Preguntas más frecuentes sobre ATA

Si tiene un Contrato Enterprise activo, puede descargar el software del Centro de licencias por volumen de Microsoft (VLSC).

Si ha adquirido una licencia para Enterprise Mobility + Security (EMS) directamente a través del portal de Microsoft 365 o mediante el modelo de licencias de Cloud Solution Partner (CSP) y no tiene acceso a ATA a través del Centro de licencias por volumen de Microsoft (VLSC), póngase en contacto con el servicio de asistencia al cliente de Microsoft para obtener el proceso para activar Advanced Threat Analytics (ATA).

Examine el error más reciente en el registro de errores actual (donde ATA está instalado en la carpeta "Registros").

Puede simular actividades sospechosas, que es una prueba de un extremo a otro, realizando una de las siguientes acciones:

1. Reconocimiento de DNS mediante Nslookup.exe
2. Ejecución remota mediante psexec.exe

Esto debe ejecutarse de forma remota en el controlador de dominio que se está supervisando y no desde la puerta de enlace de ATA.

Para obtener información sobre la actualización de la versión, consulte Ruta de actualización de ATA.

Para obtener la matriz de actualización de la versión de ATA, consulte Ruta de actualización de ATA.

El mecanismo de detección de ATA se mejora cuando se instala una nueva versión en el Centro de ATA. Puede actualizar el Centro mediante Microsoft Update (MU) o descargando manualmente la nueva versión desde el Centro de descargas o el Sitio de licencias por volumen.

Puede colocar el código siguiente en un archivo y ejecutarlo desde un símbolo del sistema en el directorio \Archivos de programa\Microsoft Advanced Threat Analytics\Centro\MongoDB\bin de la siguiente manera:

Nombre de archivo de ATA mongo.exe

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA se basa en el análisis de varios protocolos de red, así como los eventos recopilados de SIEM o a través del reenvío de eventos de Windows. No se analizarán las detecciones basadas en protocolos de red con tráfico cifrado (por ejemplo, LDAPS e IPSEC).

La habilitación de la protección de Kerberos, también conocida como tunelización segura de autenticación flexible (FAST), es compatible con ATA, a excepción de la detección de Over-Pass the Hash, que no funcionará.

El número de puertas de enlace de ATA depende del diseño de la red, el volumen de paquetes y el volumen de eventos capturados por ATA. Para determinar el número exacto, consulte Dimensionamiento de la puerta de enlace ligera de ATA.

Para cada día completo con un promedio de 1000 paquetes por segundo, necesita 0,3 GB de almacenamiento. Para obtener más información sobre el dimensionamiento del Centro de ATA, consulte Planeamiento de capacidad de ATA.

Esto sucede cuando una cuenta es miembro de determinados grupos que designamos como confidenciales (por ejemplo: "Administradores de dominio").

Para comprender por qué una cuenta es confidencial, puede revisar su pertenencia a grupos para comprender a qué grupos confidenciales pertenece (el grupo al que pertenece también puede ser confidencial debido a otro grupo, por lo que el mismo proceso debe realizarse hasta que localice el grupo confidencial de nivel más alto).

Además, puede etiquetar manualmente un usuario, un grupo o un ordenador como confidenciales. Para obtener más información, consulte Etiquetar cuentas confidenciales.

La mayoría de los controladores de dominio virtuales pueden estar cubiertos por la puerta de enlace ligera de ATA. Para determinar si la puerta de enlace ligera de ATA es adecuada para su entorno, consulte Planeamiento de capacidad de ATA.

Si una puerta de enlace ligera de ATA no puede cubrir un controlador de dominio virtual, puede tener una puerta de enlace de ATA virtual o física, como se describe en Configuración de la creación de reflejo del puerto.

La manera más fácil es tener una puerta de enlace de ATA virtual en cada host en el que exista un controlador de dominio virtual. Si los controladores de dominio virtuales se mueven entre hosts, debe realizar uno de los pasos siguientes:

• Cuando el controlador de dominio virtual se mueva a otro host, configure previamente la puerta de enlace de ATA en ese host para recibir el tráfico del controlador de dominio virtual movido recientemente.
• Asegúrese de asociar la puerta de enlace de ATA virtual con el controlador de dominio virtual para que, si se mueve, la puerta de enlace de ATA se mueve con él.
• Hay algunos conmutadores virtuales que pueden enviar tráfico entre hosts.

