von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Windows Server 2016 mit Windows Defender und ATA schützen (2)
Mit Deep-Packet-Inspection und SIEM auf Angreifersuche
Die Aufgabe von ATA ist es nicht, Angriffe im Netzwerk zu verhindern, sondern bereits durchgeführte Angriffe einzudämmen, Sicherheitslücken zu erkennen und Administratoren über kompromittierte Netzwerke und gestohlene Benutzerdaten zu informieren. Den Schutz des Netzwerks vor Angreifern übernehmen Firewalls, Virenscanner und andere Sicherheitslösungen. Erst wenn diese versagen, kommt ATA zum Einsatz und hat dann die Aufgabe, laufende Einbrüche zu entdecken und die verantwortlichen Administratoren zu benachrichtigen.
Dazu stellt das Werkzeug eine Weboberfläche zur Verfügung und bietet die Möglichkeit, E-Mails zu versenden oder Syslogs zu pflegen, sobald es Angreifer entdeckt. Viele Administratoren nutzen zur Überwachung von Netzwerken Protokolldateien und Netzwerküberwachungen mit speziellen Tools. Allerdings reichen diese Mittel bei weitem nicht mehr aus und sind vor allem sehr ineffizient in der Analyse. ATA nutzt Machine-Learning-Technologien und Echtzeitanalysen der Netzwerkvorgänge, um Angreifer zu entdecken – auch dann, wenn diese komplexere Angriffe starten. Erkannt werden die Anomalien dank Deep Packet Inspection (DPI), indem Netzwerkverkehr im Active Directory und die Daten von Security-Information-and-Event-Management-(SIEM)-Systemen zusammengeführt und zu analysiert werden. Diese sammeln Informationen, werten sie aus und geben bei Bedarf Alarme aus. Diese Alarme wiederum kann ATA auswerten. Das gilt auch für die Informationen von Syslog-Servern, die normalerweise zu komplex für die manuelle Analyse sind. Diese Zusammenarbeit ist aber kein Muss, sondern nur optional.
Auf diese Weise erkennt ATA ungewöhnliche Benutzeraktionen an Endgeräten, die auf verseuchte Rechner hindeuten. Das können beispielsweise ungewöhnliche Anmeldezeiten am Rechner sein. ATA entdeckt dank erweiterter Analysen zudem die angesprochenen Pass-the-Hash-Attacken (PtH). Diese zielen nicht auf die Kennwörter direkt ab, sondern auf die Hashes, die das Active Directory erzeugt, nachdem sich ein Benutzer authentifiziert hat. Angreifer stehlen dieses Hashes und erhalten damit Benutzer- oder sogar Administratorberechtigungen. Dieser Angriff ist nur schwer zu erkennen und bleibt in den meisten Firmen ohne Lösungen wie ATA unbemerkt. Das gilt auch für die ebenfalls erkannten Varianten Pass-the-Ticket, Overpass-the-Hash, Forged PAC (MS14-068), Remote Execution, Golden Ticket, Skeleton key malware, Reconnaissance und Brute-Force-Attacken.
ATA erkennt aber nicht nur bereits aktuelle Angriffe, sondern spürt auch Sicherheitslücken auf, die Angriffe wahrscheinlich machen. So erkennt die Software zum Beispiel Benutzerkonten von Systemdiensten, die Kennwörter in Klartext verwenden, fehlerhafte Vertrauensstellungen zwischen Domänen sowie Schwachstellen in Protokollen und deren Schnittstellen.
Einfach gehaltene Informationen
Ein Vorteil von ATA ist, dass Sie sich als Administrator zunächst mit diesen vielfältigen und komplexen Angriffsmethoden nicht auskennen müssen. ATA übernimmt die Analyse des Netzwerks und informiert Sie über alle Vorgänge. Die Oberfläche dazu ist sehr einfach aufgebaut und lässt sich auch von Administratoren verstehen, die keine Sicherheitsexperten sind. Auch müssen Sie für die Verwendung von ATA keinerlei Regeln definieren, Agenten installieren oder komplexe Sicherheitsszenarien umsetzen. Die Anwendung analysiert Domänencontroller und Netzwerke auf verdächtige Vorgänge und informiert Sie so umfangreich, dass Sie auch etwas mit den Informationen anfangen können.
Im ersten Schritt analysiert ATA den kompletten Datenverkehr in der Active-Directory-Umgebung und den Zugriff der Benutzer. Alle Aktionen der Server und Anwender werden protokolliert, gemessen und untersucht. Auf Basis der Informationen lernt ATA dann, was normale Vorgänge sind und welche Vorgehensweisen im Netzwerk eher unüblich und verdächtig erscheinen. Anschließend ist ATA auf Basis seiner Analysen in der Lage, Angriffe auf das Netzwerk zu erkennen und genauere Abläufe der Angriffe und Zeitpunkte auszumachen. Angriffe werden dann an die Administratoren gemeldet und Gegenmaßnahmen eingeleitet. Dabei erhalten Sie genaue zeitliche Informationen darüber, wann welche verdächtigen Aktionen stattfanden. Sie sehen etwa, wann ein Benutzer mit einem kompromittierten Account und Computer auf Ressourcen zugegriffen hat und welche Ressourcen das waren.
