Forum aux questions sur ATAATA frequently asked questions

S’applique à : Advanced Threat Analytics version 1.9Applies to: Advanced Threat Analytics version 1.9

Cet article fournit des éléments d’informations et des réponses aux questions les plus fréquemment posées sur ATA.This article provides a list of frequently asked questions about ATA and provides insight and answers.

Où puis-je obtenir une licence pour ATA (Advanced Threat Analytique) ?Where can I get a license for Advanced Threat Analytics (ATA)?

Si vous disposez d’un Contrat Entreprise actif, vous pouvez télécharger le logiciel à partir du Centre de gestion des licences en volume Microsoft.If you have an active Enterprise Agreement, you can download the software from the Microsoft Volume Licensing Center (VLSC).

Si vous avez acquis une licence pour Enterprise Mobility + Security (EMS) directement sur le portail Microsoft 365 ou par le modèle CSP (Cloud Solution Partner) et que vous n’avez pas d’accès à ATA via le Centre de gestion des licences en volume Microsoft, contactez le service client Microsoft pour obtenir la procédure permettant d’activer ATA (Advanced Threat Analytics).If you acquired a license for Enterprise Mobility + Security (EMS) directly via the Microsoft 365 portal or through the Cloud Solution Partner (CSP) licensing model and you do not have access to ATA through the Microsoft Volume Licensing Center (VLSC), contact Microsoft Customer Support to obtain the process to activate Advanced Threat Analytics (ATA).

Que dois-je faire si la passerelle ATA ne démarre pas ?What should I do if the ATA Gateway won’t start?

Examinez l’erreur la plus récente dans le journal des erreurs actuel (où ATA est installé, sous le dossier « Logs »).Look at the most recent error in the current error log (Where ATA is installed under the "Logs" folder).

Comment puis-je tester ATA ?How can I test ATA?

Vous pouvez simuler des activités suspectes (test de bout en bout) en effectuant l’une des opérations suivantes :You can simulate suspicious activities which is an end to end test by doing one of the following:

  1. Reconnaissance DNS à l’aide de Nslookup.exeDNS reconnaissance by using Nslookup.exe
  2. Exécution à distance à l’aide de psexec.exeRemote execution by using psexec.exe

Ce programme doit s’exécuter à distance sur le contrôleur de domaine surveillé, et non à partir de la passerelle ATA.This needs to run remotely against the domain controller being monitored and not from the ATA Gateway.

Quelle build ATA correspond à chaque version ?Which ATA build corresponds to each version?

Pour plus d’informations sur la mise à niveau de la version, consultez Chemin de mise à niveau d’ATA.For version upgrade information, see ATA upgrade path.

Quelle version dois-je utiliser pour mettre à niveau mon déploiement ATA actuel avec la dernière version ?What version should I use to upgrade my current ATA deployment to the latest version?

Pour obtenir la matrice de mise à niveau de la version d’ATA, consultez Chemin de mise à niveau d’ATA.For the ATA version upgrade matrix, see ATA upgrade path.

Comment le centre ATA met-il à jour ses dernières signatures ?How does the ATA Center update its latest signatures?

Le mécanisme de détection ATA est amélioré quand une nouvelle version est installée sur le centre ATA.The ATA detection mechanism is enhanced when a new version is installed on the ATA Center. Vous pouvez mettre à niveau le centre avec Microsoft Update (MU), ou en téléchargeant manuellement la nouvelle version depuis le Centre de téléchargement ou le site des licences en volume.You can upgrade the Center either by using Microsoft Update (MU) or by manually downloading the new version from Download Center or Volume License Site.

Comment vérifier le transfert d’événements Windows ?How do I verify Windows Event Forwarding?

Vous pouvez placer le code qui suit dans un fichier, puis l’exécuter à partir d’une invite de commandes dans le répertoire \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin comme suit :You can place the the following code into a file and then execute it from a command prompt in the directory: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin as follows:

Nom de fichier ATA mongo.exemongo.exe ATA filename

    db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
            if (db[collection].count() > 0) {
                              print ("Found "+db[collection].count()+" NTLM events") 
                            }
            }
    });

ATA prend-il en charge le trafic chiffré ?Does ATA work with encrypted traffic?

ATA s’appuie sur l’analyse de plusieurs protocoles réseau, ainsi que sur les événements collectés sur le serveur SIEM ou via le transfert d’événements Windows.ATA relies on analyzing multiple network protocols, as well as events collected from the SIEM or via Windows Event Forwarding. Les détections basées sur les protocoles réseau avec le trafic chiffré (par exemple, LDAPS et IPSEC) ne sont pas analysées.Detections based on network protocols with encrypted traffic (for example, LDAPS and IPSEC) will not be analyzed.

