Si applica a: Advanced Threat Analytics versione 1.9
Questo articolo fornisce un elenco di domande frequenti su ATA e fornisce informazioni dettagliate e risposte.
Dove è possibile ottenere una licenza per Advanced Threat Analytics (ATA)?
Se si dispone di un Contratto Enterprise attivo, è possibile scaricare il software da Microsoft Volume Licensing Center (VLSC).
Se è stata acquisita una licenza per Enterprise Mobility + Security (EMS) direttamente tramite il portale di Microsoft 365 o tramite il modello di licenza Cloud Solution Partner (CSP) e non si ha accesso ad ATA tramite Microsoft Volume Licensing Center (VLSC), contattare il supporto tecnico Microsoft per ottenere il processo per attivare Advanced Threat Analytics (ATA).
Cosa devo fare se il gateway ATA non verrà avviato?
Esaminare l'errore più recente nel log degli errori corrente (dove ATA è installato nella cartella "Logs").
Come è possibile testare ATA?
È possibile simulare attività sospette che costituiscono un test end-to-end eseguendo una delle operazioni seguenti:
- Ricognizione DNS tramite Nslookup.exe
- Esecuzione remota tramite psexec.exe
Questa operazione deve essere eseguita in remoto sul controller di dominio monitorato e non dal gateway ATA.
Quale build ATA corrisponde a ogni versione?
Per informazioni sull'aggiornamento della versione, vedere Percorso di aggiornamento di ATA.
Quale versione è consigliabile usare per aggiornare la distribuzione ATA corrente alla versione più recente?
Per la matrice di aggiornamento della versione di ATA, vedere Percorso di aggiornamento di ATA.
In che modo ATA Center aggiorna le firme più recenti?
Il meccanismo di rilevamento ATA viene migliorato quando viene installata una nuova versione in ATA Center. È possibile aggiornare il Centro usando Microsoft Update (MU) o scaricando manualmente la nuova versione dall'Area download o dal sito per contratti multilicenza.
Ricerca per categorie verificare l'inoltro di eventi di Windows?
È possibile inserire il codice seguente in un file e quindi eseguirlo da un prompt dei comandi nella directory: \Programmi\Microsoft Advanced Threat Analytics\Center\MongoDB\bin come indicato di seguito:
nome file ATA mongo.exe
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
ATA funziona con il traffico crittografato?
ATA si basa sull'analisi di più protocolli di rete, nonché su eventi raccolti da SIEM o tramite Inoltro eventi di Windows. I rilevamenti basati su protocolli di rete con traffico crittografato (ad esempio, LD piattaforma di strumenti analitici e IP edizione Standard C) non verranno analizzati.
ATA funziona con l'blindatura Kerberos?
L'abilitazione della blindatura Kerberos, nota anche come FAST (Flexible Authentication Secure Tunneling), è supportata da ATA, ad eccezione del superamento del rilevamento hash che non funzionerà.
Quanti gateway ATA sono necessari?
Il numero di gateway ATA dipende dal layout di rete, dal volume di pacchetti e dal volume di eventi acquisiti da ATA. Per determinare il numero esatto, vedere Ridimensionamento del gateway ATA Lightweight.
Quanto spazio di archiviazione è necessario per ATA?
Per ogni giorno intero con una media di 1000 pacchetti/sec è necessario 0,3 GB di spazio di archiviazione. Per altre informazioni sul dimensionamento di ATA Center, vedere Pianificazione della capacità di ATA.
Perché alcuni account sono considerati sensibili?
Ciò si verifica quando un account è membro di determinati gruppi designati come sensibili (ad esempio: "Amministrazione di dominio").
Per comprendere il motivo per cui un account è sensibile, è possibile esaminarne l'appartenenza al gruppo per comprendere a quali gruppi sensibili appartiene (anche il gruppo a cui appartiene può essere sensibile a causa di un altro gruppo, quindi lo stesso processo deve essere eseguito fino a quando non si individua il gruppo sensibile di livello più alto).
Inoltre, è possibile contrassegnare manualmente un utente, un gruppo o un computer come sensibili. Per altre informazioni, vedere Contrassegna gli account sensibili.
Ricerca per categorie monitorare un controller di dominio virtuale usando ATA?
La maggior parte dei controller di dominio virtuali può essere coperta dal gateway ATA Lightweight per determinare se il gateway ATA Lightweight è appropriato per l'ambiente in uso, vedere Pianificazione della capacità di ATA.
Se un controller di dominio virtuale non può essere coperto dal gateway ATA Lightweight, è possibile avere un gateway ATA virtuale o fisico come descritto in Configurare il mirroring delle porte.
Il modo più semplice consiste nell'avere un gateway ATA virtuale in ogni host in cui esiste un controller di dominio virtuale. Se i controller di dominio virtuali si spostano tra host, è necessario eseguire uno dei passaggi seguenti:
- Quando il controller di dominio virtuale passa a un altro host, preconfigurare il gateway ATA in tale host per ricevere il traffico dal controller di dominio virtuale spostato di recente.
- Assicurarsi di associare il gateway ATA virtuale al controller di dominio virtuale in modo che, se spostato, il gateway ATA si sposti con esso.
- Esistono alcuni commutatori virtuali che possono inviare traffico tra host.
