Häufig gestellte Fragen zu ATA

Wenn Sie über einen aktive Konzernvertrag verfügen, können Sie die Software aus dem Microsoft Volumenlizenzierungs-Center (VLSC) herunterladen.

Wenn Sie eine Lizenz für Enterprise Mobility + Security (EMS) direkt über das Microsoft 365-Portal oder über das Cloud Solution Partner (CSP)-Lizenzierungsmodell erworben haben und keinen Zugriff auf ATA über das Microsoft Volumenlizenzierungs-Center (VLSC) haben, wenden Sie sich an den Microsoft-Kundensupport, um den Prozess zum Aktivieren von Advanced Threat Analytics (ATA) zu erhalten.

Sehen Sie sich den neuesten Fehler im aktuellen Fehlerprotokoll an (Wo ATA unter dem Ordner „Protokolle“ installiert ist).

Sie können verdächtige Aktivitäten simulieren, bei denen es sich um einen End-to-End-Test handelt, indem Sie eine der folgenden Aktionen ausführen:

1. DNS Reconnaissance mit Nslookup.exe
2. Remoteausführung mithilfe von psexec.exe

Dies muss remote für den Domänencontroller ausgeführt werden, der überwacht wird, und nicht vom ATA-Gateway.

Informationen zum Versions-Upgrade finden Sie unter ATA-Upgrade-Pfad.

Informationen zum Versions-Upgrade finden Sie unter ATA-Upgrade-Pfad.

Der ATA-Erkennungsmechanismus wird verbessert, wenn eine neue Version im ATA Center installiert wird. Sie können das Center entweder mithilfe von Microsoft Update (MU) aktualisieren oder die neue Version manuell im Download Center oder auf der Volumenlizenz-Seite herunterladen.

Sie können den folgenden Code in eine Datei einfügen und dann über eine Eingabeaufforderung im Verzeichnis ausführen: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin wie folgt:

mongo.exe ATA Dateiname

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA basiert auf der Analyse mehrerer Netzwerkprotokolle sowie Ereignisse, die vom SIEM oder über die Windows-Ereignisweiterleitung erfasst werden. Erkennungen basierend auf Netzwerkprotokollen mit verschlüsseltem Datenverkehr (z. B. LDAPS und IPSEC) werden nicht analysiert.

Das Aktivieren von Kerberos Armor, auch bekannt als Flexible Authentication Secure Tunneling (FAST), wird von ATA unterstützt, mit Ausnahme der Pass-the-Hash-Erkennung, die nicht funktioniert.

Die Anzahl der ATA-Gateways hängt vom Netzwerklayout, dem Volumen von Paketen und dem Volumen von Ereignissen ab, die von ATA erfasst werden. Informationen zum Ermitteln der genauen Zahl finden Sie unter Dimensionierung der leichten ATA-Gateways.

Für einen ganzen Tag mit durchschnittlich 1000 Paketen/Sek. benötigen Sie 0,3 GB Speicher. Weitere Informationen zur ATA Center-Dimensionierung finden Sie unter ATA Kapazitätsplanung.

Dies geschieht, wenn ein Konto Mitglied bestimmter Gruppen ist, die wir als vertraulich festlegen (z. B. „Domänen-Admins“).

Um zu verstehen, warum ein Konto vertraulich ist, können Sie die Gruppenmitgliedschaft überprüfen, um zu sehen, zu welchen vertraulichen Gruppen es gehört (die Gruppe, zu der es gehört, kann auch aufgrund einer anderen Gruppe vertraulich sein, sodass derselbe Prozess ausgeführt werden sollte, bis Sie die Gruppe mit der höchsten Ebene gefunden haben).

Darüber hinaus können Sie einen Benutzer, eine Gruppe oder einen Computer manuell als vertraulich markieren. Weitere Informationen finden Sie unter Vertrauliche Konten kennzeichnen.

Die meisten virtuellen Domänencontroller können vom ATA Lightweight Gateway abgedeckt werden, um zu ermitteln, ob das ATA Lightweight Gateway für Ihre Umgebung geeignet ist, siehe ATA-Kapazitätsplanung.

Wenn ein virtueller Domänencontroller nicht vom ATA Lightweight Gateway abgedeckt werden kann, können Sie entweder ein virtuelles oder physisches ATA-Gateway nutzen, wie unter Konfigurieren von Port-Spiegelung beschrieben.

Die einfachste Möglichkeit ist, ein virtuelles ATA-Gateway auf jedem Host zu haben, auf dem ein virtueller Domänencontroller vorhanden ist. Wenn Ihre virtuellen Domänencontroller zwischen Hosts wechseln, müssen Sie einen der folgenden Schritte ausführen:

• Wenn der virtuelle Domänencontroller zu einem anderen Host wechselt, konfigurieren Sie das ATA-Gateway in diesem Host vorab, um den Datenverkehr vom kürzlich verschobenen virtuellen Domänencontroller zu empfangen.
• Stellen Sie sicher, dass Sie das virtuelle ATA-Gateway mit dem virtuellen Domänencontroller verbinden, damit das ATA-Gateway bei Verschiebungen mit dem Gateway verschoben wird.
• Es gibt einige virtuelle Switches, die Datenverkehr zwischen Hosts senden können.

