1. Ana Sayfa
  2. EMS
  3. Advance Threat Analitics 1.8 (New Version)

Advance Threat Analitics 1.8 (New Version)

Advance Threat Analitics 1.8 (New Version). Bugünkü yazımızda ’nın yeni çıkan versiyonu ile birlikte gelen güncellemeleri ve yeni özellikleri inceleyeceğiz. 1.8 versiyonuyla birlikte gelen en önemli özellikler golden Ticket saldırılarının tespit edilmesi, şüpheli etkinlik ve davranışların raporlanabilmesi, Center ve Ligtware Gateway performanslarının iyileştirilmesi olarak özetlenebilir. Tüm detaylarıyla yeni ve güncellenmiş özellikleri inceleyelim;


Resim-1

1.8 ile güncellenen ve yeni gelen Tehdit Analizleri Nelerdir?

Bu versiyon olağan dışı protokol uygulamaların algılanması ve Wannacry gibi saldırıların önüne geçmek için geliştirilmiş ve güncellenmiştir.

Abnormal modification of sensitive groups : Bizim için kritik öneme ve yetkilendirme haklarına sahip olan gruplar, saldırganlar tarafından önemli yetkilerle sızma işleminin gerçekleşmesi için kullanabildikleri yöntemlerden biridir. ATA, yeni gelen özellikle hassas gruplar üzerinde gerçekleşen anormal davranış ve değişikliklerin tepit edilmesini sağlamaktadır. Grup üzerinde olağan dışı bir davranış oluştuğunda ATA bunu tespit edecektir.

Suspicious authentication failures (Behavioral brute force) : Saldırganlar hesapları ele geçirmek için birçok kez denemelerde bulunur. Kimlik doğrulama işlemleri anormal derecede başarısız olduğunda ATA bu anormal davranışı algılayacaktır.

Remote execution attempt – WMI exec : Saldırganlar domain ortamlarımıza sızmak için WMI aracılığıyla Remote olarak bir takım sorgular çalıştırma girişiminde bulunabilirler. Bu yöntemler gelebilecek olası tehditler ATA tarafından algılanır ve analiz edilir.

ATA 1.7 Versiyonunda yer alan ve 1.8 versiyonuyla güncellenen özelliklere değinelim;

Reconnaissance using directory service queries : Bu özellik, tek bir kaynaktan gelen sorguları algılayabilmek ve önceki sürümlerde üretilen False Positives sayısını azaltmak için geliştirilmiştir. Bu özellik 1.7 versiyonunda Disable edildiyse, 1.8 versiyonunda otomatik olarak etkinleştirilecektir.

Kerberos Golden Ticket Activity : Golden Ticket süresinin dolduğu şüpheli etkinlikler meydana geliyorsa, kısaca Golden Ticket süresi dolan bir kerberos bileti kullanılmaya devam ediyorsa, ATA bu etkinliği şüpheli olarak algılayabilir. Bu güncellemeyle birlikte Golden Ticket aktivitelerini tespit edebilme yeteneği geliştirilmiştir.

Bu özelliklerin yanı sıra önceki versiyonlardan bilinen False Positives aktiviteleri düzeltmeye yönelik bazı güncellemeler yapılmıştır. Bunlar;

Privilege escalation detection (forged PAC)

Encryption downgrade activity (Skeleton Key)

Unusual protocol implementation

Broken trust

Şüpheli Aktiviteleri Sınıflandırma

Ayrıca şüpheli aktivitelerin sınıflandırılması konusunda gelen yenilikler de bulunmaktadır. Örneğin ; bir IT sorumlusu tarafından bilgi dahilinde çalıştırılan herhangi bir komut vb. işlemlerin true positive olarak algılanması durumunda bu şüpheli etkinlikleri exclude ederek kendi ortamınız için aslında anormal olmayan bir aktivite için algılama ve analiz işlemlerini kaldırabilirsiniz. Böylelikle sürekli tekrar eden etkinlikleri de önleyebilirsiniz.


Resim-2

Şüpheli etkinlik uyarılarını izleme süreci artık daha verimli. Şüpheli etkinlik zaman çizelgesi yeniden tasarlandı. ATA 1.8’de, triyaj ve inceleme amaçlı daha iyi bilgi içeren tek bir ekranda çok daha fazla şüpheli etkinlik yapabilirsiniz.

Yeni Gelen Reports Özelliği

ATA 1.8 versiyonu ile gelen raporlama özelliğini en önemli yeniliklerden biri olarak nitelendirebiliriz.

Şüpheli etkinlikleri, Healty statüsü ve ATA tarafından algılanan çok daha fazla veriyi görmemizi sağlayan bir özellik olarak öne çıkmaktadır.


Resim-3

Kendi raporlarınız oluşturabilir ve bu raporlarınızı Schedule edebilirsiniz.

Sensitive Groups Raporu ile de belirli bir süre boyunca hassas gruplarda yapılan tüm değişiklikleri görmek için de raporlardan yararlanabilirsiniz.


Resim-4

Altyapı Güncellemeleri

ATA 1.8 ile ATA Center performansı iyileştirildi. Artık saniyede 1 milyondan fazla veri paketi işleyebilir duruma geldi.

ATA Lightware Gateway Event Forwarding konfigürasyonuna gerek kalmadan lokal olarak Event’ları okuyabiliyor.

Alert ve Şüpheli aktiviteler için ayrı ayrı Email Notification’ı yapabileceğiz.

Güvenlik Güncellemeleri

ATA Center için SSO ile oturum açma desteğinin gelmesiyle birlikte bilgisayarınıza giriş yaptığınız Crediential bilgileriyle ATA konsoluna erişim sağlayabileceksiniz.

Aynı zamanda ATA Center ve Lightware Gateway’ler için Audit Loglar izlenebilir duruma geldi. Audit Loglar Windows Event Log altından izlenebilir.


Resim-5

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

Tags : ata, , , , , , , Microsoft ata, Microsoft ATA, ATA,

Yorum Yap

Yazar Hakkında

Onur PEKDAĞ , İstanbul doğumludur. Öğrenim hayatını Sakarya Üniversitesinde Bilişim Sistemleri üzerine Yüksek Lisans yaparak tamamlamıştır. Daha önce sektörde Sistem Uzmanı, Danışman ve Eğitmen olarak görev yapmış ve birçok önemli firmayla çalışmıştır. Microsoft altyapı ve bulut ürünleriyle çalışmış olup, bu kategorilerde yer alan çözümler üzerine eğitim ve projelerde yer almıştır. Bulut teknolojileriyle yakından ilgilenmekte ve çalışma hayatına BDH bünyesinde Danışman olarak devam etmektedir.Microsoft Bulut çözümleri başta olmak üzere tüm Microsoft Altyapı çözümleriyle birlikte eğitim ve danışmanlık hizmetleri vermeye devam etmektedir.

Yorum Yap