ATA fonctionne-t-il avec le blindage Kerberos ?Does ATA work with Kerberos Armoring?

L’activation du blindage Kerberos, également appelé FAST (Flexible Authentication Secure Tunneling), est prise en charge par ATA, à l’exception de la détection Overpass-the-Hash qui ne fonctionne pas.Enabling Kerberos Armoring, also known as Flexible Authentication Secure Tunneling (FAST), is supported by ATA, with the exception of over-pass the hash detection which will not work.

De combien de passerelles ATA ai-je besoin ?How many ATA Gateways do I need?

Le nombre de passerelles ATA dépend de la disposition de votre réseau, du volume de paquets et du volume d’événements capturés par ATA.The number of ATA Gateways depend on your network layout, volume of packets and volume of events captured by ATA. Pour déterminer le nombre exact, consultez Dimensionnement de passerelle légère ATA.To determine the exact number, see ATA Lightweight Gateway Sizing.

Quelles sont les exigences imposées par ATA en matière d’espace de stockage ?How much storage do I need for ATA?

Pour chaque journée complète produisant en moyenne 1 000 paquets/s, il vous faut 0,3 Go de stockage.For every one full day with an average of 1000 packets/sec you need 0.3 GB of storage.

Pour plus d’informations sur le dimensionnement du centre ATA, consultez Planification de la capacité ATA.For more information about ATA Center sizing see, ATA Capacity Planning.

Pourquoi certains comptes sont-ils considérés comme sensibles ?Why are certain accounts considered sensitive?

Cela arrive quand un compte est membre de groupes désignés comme sensibles (par exemple, « Administrateurs de domaine »).This happens when an account is a member of certain groups which we designate as sensitive (for example: "Domain Admins").

Pour comprendre pourquoi un compte est sensible, vous pouvez examiner son appartenance au groupe pour déterminer à quels groupes sensibles il appartient. Le groupe auquel il appartient peut également être sensible en raison d’un autre groupe ; dans ce cas, répétez la procédure jusqu’à ce que vous trouviez le groupe sensible de plus haut niveau.To understand why an account is sensitive you can review its group membership to understand which sensitive groups it belongs to (the group that it belongs to can also be sensitive due to another group, so the same process should be performed until you locate the highest level sensitive group).

Vous pouvez aussi identifier manuellement un utilisateur, un groupe ou un ordinateur comme sensible.In addition, you can manually tag a user, group or computer as sensitive. Pour plus d’informations, consultez Identifier les comptes sensibles.For more information, see Tag sensitive accounts.

Comment puis-je surveiller un contrôleur de domaine virtuel à l’aide d’ATA ?How do I monitor a virtual domain controller using ATA?

La plupart des contrôleurs de domaine virtuels peuvent être couverts par la passerelle légère ATA ; pour déterminer si celle-ci est appropriée pour votre environnement, consultez Planification de la capacité ATA.Most virtual domain controllers can be covered by the ATA Lightweight Gateway, to determine whether the ATA Lightweight Gateway is appropriate for your environment, see ATA Capacity Planning.

Si un contrôleur de domaine virtuel ne peut pas être couvert par la passerelle légère ATA, vous pouvez avoir une passerelle ATA virtuelle ou physique, comme décrit dans Configurer la mise en miroir des ports.If a virtual domain controller can't be covered by the ATA Lightweight Gateway, you can have either a virtual or physical ATA Gateway as described in Configure port mirroring.
Le moyen le plus simple consiste à configurer une passerelle ATA virtuelle sur chaque hôte où figure un contrôleur de domaine virtuel.The easiest way is to have a virtual ATA Gateway on every host where a virtual domain controller exists.
Si vos contrôleurs de domaine virtuels passent d’un hôte à l’autre, vous devez effectuer l’une des étapes suivantes :If your virtual domain controllers move between hosts, you need to perform one of the following steps:

  • Quand le contrôleur de domaine virtuel passe à un autre hôte, préconfigurez la passerelle ATA sur cet hôte pour qu’elle reçoive le trafic du contrôleur de domaine virtuel ayant récemment été déplacé.When the virtual domain controller moves to another host, preconfigure the ATA Gateway in that host to receive the traffic from the recently moved virtual domain controller.
  • Associez la passerelle ATA virtuelle au contrôleur de domaine virtuel. Ainsi, s’il est déplacé, la passerelle ATA est déplacée en même temps.Make sure that you affiliate the virtual ATA Gateway with the virtual domain controller so that if it is moved, the ATA Gateway moves with it.
  • Certains commutateurs virtuels peuvent envoyer le trafic entre les hôtes.There are some virtual switches that can send traffic between hosts.

Comment puis-je sauvegarder ATA ?How do I back up ATA?

