Questions fréquemment posées sur ATA

Si vous avez un Accord Entreprise actif, vous pouvez télécharger le logiciel à partir du Centre de gestion des licences en volume Microsoft (VLSC).

Si vous avez acquis une licence pour Enterprise Mobility + Security (EMS) directement via le portail Microsoft 365 ou via le modèle de licence Cloud Solution Partner (CSP) et que vous n’avez pas accès à ATA via le Centre de programme de licence en volume Microsoft (VLSC), contactez le service clientèle de Microsoft pour obtenir le processus d’activation d’Advanced Threat Analytics (ATA).

Examinez l’erreur la plus récente dans le journal des erreurs actuel (où ATA est installé sous le dossier « Journaux »).

Vous pouvez simuler des activités suspectes qui constituent un test de bout en bout en effectuant l’une des opérations suivantes :

1. Reconnaissance DNS à l’aide de Nslookup.exe
2. Exécution à distance à l’aide de psexec.exe

Cela doit s’exécuter à distance sur le contrôleur de domaine surveillé et non à partir de la passerelle ATA.

Pour plus d’informations sur la mise à niveau de version, consultez le chemin de mise à niveau ATA.

Pour obtenir la matrice de mise à niveau de version ATA, consultez le chemin d’accès à la mise à niveau ATA.

Le mécanisme de détection ATA est amélioré lorsqu’une nouvelle version est installée sur le Centre ATA. Vous pouvez mettre à niveau le Centre à l’aide de Microsoft Update (MU) ou en téléchargeant manuellement la nouvelle version à partir du Centre de téléchargement ou du site de licence en volume.

Vous pouvez placer le code suivant dans un fichier, puis l’exécuter à partir d’une invite de commandes dans le répertoire : \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin comme suit :

nom de fichier mongo.exe ATA

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA s'appuie sur l'analyse de plusieurs protocoles réseau, ainsi que sur les événements collectés à partir du SIEM ou via le transfert d'événements Windows. Les détections basées sur des protocoles réseau avec le trafic chiffré (par exemple, LDAPS et IPSEC) ne seront pas analysées.

L’activation du blindage Kerberos, également appelé Tunneling sécurisé d’authentification flexible (FAST), est prise en charge par ATA, à l’exception du dépassement de la détection de hachage qui ne fonctionnera pas.

Le nombre de passerelles ATA dépend de votre disposition réseau, du volume de paquets et du volume d’événements capturés par ATA. Pour déterminer le nombre exact, consultez le dimensionnement de passerelle légère ATA.

Pour chaque jour complet avec une moyenne de 1 000 paquets/s, vous avez besoin de 0,3 Go de stockage. Pour plus d’informations sur le dimensionnement du Centre ATA, consultez la planification de la capacité ATA.

Cela se produit lorsqu’un compte est membre de certains groupes que nous définissons comme sensibles (par exemple : « Domaine Administration s »).

Pour comprendre pourquoi un compte est sensible, vous pouvez passer en revue son appartenance aux groupes pour comprendre les groupes sensibles auxquels il appartient (le groupe auquel il appartient peut également être sensible en raison d’un autre groupe, de sorte que le même processus doit être effectué jusqu’à ce que vous localisiez le groupe sensible de niveau le plus élevé).

En outre, vous pouvez marquer manuellement un utilisateur, un groupe ou un ordinateur comme sensible. Pour plus d’informations, consultez Marquer les comptes sensibles.

La plupart des contrôleurs de domaine virtuels peuvent être couverts par la passerelle légère ATA, pour déterminer si la passerelle légère ATA est appropriée pour votre environnement, consultez la planification de la capacité ATA.

Si un contrôleur de domaine virtuel ne peut pas être couvert par la passerelle ATA Lightweight, vous pouvez avoir une passerelle ATA virtuelle ou physique, comme décrit dans Configurer la mise en miroir des ports.

Le moyen le plus simple consiste à disposer d’une passerelle ATA virtuelle sur chaque hôte où existe un contrôleur de domaine virtuel. Si vos contrôleurs de domaine virtuels se déplacent entre les hôtes, vous devez effectuer l’une des étapes suivantes :

• Lorsque le contrôleur de domaine virtuel se déplace vers un autre hôte, préconfigurez la passerelle ATA dans cet hôte pour recevoir le trafic du contrôleur de domaine virtuel récemment déplacé.
• Assurez-vous que vous associez la passerelle ATA virtuelle au contrôleur de domaine virtuel afin que, si elle est déplacée, la passerelle ATA se déplace avec elle.
• Certains commutateurs virtuels peuvent envoyer le trafic entre les hôtes.