Informationen zur ATA-Notfallwiederherstellung

ATA erkennt bekannte böswillige Angriffe und Techniken, Sicherheitsprobleme und Risiken. Die vollständige Liste der ATA-Erkennungen finden Sie unter Welche Erkennungen führt ATA durch?.

Wir empfehlen, schnellen Speicher (7200-RPM-Datenträger werden nicht empfohlen) mit Zugriff auf Datenträger mit geringer Latenz (weniger als 10 ms). Die RAID-Konfiguration sollte schwere Schreiblasten unterstützen (RAID-5/6 und ihre Ableitungen werden nicht empfohlen).

Das ATA-Gateway benötigt mindestens zwei Netzwerkadapter:
1. Einen NIC zum Herstellen einer Verbindung mit dem internen Netzwerk und dem ATA Center
2. Einen NIC, der zum Erfassen des Domänencontroller-Netzwerkdatenverkehrs über Port-Spiegelung verwendet wird.
* Dies gilt nicht für das ATA Lightweight Gateway, das nativ alle Netzwerkadapter verwendet, die vom Domänencontroller verwendet werden.

ATA verfügt über eine bidirektionale Integration mit SIEMs wie folgt:

1. ATA kann so konfiguriert werden, dass eine Syslog-Warnung mit dem CEF-Format an jeden SIEM-Server gesendet wird, wenn eine verdächtige Aktivität erkannt wird.
2. ATA kann so konfiguriert werden, dass Syslog-Nachrichten für Windows-Ereignisse von diesen SIEMs empfangen werden.

Ja, Sie können das ATA Lightweight Gateway verwenden, um Domänencontroller zu überwachen, die sich in jeder IaaS-Lösung befinden.

Microsoft Advanced Threat Analytics ist ein lokales Produkt.

Diese Lösung ist derzeit ein eigenständiges Angebot – es ist kein Bestandteil von Microsoft Entra-ID oder lokalem Active Directory.

Mit Microsoft Advanced Threat Analytics müssen keine Regeln, Schwellenwerte oder Basispläne erstellt und optimiert werden. ATA analysiert das Verhalten zwischen Benutzern, Geräten und Ressourcen sowie ihre Beziehung zueinander und kann verdächtige Aktivitäten und bekannte Angriffe schnell erkennen. Drei Wochen nach der Bereitstellung beginnt ATA, verhaltensverdächtige Aktivitäten zu erkennen. Andererseits erkennt ATA sofort nach der Bereitstellung bekannte böswillige Angriffe und Sicherheitsprobleme.

Ja, auch wenn ATA nach einem Angriff installiert wird, kann es weiterhin verdächtige Aktivitäten des Hackers erkennen. ATA betrachtet nicht nur das Verhalten des Benutzers, sondern auch der anderen Benutzer in der Sicherheitszuordnung der Organisation. Wenn das Verhalten des Angreifers während der ersten Analyse abnorm ist, wird es als „Ausreißer“ identifiziert und ATA meldet das ungewöhnliche Verhalten auch in Zukunft. Darüber hinaus kann ATA die verdächtige Aktivität erkennen, wenn der Hacker versucht, andere Benutzeranmeldeinformationen zu stehlen, z. B. Pass-the-Ticket-Versuche, um eine Remote-Ausführung auf einem der Domänencontroller durchzuführen.

Neben der Analyse von Active Directory-Datenverkehr mithilfe der Deep Packet Inspection-Technologie kann ATA auch relevante Ereignisse aus Ihrem SIEM (Security Information and Event Management) sammeln und Entitätsprofile basierend auf Informationen aus Active Directory-Domäne Services erstellen. ATA kann auch Ereignisse aus den Ereignisprotokollen sammeln, wenn die Organisation die Windows-Ereignisprotokoll-Weiterleitung konfiguriert.

Auch als SPAN (Switched Port Analyzer) bezeichnet), ist Port-Spiegelung eine Methode zur Überwachung des Netzwerkdatenverkehrs. Wenn Port-Spiegelung aktiviert ist, sendet der Switch eine Kopie aller Netzwerkpakete, die auf einem Port (oder einem gesamten VLAN) angezeigt werden, an einen anderen Port, wo das Paket analysiert werden kann.

Nein. ATA überwacht alle Geräte im Netzwerk, die Authentifizierungs- und Autorisierungsanforderungen für Active Directory ausführen, einschließlich non-Windows- und mobile Geräte.

Ja. Da Computerkonten (sowie andere Entitäten) zum Ausführen bösartiger Aktivitäten verwendet werden können, überwacht ATA das Verhalten aller Computerkonten und aller anderen Entitäten in der Umgebung.

Microsoft Advanced Threat Analytics unterstützt Multi-Domänen-Umgebungen innerhalb derselben Gesamtstrukturgrenze. Mehrere Gesamtstrukturen erfordern eine ATA-Bereitstellung für jede Gesamtstruktur.

Ja, Sie können die allgemeine Integrität der Bereitstellung sowie bestimmte Probleme im Zusammenhang mit Konfiguration, Konnektivität usw. anzeigen und werden benachrichtigt, sobald sie auftreten.

Weitere Informationen

• ATA-Voraussetzungen
• ATA-Kapazitätsplanung
• Konfigurieren der Ereignissammlung
• Verwenden von Windows-Ereignisweiterleitung
• Schauen Sie ins ATA-Forum!