Ricerca per categorie eseguire il backup di ATA?
Fare riferimento al ripristino di emergenza di ATA
Cosa può rilevare ATA?
ATA rileva attacchi dannosi noti e tecniche, problemi di sicurezza e rischi. Per l'elenco completo dei rilevamenti ATA, vedere What detections does ATA perform?.
Che tipo di spazio di archiviazione è necessario per ATA?
È consigliabile usare l'archiviazione veloce (i dischi RPM 7200 non sono consigliati) con accesso al disco a bassa latenza (minore di 10 ms). La configurazione RAID deve supportare carichi di scrittura pesanti (RAID-5/6 e i relativi derivati non sono consigliati).
Quante schede di interfaccia di rete richiede il gateway ATA?
Il gateway ATA richiede almeno due schede di rete:
1. Scheda di interfaccia di rete per connettersi alla rete interna e al Centro ATA
2. Scheda di interfaccia di rete usata per acquisire il traffico di rete del controller di dominio tramite il mirroring delle porte.
* Questo non si applica al gateway ATA Lightweight, che usa in modo nativo tutte le schede di rete usate dal controller di dominio.
Che tipo di integrazione ha ATA con i SIEM?
ATA ha un'integrazione bidirezionale con SIEM come indicato di seguito:
- ATA può essere configurato per inviare un avviso Syslog a qualsiasi server SIEM usando il formato CEF, quando viene rilevata un'attività sospetta.
- ATA può essere configurato per ricevere messaggi Syslog per gli eventi di Windows da questi SIEM.
È possibile monitorare i controller di dominio ATA virtualizzati nella soluzione IaaS?
Sì, è possibile usare il gateway ATA Lightweight per monitorare i controller di dominio presenti in qualsiasi soluzione IaaS.
Si tratta di un'offerta locale o nel cloud?
Microsoft Advanced Threat Analytics è un prodotto locale.
Farà parte di Microsoft Entra ID o Active Directory locale?
Questa soluzione è attualmente un'offerta autonoma, non fa parte dell'ID Microsoft Entra o Active Directory locale.
È necessario scrivere regole personalizzate e creare una soglia o una baseline?
Con Microsoft Advanced Threat Analytics non è necessario creare regole, soglie o baseline e quindi ottimizzare. ATA analizza i comportamenti tra utenti, dispositivi e risorse, nonché la relazione tra loro, e può rilevare rapidamente attività sospette e attacchi noti. Tre settimane dopo la distribuzione, ATA inizia a rilevare attività sospette comportamentali. D'altra parte, ATA inizierà a rilevare gli attacchi dannosi noti e i problemi di sicurezza immediatamente dopo la distribuzione.
Se è già stata violata, Microsoft Advanced Threat Analytics può identificare un comportamento anomalo?
Sì, anche quando ATA viene installato dopo la violazione, ATA può comunque rilevare attività sospette dell'hacker. ATA non solo esamina il comportamento dell'utente, ma anche gli altri utenti nella mappa di sicurezza dell'organizzazione. Durante il tempo di analisi iniziale, se il comportamento dell'utente malintenzionato è anomalo, viene identificato come "outlier" e ATA continua a segnalare il comportamento anomalo. ATA può inoltre rilevare l'attività sospetta se l'hacker tenta di rubare altre credenziali utente, ad esempio Pass-the-Ticket, o tenta di eseguire un'esecuzione remota in uno dei controller di dominio.
Questo sfrutta solo il traffico da Active Directory?
Oltre ad analizzare il traffico di Active Directory tramite una tecnologia di ispezione approfondita dei pacchetti, ATA può anche raccogliere gli eventi rilevanti dalle informazioni di sicurezza e gestione degli eventi (SIEM) e creare profili di entità basati su informazioni provenienti da Dominio di Active Directory Services. ATA può anche raccogliere eventi dai registri eventi se l'organizzazione configura l'inoltro del registro eventi di Windows.
Che cos'è il mirroring delle porte?
Noto anche come SPAN (Switched Port Analyzer), il mirroring delle porte è un metodo di monitoraggio del traffico di rete. Con il mirroring delle porte abilitato, il commutatore invia una copia di tutti i pacchetti di rete visualizzati su una porta (o un'intera VLAN) a un'altra porta, in cui è possibile analizzare il pacchetto.
ATA monitora solo i dispositivi aggiunti a un dominio?
Nr. ATA monitora tutti i dispositivi nella rete che eseguono richieste di autenticazione e autorizzazione su Active Directory, inclusi i dispositivi non Windows e mobili.
ATA monitora gli account computer e gli account utente?
Sì. Poiché gli account computer (e qualsiasi altra entità) possono essere usati per eseguire attività dannose, ATA monitora il comportamento di tutti gli account computer e tutte le altre entità nell'ambiente.
ATA può supportare più domini e più foreste?
Microsoft Advanced Threat Analytics supporta ambienti multidominio all'interno dello stesso limite della foresta. Più foreste richiedono una distribuzione ATA per ogni foresta.
È possibile visualizzare l'integrità complessiva della distribuzione?
Sì, è possibile visualizzare l'integrità complessiva della distribuzione, nonché problemi specifici relativi alla configurazione, alla connettività e così via e si viene avvisati quando si verificano.