Reportez-vous à la récupération d’urgence ATA

ATA détecte les attaques et techniques malveillantes connues, les problèmes de sécurité et les risques. Pour obtenir la liste complète des détections ATA, consultez Quelles sont les détections effectuées par ATA ?.

Nous vous recommandons de stocker rapidement (disques 7200-RPM ne sont pas recommandés) avec un accès disque à faible latence (moins de 10 ms). La configuration RAID doit prendre en charge des charges d’écriture lourdes (RAID-5/6 et leurs dérivés ne sont pas recommandés).

La passerelle ATA a besoin d’un minimum de deux cartes réseau :
1. Un NIC pour se connecter au réseau interne et au Centre ATA
2. Une NIC utilisée pour capturer le trafic réseau du contrôleur de domaine via la mise en miroir des ports.
* Cela ne s'applique pas à la passerelle ATA Lightweight, qui utilise nativement tous les adaptateurs réseau utilisés par le contrôleur de domaine.

ATA a une intégration bidirectionnelle avec des SIEM comme suit :

1. ATA peut être configuré pour envoyer une alerte Syslog à n’importe quel serveur SIEM au format CEF, lorsqu’une activité suspecte est détectée.
2. ATA peut être configuré pour recevoir des messages Syslog pour les événements Windows à partir de ces SIEM.

Oui, vous pouvez utiliser la passerelle ATA Lightweight pour surveiller les contrôleurs de domaine qui se trouvent dans n’importe quelle solution IaaS.

Microsoft Advanced Threat Analytics est un produit local.

Cette solution est actuellement une offre autonome : elle ne fait pas partie de Microsoft Entra ID ou Active Directory local.

Avec Microsoft Advanced Threat Analytics, il n’est pas nécessaire de créer des règles, des seuils ou des bases de référence, puis d’ajuster. ATA analyse les comportements entre les utilisateurs, les appareils et les ressources, ainsi que leur relation avec les autres, et peut détecter rapidement les activités suspectes et les attaques connues. Trois semaines après le déploiement, ATA commence à détecter les activités suspectes comportementales. En revanche, ATA commence à détecter les attaques malveillantes connues et les problèmes de sécurité immédiatement après le déploiement.

Oui, même quand ATA est installé après avoir été violé, ATA peut toujours détecter les activités suspectes du pirate. ATA examine non seulement le comportement de l’utilisateur, mais également les autres utilisateurs dans la carte de sécurité de l’organisation. Pendant le temps d’analyse initial, si le comportement de l’attaquant est anormal, il est identifié comme étant « hors norme » et ATA continue de signaler le comportement anormal. En outre, ATA peut détecter une activité suspecte si le pirate informatique tente de voler les autres informations d’identification d’utilisateur, comme le Pass-the-Ticket, ou d'effectuer une exécution à distance sur l'un des contrôleurs de domaine.

Outre l'analyse du trafic Active Directory à l'aide de la technologie d'inspection approfondie des paquets, ATA peut également collecter des événements pertinents à partir de votre système de gestion des informations et des événements de sécurité (SIEM) et créer des profils de l’identité basés sur des informations provenant de Active Directory Domain Services. ATA peut également collecter des événements à partir des journaux d’événements si l’organisation configure le transfert du journal des événements Windows.

Également appelé SPAN (Analyseur de port commuté), la mise en miroir des ports est une méthode de surveillance du trafic réseau. Lorsque la mise en miroir des ports est activée, le commutateur envoie une copie de tous les paquets réseau vus sur un port (ou un VLAN entier) à un autre port, où le paquet peut être analysé.

Non. ATA surveille tous les appareils du réseau qui effectuent des demandes d'authentification et d'autorisation auprès d'Active Directory, y compris les appareils non Windows et les appareils mobiles.

Oui. Étant donné que les comptes d’ordinateur (ainsi que toutes les autres entités) peuvent être utilisés pour effectuer des activités malveillantes, ATA surveille tous les comportements de comptes d’ordinateur et toutes les autres entités de l’environnement.

Microsoft Advanced Threat Analytics prend en charge les environnements multi-domaines au sein de la même limite de forêt. Plusieurs forêts nécessitent un déploiement ATA pour chaque forêt.

Oui, vous pouvez afficher l’intégrité globale du déploiement ainsi que des problèmes spécifiques liés à la configuration, à la connectivité, etc., et vous êtes alerté lorsqu’ils se produisent.

Voir aussi

• Prérequis ATA
• Planification de capacité ATA
• Configurer la collecte d’événements
• Configuration du transfert d’événements Windows
• Visitez le forum ATA !