微軟針對內部威脅行為分析的解決方案Advanced Threat Analytics(ATA),最近推出1.6版,新增5種攻擊手法的偵測能力,並提升發現已支援項目的準確性;而對於分析主機ATA Center,也改善資料庫效能,同時所需的儲存空間大幅降低。

ATA主要是透過分析使用者在存取實體(Entity)的行為,發現不尋常的操作記錄,在1.6版中,加入發現新的異常行為的能力,主要針對5種攻擊進行探索,分別是可偵測有心人士偽造網域控制器之間的複寫(Replication)請求、假冒的資料保護私人資料請求、利用Kerberos服務的弱點提升權限、透過不尋常的連接埠攻擊行為,以及攻擊者透過網路工作階段(Net Session)執行探勘等。

而對於ATA已經能夠發現的弱點,像是Golden Ticket、暴力破解密碼,以及遠端執行漏洞等,在1.6版中也改善了辨識的方式,減少誤判與遺漏的情況。

強化與網域控制器、AD認證相關的威脅發掘能力

ATA對於異常行為偵測,主要針對5種情境的行為,進行偵側。首先,這包含了「入侵者事先偵察(Reconnaissance)」行為,像是不尋常的資源存取、清查使用者帳戶與DNS等現象,進行察覺;再來,微軟歸納為「偽造的憑證請求(Compromised Credential)」行為,例如在異常、非上班時段,或者利用一般端點電腦極少使用的連接埠,還有嘗試暴力破解NTLM、Kerberos、LDAP目錄等服務,以及藉由假冒的資料保護API(DPAPI)請求等狀態的發現。

而接下來,這3種類型,可說是已經取得基礎控制之後的進階行為,這包含了反常的資源存取、傳遞雜湊(Pass-the-Hash)攻擊等「橫向移動(Lateral Movement)」行為、「權限提升(Privilege Escalation)」行為,甚至是像Golden Ticket與遠端執行漏洞這類「控制網域(Domain Dominance)」行為等。

在新版加入的可疑行為挖掘能力中,除了透過網路階段進行探勘的行為之外,其餘的幾乎都與AD有著相高的關連。像是發出假造的網域控制器複寫請求,有心人士可藉此取得如密碼的雜湊值等,在AD存放的資料,或者,利用資料保護API(DPAPI)請求,還原使用者密碼或認證,進而取得所有網域電腦的資料;而被微軟標示為MS11-013、可利用Kerberos服務提升權限的弱點,也與網域相關,而這也突顯了,ATA主要是透過AD收取並分析網路流量的特性。

ATA強調針對5大面向,提供可疑行為的偵測能力,包含了入侵者事先偵察行為(Reconnaissance)、偽造的憑證請求(Compromised Credential)、橫向移動(Lateral Movement)、不當的權限提升(Privilege Escalation),以及控制網域(Domain Dominance)等。而這些可疑行為,幾乎都和AD有關,以這次新加入的5種偵測能力來說,除了探勘行為之外,其他新功能都和能透過網域控制器取得資料,或是提升權限有關。

新的偵測趨勢,不少推出使用者行為分析產品的廠商,不約而同強調攻擊鏈(Kill Chain)中,各階段疑似攻擊的行為發掘。在ATA 1.6版中,針對入侵者提升權限的流程,被視為相當關鍵的一環,其中新版本增加的偵測項目,就有針對透過Kerberos弱點的動作,加以發現。

從現有的AD環境收取網路流量之外,ATA也支援收取第三方SIEM平臺的記錄檔,進行分析,在現有的RSA Security Analytics、HPE ArcSight與Splunk之外,新版本也可接收IBM QRadar的資料。

新增ATA Lightweight Gateway,提供較為輕省的收集器部署方式

在架構上,這款解決方案包含了執行異常行為分析的ATA Center主機,以及資料收集的ATA Gateway伺服器,而新版提供的ATA Lightweight Gateway,則是移除對指定硬體與連接埠監控限制的ATA Gateway,適合部署在本地端或是IaaS服務的網域控制器上,它能在不影響網域控制器運作的前提之下,有限度調配可用資源,進而對於硬體資源相對有限的環境,簡化收集器的建置。

ATA Lightweight Gateway與ATA Gateway兩種收集網路流量的工具,差別在於前者可部署在網域控制器上,同時能夠依據可用資源(每10秒自動偵測一次),有限度的自動調用,而不致影響網域控制器的運作。對於資源較有限的環境,就能以這個工具收集網路流量,供ATA進行分析。微軟在文件中提到,ATA Lightweight Gateway會保留至少15%的處理器與記憶體資源,以免影響系統運作。

資料庫使用量減少8成,負載隨之降低,可支援更大規模的偵測

這個版本也改善了ATA Center的效能,減輕它的資料庫負載,因此,單一的ATA Center能夠分析來自更多網路控制器的流量,增加偵測的規模。同時,資料庫所需的儲存空間也大幅降低,只需舊版的五分之一即可。此外,新版還可自動更新ATA Center與ATA Gateway軟體,藉此減少軟體漏洞問題。

在安裝或升級成ATA 1.6版時,安裝程式會提示啟用Microsoft Update自動更新的功能。具體的方式而言,更新都是先派送給ATA Center,再分送新版的ATA Gateway,與ATA Lightweight Gateway程式,升級收集器端的軟體。在這個版本與之前的舊版本,管理者必須自行下載安裝程式,手動更新完ATA Center之後,再連線到ATA Gateway,向ATA Center取得新版本的軟體,執行升級。未來透過自動更新的導入,就能減少維護的負擔。

產品資訊

●廠商:微軟(02)3725-3888

●建議售價:每個使用者、每月費用為3.5美元(未稅)

●硬體需求:4核心處理器、48GB記憶體、200GB硬碟空間(ATA Center)

●作業系統需求:Windows Server 2012 R2(ATA Center與ATA Gateway)、Windows Server 2008~2012 R2(網域控制器與ATA Lightweight Gateway)

●資料庫軟體:MangoDB


Advertisement

更多 iThome相關內容