Seite 1: Installation von Microsoft Advanced Threat Analytics
Seite 2: Mit Deep-Packet-Inspection und SIEM auf Angreifersuche
Im dritten Teil zeigen wir unter anderem, wie Sie die ATA-Infrastruktur aufbauen und das ATA-Gateway konfigurieren. Im ersten Teil haben wir uns vor allem damit beschäftigt, wie Sie Windows Defender per GUI und PowerShell verwalten.
jp/ln/Thomas Joos
Die Aufgabe von ATA ist es nicht, Angriffe im Netzwerk zu verhindern, sondern bereits durchgeführte Angriffe einzudämmen, Sicherheitslücken zu erkennen und Administratoren über kompromittierte Netzwerke und gestohlene Benutzerdaten zu informieren. Den Schutz des Netzwerks vor Angreifern übernehmen Firewalls, Virenscanner und andere Sicherheitslösungen. Erst wenn diese versagen, kommt ATA zum Einsatz und hat dann die Aufgabe, laufende Einbrüche zu entdecken und die verantwortlichen Administratoren zu benachrichtigen.
Dazu stellt das Werkzeug eine Weboberfläche zur Verfügung und bietet die Möglichkeit, E-Mails zu versenden oder Syslogs zu pflegen, sobald es Angreifer entdeckt. Viele Administratoren nutzen zur Überwachung von Netzwerken Protokolldateien und Netzwerküberwachungen mit speziellen Tools. Allerdings reichen diese Mittel bei weitem nicht mehr aus und sind vor allem sehr ineffizient in der Analyse. ATA nutzt Machine-Learning-Technologien und Echtzeitanalysen der Netzwerkvorgänge, um Angreifer zu entdecken – auch dann, wenn diese komplexere Angriffe starten. Erkannt werden die Anomalien dank Deep Packet Inspection (DPI), indem Netzwerkverkehr im Active Directory und die Daten von Security-Information-and-Event-Management-(SIEM)-Systemen zusammengeführt und zu analysiert werden. Diese sammeln Informationen, werten sie aus und geben bei Bedarf Alarme aus. Diese Alarme wiederum kann ATA auswerten. Das gilt auch für die Informationen von Syslog-Servern, die normalerweise zu komplex für die manuelle Analyse sind. Diese Zusammenarbeit ist aber kein Muss, sondern nur optional.
Auf diese Weise erkennt ATA ungewöhnliche Benutzeraktionen an Endgeräten, die auf verseuchte Rechner hindeuten. Das können beispielsweise ungewöhnliche Anmeldezeiten am Rechner sein. ATA entdeckt dank erweiterter Analysen zudem die angesprochenen Pass-the-Hash-Attacken (PtH). Diese zielen nicht auf die Kennwörter direkt ab, sondern auf die Hashes, die das Active Directory erzeugt, nachdem sich ein Benutzer authentifiziert hat. Angreifer stehlen dieses Hashes und erhalten damit Benutzer- oder sogar Administratorberechtigungen. Dieser Angriff ist nur schwer zu erkennen und bleibt in den meisten Firmen ohne Lösungen wie ATA unbemerkt. Das gilt auch für die ebenfalls erkannten Varianten Pass-the-Ticket, Overpass-the-Hash, Forged PAC (MS14-068), Remote Execution, Golden Ticket, Skeleton key malware, Reconnaissance und Brute-Force-Attacken.
ATA erkennt aber nicht nur bereits aktuelle Angriffe, sondern spürt auch Sicherheitslücken auf, die Angriffe wahrscheinlich machen. So erkennt die Software zum Beispiel Benutzerkonten von Systemdiensten, die Kennwörter in Klartext verwenden, fehlerhafte Vertrauensstellungen zwischen Domänen sowie Schwachstellen in Protokollen und deren Schnittstellen.
Einfach gehaltene Informationen
Ein Vorteil von ATA ist, dass Sie sich als Administrator zunächst mit diesen vielfältigen und komplexen Angriffsmethoden nicht auskennen müssen. ATA übernimmt die Analyse des Netzwerks und informiert Sie über alle Vorgänge. Die Oberfläche dazu ist sehr einfach aufgebaut und lässt sich auch von Administratoren verstehen, die keine Sicherheitsexperten sind. Auch müssen Sie für die Verwendung von ATA keinerlei Regeln definieren, Agenten installieren oder komplexe Sicherheitsszenarien umsetzen. Die Anwendung analysiert Domänencontroller und Netzwerke auf verdächtige Vorgänge und informiert Sie so umfangreich, dass Sie auch etwas mit den Informationen anfangen können.
Im ersten Schritt analysiert ATA den kompletten Datenverkehr in der Active-Directory-Umgebung und den Zugriff der Benutzer. Alle Aktionen der Server und Anwender werden protokolliert, gemessen und untersucht. Auf Basis der Informationen lernt ATA dann, was normale Vorgänge sind und welche Vorgehensweisen im Netzwerk eher unüblich und verdächtig erscheinen. Anschließend ist ATA auf Basis seiner Analysen in der Lage, Angriffe auf das Netzwerk zu erkennen und genauere Abläufe der Angriffe und Zeitpunkte auszumachen. Angriffe werden dann an die Administratoren gemeldet und Gegenmaßnahmen eingeleitet. Dabei erhalten Sie genaue zeitliche Informationen darüber, wann welche verdächtigen Aktionen stattfanden. Sie sehen etwa, wann ein Benutzer mit einem kompromittierten Account und Computer auf Ressourcen zugegriffen hat und welche Ressourcen das waren.
Seite 2: Mit Deep-Packet-Inspection und SIEM auf Angreifersuche
Im dritten Teil zeigen wir unter anderem, wie Sie die ATA-Infrastruktur aufbauen und das ATA-Gateway konfigurieren. Im ersten Teil haben wir uns vor allem damit beschäftigt, wie Sie Windows Defender per GUI und PowerShell verwalten.
| << Vorherige Seite | Seite 2 von 2 |
jp/ln/Thomas Joos