças internas.

Como o ATA funciona?

O ATA aproveita um mecanismo de análise de rede proprietário para capturar e analisar o tráfego de rede de vários protocolos (como Kerberos, DNS, RPC, NTLM entre outros) para autenticação, autorização e coleta de informações. Essas informações são coletadas pelo ATA por meio de espelhamento de porta de controladores de domínio e servidores DNS para o Gateway do ATA e/ou implantação de um LGW (Gateway Lightweight do ATA) diretamente nos controladores de domínio.

O ATA obtém informações de várias fontes de dados, como eventos e logs na rede, a fim de aprender o comportamento dos usuários e de outras entidades na organização e criar um perfil comportamental sobre eles. O ATA pode receber eventos e logs de integração do SIEM, WEF (Encaminhamento de Eventos do Windows), diretamente do Coletor de Eventos do Windows (para o Gateway Lightweight).

Como o ATA detecta atividades suspeitas no Active Directory?

A tecnologia do ATA detecta várias atividades suspeitas, concentrando-se em várias fases da cadeia do ataque cibernético, incluindo:

• Reconhecimento, durante o qual os invasores coletam informações sobre como o ambiente foi compilado, o que são os ativos diferentes e quais entidades existem. Geralmente, eles criam o plano para as próximas fases do ataque.
• Ciclo de movimentação lateral, durante o qual um invasor investe tempo e esforço na propagação da superfície de seu ataque dentro de sua rede.
• Controle do domínio (persistência), durante o qual um invasor captura as informações permitindo que retome sua campanha usando vários conjuntos de pontos de entrada, credenciais e técnicas.

Essas fases de um ataque cibernético são semelhantes e previsíveis, independentemente do tipo de empresa que está sob ataque ou do tipo de informação visado.

Quais os principais ataques detectados pelo ATA?

O ATA procura três tipos de ataques principais:

• Ataques mal-intencionados
• Comportamento anormal
• Riscos e problemas de segurança.

Os ataques mal-intencionados são detectados de forma determinista, olhando a lista completa de tipos de ataques conhecidos, incluindo:

• Pass-the-Ticket (PtT)
• Pass-the-Hash (PtH)
• Overpass-the-Hash
• PAC Forjado (MS14-068)
• Golden Ticket
• Replicações mal-intencionadas
• Reconhecimento
• Força Bruta
• Execução remota
• Logons anormais
• Ameaças desconhecidas
• Compartilhamento de senha
• Movimentação lateral
• Modificação de grupos confidenciais
• Confiança quebrada
• Protocolos fracos
• Vulnerabilidades de protocolo conhecidas

Curtiu o artigo? Gostaria de saber mais sobre o ATA e como a ferramenta pode agregar valor a segurança da informação da sua empresa? Manda uma mensagem!