Consulte Recuperación ante desastres de ATA.

ATA detecta ataques y técnicas malintencionados, problemas de seguridad y riesgos conocidos. Para obtener la lista completa de detecciones de ATA, consulte ¿Qué detecciones realiza ATA?.

Se recomienda el almacenamiento rápido (no se recomiendan discos de 7200 RPM) con acceso a disco de baja latencia (menos de 10 ms). La configuración de RAID debe admitir cargas de escritura intensas (no se recomienda RAID-5/6 ni sus derivados).

La puerta de enlace de ATA necesita un mínimo de dos adaptadores de red:
1. Una NIC para conectarse a la red interna y al Centro de ATA
2. Una NIC que se usa para capturar el tráfico de red del controlador de dominio a través de la creación de reflejo del puerto.
* Esto no se aplica a la puerta de enlace ligera de ATA, que usa de forma nativa todos los adaptadores de red que usa el controlador de dominio.

ATA tiene una integración bidireccional con SIEM de la siguiente manera:

1. ATA se puede configurar para enviar una alerta de Syslog a cualquier servidor de SIEM con el formato CEF, cuando se detecta una actividad sospechosa.
2. ATA se puede configurar para recibir mensajes de Syslog para eventos de Windows de estos SIEM.

Sí, puede usar la puerta de enlace ligera de ATA para supervisar los controladores de dominio que se encuentran en cualquier solución de IaaS.

Microsoft Advanced Threat Analytics es un producto en el entorno local.

Esta solución es actualmente una oferta independiente, ya que no forma parte de Microsoft Entra ID o Active Directory local.

Con Microsoft Advanced Threat Analytics, no es necesario crear reglas, umbrales ni líneas base para después ajustarlos. ATA analiza los comportamientos entre usuarios, dispositivos y recursos, así como su relación entre sí, y puede detectar rápidamente actividades sospechosas y ataques conocidos. Tres semanas después de la implementación, ATA comienza a detectar actividades sospechosas de comportamiento. Por otro lado, inmediatamente después de la implementación, ATA comenzará a detectar ataques malintencionados conocidos y problemas de seguridad.

Sí, incluso cuando se instala ATA después de que se haya producido una vulneración, ATA todavía puede detectar actividades sospechosas del hacker. ATA examina el comportamiento del usuario y lo compara con el de los demás usuarios del mapa de seguridad de la organización. Durante el tiempo de análisis inicial, si el comportamiento del atacante es anómalo, se identifica como "atípico" y ATA sigue informando sobre el comportamiento anómalo. Además, ATA puede detectar la actividad sospechosa si el hacker intenta robar otras credenciales de usuario, como Pass-the-Ticket, o intenta realizar una ejecución remota en uno de los controladores de dominio.

Además de analizar el tráfico de Active Directory mediante tecnología de inspección profunda de paquetes, ATA también puede recopilar eventos pertinentes de la Administración de eventos e información de seguridad (SIEM) y crear perfiles de entidad basados en información de Active Directory Domain Services. ATA también puede recopilar eventos de los registros de eventos si la organización configura el reenvío del registro de eventos de Windows.

También conocido como SPAN (Analizador de puertos conmutado), la creación de reflejo del puerto es un método de supervisión del tráfico de red. Con la creación de reflejo del puerto habilitada, el conmutador envía una copia de todos los paquetes de red vistos en un puerto (o en una VLAN completa) a otro puerto, donde se puede analizar el paquete.

No. ATA supervisa todos los dispositivos de la red que realizan solicitudes de autenticación y autorización en Active Directory, incluidos los dispositivos móviles y que no son Windows.

Sí. Dado que las cuentas de equipo (así como cualquier otra entidad) se pueden usar para realizar actividades malintencionadas, ATA supervisa todo el comportamiento de las cuentas de equipo y todas las demás entidades del entorno.

Microsoft Advanced Threat Analytics admite entornos de varios dominios dentro del mismo límite de bosque. Varios bosques requieren una implementación de ATA para cada bosque.

Sí, puede ver el mantenimiento general de la implementación, así como problemas específicos relacionados con la configuración o la conectividad, por ejemplo, y se le alerta a medida que se producen.

Consulte también

• Requisitos previos de ATA
• Planeamiento de capacidad de ATA
• Configuración de la recopilación de eventos
• Configuración del reenvío de eventos de Windows
• Consulte el foro de ATA