Reportez-vous à Récupération d’urgence d’ATARefer to ATA disaster recovery

Que peut détecter ATA ?What can ATA detect?

ATA détecte les techniques et attaques connues, les problèmes de sécurité et les risques.ATA detects known malicious attacks and techniques, security issues, and risks. Pour obtenir la liste complète des détections fournies par ATA, consultez Quelles sont les détections effectuées par ATA ?.For the full list of ATA detections, see What detections does ATA perform?.

De quel type de stockage ai-je besoin pour ATA ?What kind of storage do I need for ATA?

Nous vous recommandons d’utiliser un stockage rapide (les disques 7200 tr/min ne sont pas recommandés) avec un accès disque à faible latence (inférieure à 10 ms).We recommend fast storage (7200-RPM disks are not recommended) with low latency disk access (less than 10 ms). La configuration RAID doit accepter les charges en écriture lourdes (RAID-5/6 et leurs dérivés ne sont pas recommandés).The RAID configuration should support heavy write loads (RAID-5/6 and their derivatives are not recommended).

De combien de cartes réseau la passerelle ATA a-t-elle besoin ?How many NICs does the ATA Gateway require?

La passerelle ATA a besoin au minimum de deux cartes réseau :The ATA Gateway needs a minimum of two network adapters:
1. Une carte réseau pour se connecter au réseau interne et au centre ATA.1. A NIC to connect to the internal network and the ATA Center
2. Une carte réseau destinée à capturer le trafic réseau des contrôleurs de domaine par le biais de la mise en miroir des ports.2. A NIC that is used to capture the domain controller network traffic via port mirroring.
* Cela ne s’applique pas à la passerelle légère ATA, qui utilise en mode natif toutes les cartes réseau dont se sert le contrôleur de domaine.* This does not apply to the ATA Lightweight Gateway, which natively uses all of the network adapters that the domain controller uses.

De quelle façon ATA s’intègre-t-il aux serveurs SIEM ?What kind of integration does ATA have with SIEMs?

ATA bénéficie d’une intégration bidirectionnelle aux serveurs SIEM, comme suit :ATA has a bi-directional integration with SIEMs as follows:

  1. Vous pouvez configurer ATA de façon à envoyer une alerte Syslog à n’importe quel serveur SIEM utilisant le format CEF, en cas d’activité suspecte.ATA can be configured to send a Syslog alert, to any SIEM server using the CEF format, when a suspicious activity is detected.
  2. ATA peut être configuré pour recevoir les messages Syslog des événements Windows provenant de ces serveurs SIEM.ATA can be configured to receive Syslog messages for Windows events from these SIEMs.

ATA peut-il surveiller les contrôleurs de domaine virtualisés sur votre solution IaaS ?Can ATA monitor domain controllers virtualized on your IaaS solution?

Oui, vous pouvez utiliser la passerelle légère ATA pour surveiller les contrôleurs de domaine qui se trouvent dans n’importe quelle solution IaaS.Yes, you can use the ATA Lightweight Gateway to monitor domain controllers that are in any IaaS solution.

S’agit-il d’une offre locale ou dans le cloud ?Is this an on-premises or in-cloud offering?

Microsoft Advanced Threat Analytics est un produit local.Microsoft Advanced Threat Analytics is an on-premises product.

Cette offre va-t-elle faire partie d’Azure Active Directory ou du service Active Directory local ?Is this going to be a part of Azure Active Directory or on-premises Active Directory?

Cette solution est pour l’instant une offre autonome : elle ne fait partie ni d’Azure Active Directory, ni du service Active Directory local.This solution is currently a standalone offering—it is not a part of Azure Active Directory or on-premises Active Directory.

Est-ce que je dois écrire mes propres règles et créer un seuil/une ligne de base ?Do you have to write your own rules and create a threshold/baseline?

Avec Microsoft Advanced Threat Analytics, il est inutile de créer et d’ajuster des règles, des seuils ou des lignes de base.With Microsoft Advanced Threat Analytics, there is no need to create rules, thresholds, or baselines and then fine-tune. ATA analyse les comportements des utilisateurs, appareils et ressources, ainsi que leurs relations entre eux, et détecte rapidement les activités suspectes et les attaques connues.ATA analyzes the behaviors among users, devices, and resources—as well as their relationship to one another—and can detect suspicious activity and known attacks fast. Trois semaines après son déploiement, ATA commence à détecter les activités comportementales suspectes.Three weeks after deployment, ATA starts to detect behavioral suspicious activities. Mais la détection des attaques malveillantes et des problèmes de sécurité connus est opérationnelle immédiatement après le déploiement.On the other hand, ATA will start detecting known malicious attacks and security issues immediately after deployment.

