Por Wellington Agápto

/ Em Nuvem /

Postado em

mar 06, 2018

Como detectar atividades suspeitas no Active Directory

 

Existe uma antiga frase na área de TI que diz que o Active Directory é o “esqueleto” do seu ambiente. Ele é a base de acesso aos seus sistemas, permissão de arquivos, autenticação de usuários, etc. Baseando-se nisso entendemos que se algo acontece a ele, a operação da sua empresa será atingida de alguma forma. Mas como realizar uma tratativa/análise constante no ambiente de Active Directory para saber exatamente o que acontece, evitando ataques e possíveis quebras de acessos? A Microsoft lançou o Microsoft ATA (Advanced Threat Analytics) para ajudar nessa questão e é sobre ele que iremos falar.

 

O que é o Advanced Threat Analytics?

O ATA (Advanced Threat Analytics) é uma plataforma local que ajuda a proteger empresas contra vários tipos de ataques cibernéticos avançados e ameaças internas.

 

Como o ATA funciona?

O ATA aproveita um mecanismo de análise de rede proprietário para capturar e analisar o tráfego de rede de vários protocolos (como Kerberos, DNS, RPC, NTLM entre outros) para autenticação, autorização e coleta de informações. Essas informações são coletadas pelo ATA por meio de espelhamento de porta de controladores de domínio e servidores DNS para o Gateway do ATA e/ou implantação de um LGW (Gateway Lightweight do ATA) diretamente nos controladores de domínio.

O ATA obtém informações de várias fontes de dados, como eventos e logs na rede, a fim de aprender o comportamento dos usuários e de outras entidades na organização e criar um perfil comportamental sobre eles. O ATA pode receber eventos e logs de integração do SIEM, WEF (Encaminhamento de Eventos do Windows), diretamente do Coletor de Eventos do Windows (para o Gateway Lightweight).

 

Como o ATA detecta atividades suspeitas no Active Directory?

A tecnologia do ATA detecta várias atividades suspeitas, concentrando-se em várias fases da cadeia do ataque cibernético, incluindo:

  • Reconhecimento, durante o qual os invasores coletam informações sobre como o ambiente foi compilado, o que são os ativos diferentes e quais entidades existem. Geralmente, eles criam o plano para as próximas fases do ataque.
  • Ciclo de movimentação lateral, durante o qual um invasor investe tempo e esforço na propagação da superfície de seu ataque dentro de sua rede.
  • Controle do domínio (persistência), durante o qual um invasor captura as informações permitindo que retome sua campanha usando vários conjuntos de pontos de entrada, credenciais e técnicas.

 

Essas fases de um ataque cibernético são semelhantes e previsíveis, independentemente do tipo de empresa que está sob ataque ou do tipo de informação visado.

 

Quais os principais ataques detectados pelo ATA?

O ATA procura três tipos de ataques principais:

  • Ataques mal-intencionados
  • Comportamento anormal
  • Riscos e problemas de segurança.

Os ataques mal-intencionados são detectados de forma determinista, olhando a lista completa de tipos de ataques conhecidos, incluindo:

  • Pass-the-Ticket (PtT)
  • Pass-the-Hash (PtH)
  • Overpass-the-Hash
  • PAC Forjado (MS14-068)
  • Golden Ticket
  • Replicações mal-intencionadas
  • Reconhecimento
  • Força Bruta
  • Execução remota
  • Logons anormais
  • Ameaças desconhecidas
  • Compartilhamento de senha
  • Movimentação lateral
  • Modificação de grupos confidenciais
  • Confiança quebrada
  • Protocolos fracos
  • Vulnerabilidades de protocolo conhecidas

 

Curtiu o artigo? Gostaria de saber mais sobre o ATA e como a ferramenta pode agregar valor a segurança da informação da sua empresa? Manda uma mensagem!

0

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *