Nejčastější dotazy k ATA

Pokud máte aktivní smlouva Enterprise, můžete si software stáhnout z Centra multilicenčních programů Společnosti Microsoft (VLSC).

Pokud jste získali licenci pro Enterprise Mobility + Security (EMS) přímo prostřednictvím portálu Microsoft 365 nebo prostřednictvím licenčního modelu partnera CSP (Cloud Solution Partner) a nemáte přístup k ATA prostřednictvím centra Microsoft Volume Licensing Center (VLSC), obraťte se na zákaznickou podporu Microsoftu a získejte proces aktivace Advanced Threat Analytics (ATA).

Podívejte se na nejnovější chybu v aktuálním protokolu chyb (kde je ATA nainstalovaná ve složce Protokoly).

Podezřelé aktivity můžete simulovat tak, že provedete jeden z následujících kroků:

1. Rekognoskace DNS pomocí Nslookup.exe
2. Vzdálené spuštění pomocí psexec.exe

To musí běžet vzdáleně proti monitorovanému řadiči domény, a ne z ATA Gateway.

Informace o upgradu verze najdete v tématu Cesta upgradu ATA.

Informace o matici upgradu verze ATA najdete v části Cesta upgradu ATA.

Mechanismus detekce ATA se vylepšuje, když je v ATA Center nainstalovaná nová verze. Centrum můžete upgradovat buď pomocí služby Microsoft Update (MU), nebo ručním stažením nové verze z webu Download Center nebo multilicenčního webu.

Následující kód můžete umístit do souboru a pak ho spustit z příkazového řádku v adresáři: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin následujícím způsobem:

mongo.exe ATA název souboru

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA spoléhá na analýzu více síťových protokolů a také událostí shromážděných ze SIEM nebo předávání událostí systému Windows. Detekce založené na síťových protokolech s šifrovaným provozem (například LDAPS a IPSEC) nebudou analyzovány.

ATA podporuje povolení obranu protokolu Kerberos, označované také jako fast (Flexible Authentication Secure Tunneling), s výjimkou detekce přetečování hodnoty hash, která nebude fungovat.

Počet ATA Gateway závisí na rozložení sítě, objemu paketů a objemu událostí zachycených ATA. Pokud chcete zjistit přesné číslo, podívejte se na určení velikosti ATA Lightweight Gateway.

Pro každý celý den s průměrem 1 000 paketů za sekundu potřebujete 0,3 GB úložiště. Další informace o nastavení velikosti ATA Center najdete v tématu Plánování kapacity ATA.

K tomu dochází v případě, že je účet členem určitých skupin, které určíme jako citlivé (například doména Správa s).

Abyste pochopili, proč je účet citlivý, můžete zkontrolovat jeho členství ve skupině a zjistit, do kterých citlivých skupin patří (skupina, do které patří, může být citlivá i kvůli jiné skupině, takže stejný proces byste měli provést, dokud nenajdete skupinu s nejvyšší úrovní).

Kromě toho můžete uživatele, skupinu nebo počítač ručně označit jako citlivé. Další informace najdete v tématu Označování citlivých účtů.

Většina virtuálních řadičů domény může být pokryta ATA Lightweight Gateway, abyste zjistili, jestli je ATA Lightweight Gateway vhodná pro vaše prostředí, viz plánování kapacity ATA.

Pokud ATA Lightweight Gateway nemůže pokrýt virtuální řadič domény, můžete mít virtuální nebo fyzickou ATA Gateway, jak je popsáno v části Konfigurace zrcadlení portů.

Nejjednodušším způsobem je mít virtuální ATA Gateway na každém hostiteli, kde existuje virtuální řadič domény. Pokud se virtuální řadiče domény pohybují mezi hostiteli, musíte provést jeden z následujících kroků:

• Když se virtuální řadič domény přesune na jiného hostitele, předem nakonfigurujte ATA Gateway v daném hostiteli tak, aby přijímal provoz z nedávno přesunutého virtuálního řadiče domény.
• Ujistěte se, že virtuální ATA Gateway přičleníte k virtuálnímu řadiči domény, aby se při jeho přesunutí přesunula služba ATA Gateway.
• Existují některé virtuální přepínače, které můžou posílat provoz mezi hostiteli.

Informace o zotavení po havárii ATA

ATA detekuje známé škodlivé útoky a techniky, problémy se zabezpečením a rizika. Úplný seznam detekcí ATA najdete v tématu Jaké detekce ATA provádí?.

