Advance Threat Analitics 1.8 (New Version). Bugünkü yazımızda ATA’nın yeni çıkan versiyonu ile birlikte gelen güncellemeleri ve yeni özellikleri inceleyeceğiz. ATA 1.8 versiyonuyla birlikte gelen en önemli özellikler golden Ticket saldırılarının tespit edilmesi, şüpheli etkinlik ve davranışların raporlanabilmesi, ATA Center ve Ligtware Gateway performanslarının iyileştirilmesi olarak özetlenebilir. Tüm detaylarıyla yeni ve güncellenmiş özellikleri inceleyelim;
Resim-1
1.8 ile güncellenen ve yeni gelen Tehdit Analizleri Nelerdir?
Bu versiyon olağan dışı protokol uygulamaların algılanması ve Wannacry gibi saldırıların önüne geçmek için geliştirilmiş ve güncellenmiştir.
Abnormal modification of sensitive groups : Bizim için kritik öneme ve yetkilendirme haklarına sahip olan gruplar, saldırganlar tarafından önemli yetkilerle sızma işleminin gerçekleşmesi için kullanabildikleri yöntemlerden biridir. ATA, yeni gelen özellikle hassas gruplar üzerinde gerçekleşen anormal davranış ve değişikliklerin tepit edilmesini sağlamaktadır. Grup üzerinde olağan dışı bir davranış oluştuğunda ATA bunu tespit edecektir.
Suspicious authentication failures (Behavioral brute force) : Saldırganlar hesapları ele geçirmek için birçok kez denemelerde bulunur. Kimlik doğrulama işlemleri anormal derecede başarısız olduğunda ATA bu anormal davranışı algılayacaktır.
Remote execution attempt – WMI exec : Saldırganlar domain ortamlarımıza sızmak için WMI aracılığıyla Remote olarak bir takım sorgular çalıştırma girişiminde bulunabilirler. Bu yöntemler gelebilecek olası tehditler ATA tarafından algılanır ve analiz edilir.
ATA 1.7 Versiyonunda yer alan ve 1.8 versiyonuyla güncellenen özelliklere değinelim;
Reconnaissance using directory service queries : Bu özellik, tek bir kaynaktan gelen sorguları algılayabilmek ve önceki sürümlerde üretilen False Positives sayısını azaltmak için geliştirilmiştir. Bu özellik 1.7 versiyonunda Disable edildiyse, 1.8 versiyonunda otomatik olarak etkinleştirilecektir.
Kerberos Golden Ticket Activity : Golden Ticket süresinin dolduğu şüpheli etkinlikler meydana geliyorsa, kısaca Golden Ticket süresi dolan bir kerberos bileti kullanılmaya devam ediyorsa, ATA bu etkinliği şüpheli olarak algılayabilir. Bu güncellemeyle birlikte Golden Ticket aktivitelerini tespit edebilme yeteneği geliştirilmiştir.
Bu özelliklerin yanı sıra önceki versiyonlardan bilinen False Positives aktiviteleri düzeltmeye yönelik bazı güncellemeler yapılmıştır. Bunlar;
Privilege escalation detection (forged PAC)
Encryption downgrade activity (Skeleton Key)
Unusual protocol implementation
Broken trust
Şüpheli Aktiviteleri Sınıflandırma
Ayrıca şüpheli aktivitelerin sınıflandırılması konusunda gelen yenilikler de bulunmaktadır. Örneğin ; bir IT sorumlusu tarafından bilgi dahilinde çalıştırılan herhangi bir komut vb. işlemlerin true positive olarak algılanması durumunda bu şüpheli etkinlikleri exclude ederek kendi ortamınız için aslında anormal olmayan bir aktivite için algılama ve analiz işlemlerini kaldırabilirsiniz. Böylelikle sürekli tekrar eden etkinlikleri de önleyebilirsiniz.
Resim-2
Şüpheli etkinlik uyarılarını izleme süreci artık daha verimli. Şüpheli etkinlik zaman çizelgesi yeniden tasarlandı. ATA 1.8’de, triyaj ve inceleme amaçlı daha iyi bilgi içeren tek bir ekranda çok daha fazla şüpheli etkinlik yapabilirsiniz.
Yeni Gelen Reports Özelliği
ATA 1.8 versiyonu ile gelen raporlama özelliğini en önemli yeniliklerden biri olarak nitelendirebiliriz.
Şüpheli etkinlikleri, Healty statüsü ve ATA tarafından algılanan çok daha fazla veriyi görmemizi sağlayan bir özellik olarak öne çıkmaktadır.
Resim-3
Kendi raporlarınız oluşturabilir ve bu raporlarınızı Schedule edebilirsiniz.
Sensitive Groups Raporu ile de belirli bir süre boyunca hassas gruplarda yapılan tüm değişiklikleri görmek için de raporlardan yararlanabilirsiniz.
Resim-4
Altyapı Güncellemeleri
ATA 1.8 ile ATA Center performansı iyileştirildi. Artık saniyede 1 milyondan fazla veri paketi işleyebilir duruma geldi.
ATA Lightware Gateway Event Forwarding konfigürasyonuna gerek kalmadan lokal olarak Event’ları okuyabiliyor.
Alert ve Şüpheli aktiviteler için ayrı ayrı Email Notification’ı yapabileceğiz.
Güvenlik Güncellemeleri
ATA Center için SSO ile oturum açma desteğinin gelmesiyle birlikte bilgisayarınıza giriş yaptığınız Crediential bilgileriyle ATA konsoluna erişim sağlayabileceksiniz.
Aynı zamanda ATA Center ve Lightware Gateway’ler için Audit Loglar izlenebilir duruma geldi. Audit Loglar Windows Event Log altından izlenebilir.
Resim-5
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Tags : ata, Microsoft ata, güvenliğin atası, Microsoft security urunu, Microsoft güvenlik urunu, advance threat analytics, Advance Threat Analitics Microsoft, Microsoft ata, Microsoft ATA, ATA, MATA