Si des violations de la sécurité ont déjà été constatées, Microsoft Advanced Threat Analytics est-il en mesure d’identifier des comportements anormaux ?If you are already breached, can Microsoft Advanced Threat Analytics identify abnormal behavior?

Oui. Même s’il est installé après une violation de la sécurité, ATA peut détecter les activités suspectes d’un pirate informatique.Yes, even when ATA is installed after you have been breached, ATA can still detect suspicious activities of the hacker. Non seulement ATA examine le comportement de l’utilisateur, mais il le compare aussi à celui des autres utilisateurs dans l’organigramme de sécurité de l’organisation.ATA is not only looking at the user’s behavior but also against the other users in the organization security map. Si le comportement de l’attaquant est anormal pendant l’analyse initiale, il est identifié comme « aberrant ». Dans ce cas, ATA continue de signaler le comportement anormal.During the initial analysis time, if the attacker’s behavior is abnormal, then it is identified as an “outlier” and ATA keeps reporting on the abnormal behavior. En outre, ATA peut détecter une activité suspecte si le pirate informatique tente de s’emparer des informations d’identification d’autres utilisateurs (comme dans le cadre d’une attaque Pass-the-Ticket) ou s’il essaie d’effectuer une exécution à distance sur l’un des contrôleurs de domaine.Additionally ATA can detect the suspicious activity if the hacker attempts to steal another users credentials, such as Pass-the-Ticket, or attempts to perform a remote execution on one of the domain controllers.

ATA analyse-t-il uniquement le trafic Active Directory ?Does this only leverage traffic from Active Directory?

En plus d’analyser le trafic Active Directory à l’aide de la technologie d’inspection approfondie des paquets, ATA peut également collecter les événements pertinents issus de systèmes de gestion des informations et des événements de sécurité (SIEM) et créer des profils d’entité selon les informations des services de domaine Active Directory.In addition to analyzing Active Directory traffic using deep packet inspection technology, ATA can also collect relevant events from your Security Information and Event Management (SIEM) and create entity profiles based on information from Active Directory Domain Services. ATA peut également collecter les événements contenus dans les journaux des événements si l’organisation configure le transfert du journal des événements Windows.ATA can also collect events from the event logs if the organization configures Windows Event Log forwarding.

Qu’est-ce que la mise en miroir des ports ?What is port mirroring?

Également appelée SPAN (Switched Port Analyzer), la mise en miroir des ports est une méthode de surveillance du trafic réseau.Also known as SPAN (Switched Port Analyzer), port mirroring is a method of monitoring network traffic. Une fois la mise en miroir des ports activée, le commutateur envoie une copie de tous les paquets réseau visibles sur un port (ou tout un VLAN) à un autre port où le paquet peut être analysé.With port mirroring enabled, the switch sends a copy of all network packets seen on one port (or an entire VLAN) to another port, where the packet can be analyzed.

ATA surveille-t-il uniquement les appareils joints à un domaine ?Does ATA monitor only domain-joined devices?

Non.No. ATA surveille tous les appareils du réseau qui effectuent des demandes d’authentification et d’autorisation auprès d’Active Directory, notamment les appareils non-Windows et les appareils mobiles.ATA monitors all devices in the network performing authentication and authorization requests against Active Directory, including non-Windows and mobile devices.

ATA surveille-t-il les comptes d’ordinateurs et les comptes d’utilisateurs ?Does ATA monitor computer accounts as well as user accounts?

Oui.Yes. Étant donné que les comptes d’ordinateurs (de même que toute autre entité) peuvent être utilisés pour effectuer des activités malveillantes, ATA surveille le comportement de tous les comptes d’ordinateurs et de toutes les autres entités dans l’environnement.Since computer accounts (as well as any other entities) can be used to perform malicious activities, ATA monitors all computer accounts behavior and all other entities in the environment.

ATA peut-il prendre en charge plusieurs domaines et plusieurs forêts ?Can ATA support multi-domain and multi-forest?

Microsoft Advanced Threat Analytique prend en charge les environnements à plusieurs domaines dans la même limite de forêt.Microsoft Advanced Threat Analytics supports multi-domain environments within the same forest boundary. S’il existe plusieurs forêts, un déploiement ATA est nécessaire pour chaque forêt.Multiple forests require an ATA deployment for each forest.

Puis-je examiner l’intégrité globale du déploiement ?Can you see the overall health of the deployment?

Oui. Vous pouvez consulter l’intégrité globale du déploiement ainsi que les problèmes spécifiques liés à la configuration, à la connectivité, etc. Dès qu’un problème se produit, vous êtes averti.Yes, you can view the overall health of the deployment as well as specific issues related to configuration, connectivity etc., and you are alerted as they occur.

Voir aussiSee Also