Doporučujeme rychlé úložiště (nedoporučuje se 7200 disků ot/min) s přístupem k disku s nízkou latencí (méně než 10 ms). Konfigurace RAID by měla podporovat velké zatížení zápisu (RAID-5/6 a jejich deriváty se nedoporučují).

ATA Gateway potřebuje minimálně dva síťové adaptéry:
1. Síťová karta pro připojení k interní síti a ATA Center
2. Síťová karta, která se používá k zachycení síťového provozu řadiče domény prostřednictvím zrcadlení portů.
* Neplatí to pro ATA Lightweight Gateway, která nativně používá všechny síťové adaptéry, které řadič domény používá.

ATA má obousměrnou integraci se SIEM následujícím způsobem:

1. ATA je možné nakonfigurovat tak, aby po zjištění podezřelé aktivity odeslala upozornění Syslogu na jakýkoli server SIEM pomocí formátu CEF.
2. ATA je možné nakonfigurovat tak, aby přijímala zprávy Syslogu pro události Windows z těchto siEM.

Ano, ataa Lightweight Gateway můžete použít k monitorování řadičů domény, které jsou v jakémkoli řešení IaaS.

Microsoft Advanced Threat Analytics je místní produkt.

Toto řešení je v současné době samostatná nabídka – není součástí MICROSOFT Entra ID ani místní Active Directory.

U Microsoft Advanced Threat Analytics není potřeba vytvářet pravidla, prahové hodnoty ani směrné plány a pak je doladit. ATA analyzuje chování mezi uživateli, zařízeními a prostředky – stejně jako jejich vztah k sobě – a dokáže rychle detekovat podezřelé aktivity a známé útoky. AtA začne zjišťovat podezřelé aktivity chování za tři týdny po nasazení. Na druhou stranu ATA začne okamžitě po nasazení zjišťovat známé škodlivé útoky a problémy se zabezpečením.

Ano, i když je ATA nainstalovaná po porušení zabezpečení, MŮŽE ATA stále zjišťovat podezřelé aktivity hackera. ATA se nejen dívá na chování uživatele, ale také na ostatní uživatele v mapě zabezpečení organizace. Pokud je chování útočníka neobvyklé, během počáteční analýzy se identifikuje jako "odlehlý" a ATA bude hlásit neobvyklé chování. ATA může navíc zjistit podezřelou aktivitu, pokud se hacker pokusí ukrást přihlašovací údaje jiného uživatele, například Pass-the-Ticket, nebo se pokusí provést vzdálené spuštění na jednom z řadičů domény.

Kromě analýzy provozu služby Active Directory pomocí technologie hloubkové kontroly paketů může ATA také shromažďovat relevantní události z vaší služby SIEM (Security Information and Event Management) a vytvářet profily entit na základě informací z Doména služby Active Directory Services. ATA může také shromažďovat události z protokolů událostí, pokud organizace nakonfiguruje předávání protokolu událostí Windows.

Zrcadlení portů označované také jako SPAN (Switched Port Analyzer) je metoda monitorování síťového provozu. Při povoleném zrcadlení portů přepínač odesílá kopii všech síťových paketů, které se zobrazují na jednom portu (nebo v celé síti VLAN) na jiný port, kde je možné paket analyzovat.

Č. ATA monitoruje všechna zařízení v síti, která provádějí požadavky na ověřování a autorizaci ve službě Active Directory, včetně jiných zařízení než Windows a mobilních zařízení.

Ano. Vzhledem k tomu, že účty počítačů (stejně jako jakékoli jiné entity) se dají použít k provádění škodlivých aktivit, ATA monitoruje chování všech účtů počítačů a všechny ostatní entity v prostředí.

Microsoft Advanced Threat Analytics podporuje vícedoménová prostředí v rámci stejné hranice doménové struktury. Více doménových struktur vyžaduje nasazení ATA pro každou doménovou strukturu.

Ano, můžete zobrazit celkový stav nasazení a také konkrétní problémy související s konfigurací, připojením atd., a během jejich výskytu se zobrazí upozornění.

Viz také

• Požadavky ATA
• Plánování kapacity ATA
• Konfigurace shromažďování událostí
• Konfigurace předávání událostí systému Windows
• Podívejte se na fórum ATA!