KUNGFU TECH

0
0
Lập trình
Thaycacac
Thaycacac thaycacac

Phân Tích Mối Nguy Hại Trong Môi Trường Active Directory với Microsoft Advanced Threat Analytics

Đăng vào 1 tháng trước

• 2 phút đọc

Chủ đề:

Threat Analyticsystem security

Microsoft Advanced Threat Analytics (ATA)

Microsoft Advanced Threat Analytics (ATA) là một giải pháp bảo mật mạng tối ưu, nhằm phát hiện và phân tích các hành vi đáng ngờ cũng như các mối đe dọa an ninh trong môi trường mạng của tổ chức. Với việc sử dụng công nghệ tiên tiến, ATA giúp bảo vệ hệ thống Active Directory khỏi các tấn công tinh vi.

Cách Thức Hoạt Động Của ATA

ATA thu thập thông tin về lưu lượng mạng từ nhiều loại giao thức khác nhau như Kerberos, DNS, RPC, NTLM,... trong quá trình xác thực và phân quyền. Quá trình thu thập thông tin bao gồm:

  • Port mirroring từ các Domain Controllers và DNS servers đến ATA Gateway.
  • Triển khai ATA Lightweight Gateway (LGW) trực tiếp trên các Domain Controllers.

Ngoài ra, ATA còn thu nhận thông tin từ nhiều nguồn khác nhau, chẳng hạn như logs và events trong mạng, từ đó học hỏi hành vi của người dùng nhằm phát hiện các hoạt động bất thường.

ATA có khả năng nhận biết các events và logs từ:

  • SIEM Integration
  • Windows Event Forwarding (WEF)
  • Trực tiếp từ Windows Event Collector (đối với Lightweight Gateway)

Giao diện người dùng của ATA có thể được tham khảo tại: ATA Console Documentation

Phân Tích Các Hoạt Động Đáng Ngờ

Các hoạt động đáng ngờ được chia thành 3 loại chính:

  • True positive: Hành động độc hại được ATA phát hiện.
  • Benign true positive: Phát hiện đúng nhưng không nguy hiểm, ví dụ như trong các bài thử nghiệm thâm nhập.
  • False positive: Cảnh báo sai, không phải là tấn công nhưng vẫn kích hoạt thông báo.

Các Loại Cảnh Báo

ATA cung cấp nhiều loại cảnh báo liên quan đến các hoạt động đáng ngờ, bao gồm:

  • Sửa đổi quyền bất thường (Abnormal modification of sensitive groups)
  • Tấn công Brute force thông qua LDAP simple bind.
  • Hoạt động hạ cấp mã hóa (Encryption downgrade activity)
  • Honeytoken activity - Tài khoản không được sử dụng nhằm lừa kẻ tấn công.
  • Đánh cắp danh tính qua tấn công Pass-the-Hash.
  • Đánh cắp danh tính qua tấn công Pass-the-Ticket.
  • Hoạt động Kerberos Golden Ticket.
  • Yêu cầu thông tin bảo vệ dữ liệu độc hại.
  • Sao chép Directory Services có dấu hiệu độc hại.
  • Xóa đối tượng hàng loạt (Massive object deletion).
  • Tăng quyền trái phép thông qua dữ liệu ủy quyền giả mạo.
  • Khảo sát bằng cách liệt kê tài khoản.
  • Khảo sát sử dụng các truy vấn Directory Services.
  • Khảo sát qua DNS.
  • Khảo sát thông qua enumerating phiên SMB.
  • Phát hiện nỗ lực thực thi từ xa.
  • Thông tin đăng nhập tài khoản nhạy cảm bị rò rỉ.
  • Tạo dịch vụ nghi ngờ.
  • Nghi ngờ đánh cắp danh tính dựa trên hành vi bất thường.
  • Thực hiện giao thức không bình thường.

Chi tiết về các hoạt động đáng ngờ có thể tham khảo tại Suspicious Activity Guide.

Ngăn Ngừa Di Chuyển Ngang

Để ngăn ngừa các hoạt động di chuyển ngang trong môi trường Active Directory, bạn có thể tham khảo các chiến lược tại Lateral Movement Path.

Tài Liệu Hỗ Trợ

Có thêm tài liệu hướng dẫn chi tiết về ATA tại [Microsoft Advanced Threat Analytics Overview](https://info.microsoft.com/rs/157-GQE-382/images/WE-SCRTY-CNTNT-FY17-03Mar-13-Advanced Threat Analytics-310193_content.pdf).
source: viblo

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào