Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Domande frequenti su ATAATA frequently asked questions

Questo articolo fornisce un elenco di domande frequenti su ATA con informazioni dettagliate e risposte.This article provides a list of frequently asked questions about ATA and provides insight and answers.

Dove è possibile ottenere una licenza per Advanced Threat Analytics (ATA)?Where can I get a license for Advanced Threat Analytics (ATA)?

Se si ha un Enterprise Agreement attivo, è possibile scaricare il software da Microsoft Volume Licensing Center (VLSC).If you have an active Enterprise Agreement, you can download the software from the Microsoft Volume Licensing Center (VLSC).

Se è stata acquistata una licenza per Enterprise Mobility + Security (EMS) direttamente tramite il portale di Office 365 oppure attraverso il modello di licenza Cloud Solution Partner (CSP) e non si ha accesso ad ATA in Microsoft Volume Licensing Center (VLSC), contattare il supporto tecnico Microsoft per richiedere la procedura per l'attivazione di Advanced Threat Analytics (ATA).If you acquired a license for Enterprise Mobility + Security (EMS) directly via the Office 365 portal or through the Cloud Solution Partner (CSP) licensing model and you do not have access to ATA through the Microsoft Volume Licensing Center (VLSC), contact Microsoft Customer Support to obtain the process to activate Advanced Threat Analytics (ATA).

Il gateway ATA non si avvia. Come procedere?What should I do if the ATA Gateway won’t start?

Esaminare l'errore più recente nel registro errori corrente (la posizione in cui è installato ATA, nella cartella "Logs").Look at the most recent error in the current error log (Where ATA is installed under the "Logs" folder).

Come è possibile testare ATA?How can I test ATA?

È possibile simulare attività sospette, ovvero eseguire un test end-to-end tramite una delle operazioni seguenti:You can simulate suspicious activities which is an end to end test by doing one of the following:

  1. Esplorazione del DNS tramite Nslookup.exeDNS reconnaissance by using Nslookup.exe
  2. Esecuzione remota tramite psexec.exeRemote execution by using psexec.exe

Questa operazione deve essere eseguita in remoto nel controller di dominio monitorato e non dal gateway ATA.This needs to run remotely against the domain controller being monitored and not from the ATA Gateway.

A quale versione corrisponde ogni build di ATA?Which ATA build corresponds to each version?

Per informazioni sull'aggiornamento della versione, vedere l'articolo sul percorso di aggiornamento di ATA.For version upgrade information, see ATA upgrade path.

Quale versione usare per aggiornare la distribuzione corrente di ATA alla versione più recente?What version should I use to upgrade my current ATA deployment to the latest version?

Per la matrice di aggiornamento di versione ATA, vedere l'articolo sul percorso di aggiornamento di ATA.For the ATA version upgrade matrix, see ATA upgrade path.

Come è possibile verificare l'inoltro degli eventi di Windows?How do I verify Windows Event Forwarding?

È possibile inserire in un file il codice seguente e quindi eseguirlo da un prompt dei comandi nella directory \Programmi\Microsoft Advanced Threat Analytics\Center\MongoDB\bin, come indicato di seguito:You can place the the following code into a file and then execute it from a command prompt in the directory: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin as follows:

nome del file ATA mongo.exemongo.exe ATA filename

    db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
            if (db[collection].count() > 0) {
                              print ("Found "+db[collection].count()+" NTLM events") 
                            }
            }
    });

ATA funziona con il traffico crittografato?Does ATA work with encrypted traffic?

ATA si basa sull'analisi di più protocolli di rete, nonché sugli eventi raccolti dal SIEM o tramite la funzione di inoltro degli eventi di Windows. In questo modo, anche se il traffico crittografato non viene analizzato (ad esempio, LDAPS e IPSEC), ATA continua a funzionare e questo problema non ha alcun effetto sulla maggior parte dei rilevamenti.ATA relies on analyzing multiple network protocols, as well as events collected from the SIEM or via Windows Event Forwarding so that even though encrypted traffic will not be analyzed (for example, LDAPS and IPSEC) ATA will still work and most of the detections will not be affected.

ATA funziona con la blindatura Kerberos?Does ATA work with Kerberos Armoring?

La blindatura Kerberos, conosciuta anche come FAST (Flexible Authentication Secure Tunneling), è supportata da ATA, ad eccezione del superamento del rilevamento dell'hash, che non funziona.Enabling Kerberos Armoring, also known as Flexible Authentication Secure Tunneling (FAST), is supported by ATA, with the exception of over-pass the hash detection which will not work.

Quanti gateway ATA sono necessari?How many ATA Gateways do I need?

Il numero di gateway ATA varia a seconda del layout di rete, del volume di pacchetti e del volume di eventi acquisiti da ATA.The number of ATA Gateways depend on your network layout, volume of packets and volume of events captured by ATA. Per determinare il numero esatto, vedere Dimensionamento dei gateway ATA Lightweight.To determine the exact number, see ATA Lightweight Gateway Sizing.

Quanto spazio di archiviazione è necessario per ATA?How much storage do I need for ATA?

Per ogni giorno completo con una media di 1000 pacchetti/sec sono necessari 0,3 GB di spazio di archiviazione.For every one full day with an average of 1000 packets/sec you need 0.3 GB of storage.

Per altre informazioni sul dimensionamento del Centro ATA, vedere Pianificazione della capacità di ATA.For more information about ATA Center sizing see, ATA Capacity Planning.

Perché alcuni account sono considerati sensibili?Why are certain accounts considered sensitive?

Ciò si verifica quando un account è membro di alcuni gruppi considerati sensibili (ad esempio: "Domain Admins").This happens when an account is a member of certain groups which we designate as sensitive (for example: "Domain Admins").

Per comprendere il motivo per cui un account sia considerato sensibile, è possibile esaminarne l'appartenenza ai gruppi al fine di conoscere a quale gruppo sensibile esso appartenga (il gruppo a cui appartiene può essere sensibile anche a causa di un altro gruppo, quindi è necessario eseguire lo stesso processo fino a individuare il gruppo sensibile di livello più alto).To understand why an account is sensitive you can review its group membership to understand which sensitive groups it belongs to (the group that it belongs to can also be sensitive due to another group, so the same process should be performed until you locate the highest level sensitive group).

Come monitorare un controller di dominio virtuale mediante ATA?How do I monitor a virtual domain controller using ATA?

La maggior parte dei controller di dominio virtuali può essere gestita mediante il gateway ATA Lightweight. Per determinare se il gateway ATA Lightweight è appropriato per l'ambiente in uso, vedere Pianificazione della capacità di ATA.Most virtual domain controllers can be covered by the ATA Lightweight Gateway, to determine whether the ATA Lightweight Gateway is appropriate for your environment, see ATA Capacity Planning.

Se un controller di dominio virtuale non può essere gestito mediante il gateway ATA Lightweight, è possibile usare un gateway ATA fisico o virtuale, come descritto in Configurare il mirroring delle porte.If a virtual domain controller can't be covered by the ATA Lightweight Gateway, you can have either a virtual or physical ATA Gateways as described in Configure port mirroring.
Il modo più semplice è dotare ogni host in cui è presente un controller di dominio virtuale di un gateway ATA virtuale.The easiest way is to have a virtual ATA Gateway on every host where a virtual domain controller exists.
Se i controller di dominio virtuali si spostano tra gli host, è necessario eseguire una delle operazioni seguenti:If your virtual domain controllers move between hosts, you need to perform one of the following:

  • Quando il controller di dominio virtuale si sposta su un altro host, preconfigurare il gateway ATA su tale host per ricevere il traffico dal controller di dominio virtuale spostato di recente.When the virtual domain controller moves to another host, preconfigure the ATA Gateway in that host to receive the traffic from the recently moved virtual domain controller.
  • Accertarsi di associare il gateway ATA virtuale con il controller di dominio virtuale in modo che, in caso di spostamento, venga spostato anche il gateway ATA.Make sure that you affiliate the virtual ATA Gateway with the virtual domain controller so that if it is moved, the ATA Gateway moves with it.
  • Esistono alcuni commutatori virtuali in grado di inviare il traffico da un host all'altro.There are some virtual switches that can send traffic between hosts.

Come è possibile eseguire il backup di ATA?How do I back up ATA?

Vedere Ripristino di emergenza per ATARefer to ATA disaster recovery

Cosa è possibile rilevare con ATA?What can ATA detect?

ATA rileva tecniche e attacchi dannosi noti, problemi di sicurezza e rischi.ATA detects known malicious attacks and techniques, security issues, and risks. Per l'elenco completo di rilevamenti ATA, vedere Minacce rilevate da ATA.For the full list of ATA detections, see What detections does ATA perform?.

Quale tipo di archiviazione è necessario per ATA?What kind of storage do I need for ATA?

È consigliabile usare l'archiviazione veloce (i dischi 7200 RPM non sono consigliati) con accesso al disco a bassa latenza (meno di 10 ms).We recommend fast storage (7200 RPM disks are not recommended) with low latency disk access (less than 10 ms). La configurazione RAID dovrebbe supportare carichi di scrittura pesanti (RAID-5/6 e derivati non sono consigliati).The RAID configuration should support heavy write loads (RAID-5/6 and their derivatives are not recommended).

Quante NIC (scheda di interfaccia di rete) sono necessarie per il gateway ATA?How many NICs does the ATA Gateway require?

Il gateway ATA richiede almeno due schede di rete:The ATA Gateway needs a minimum of two network adapters:
1. Una NIC per la connessione alla rete interna e al Centro ATA.1. A NIC to connect to the internal network and the ATA Center
2. Una NIC che verrà usata per acquisire e analizzare il traffico di rete dei controller di dominio tramite il mirroring delle porte.2. A NIC that will be used to capture the domain controller network traffic via port mirroring.
* Non si applica al gateway ATA Lightweight, che usa in modo nativo tutte le schede di rete usate dal controller di dominio.* This does not apply to the ATA Lightweight Gateway, which natively uses all of the network adapters that the domain controller uses.

Quale tipo di integrazione esiste tra ATA e i sistemi SIEM?What kind of integration does ATA have with SIEMs?

ATA offre un'integrazione bidirezionale con i sistemi SIEM, come indicato di seguito:ATA has a bi-directional integration with SIEMs as follows:

  1. ATA può essere configurato per inviare un avviso Syslog a tutti i server SIEM che usano il formato CEF in caso di rilevamento di un'attività sospetta.ATA can be configured to send a Syslog alert in the event of a suspicious activity to any SIEM server using the CEF format.
  2. ATA può essere configurato in modo da ricevere messaggi Syslog per gli eventi di Windows provenienti da questi SIEM.ATA can be configured to receive Syslog messages for Windows events from these SIEMs.

ATA è in grado di monitorare i controller di dominio virtualizzati nella soluzione IaaS in uso?Can ATA monitor domain controllers virtualized on your IaaS solution?

Sì, è possibile usare il gateway ATA Lightweight per monitorare i controller di dominio presenti in qualsiasi soluzione IaaS.Yes, you can use the ATA Lightweight Gateway to monitor domain controllers that are in any IaaS solution.

Si tratta di un'offerta locale o nel cloud?Is this an on-premises or in-cloud offering?

Microsoft Advanced Threat Analytics è un prodotto locale.Microsoft Advanced Threat Analytics is an on-premises product.

Questo prodotto diventerà parte di Azure Active Directory o Active Directory locale?Is this going to be a part of Azure Active Directory or on-premises Active Directory?

Questa soluzione è attualmente un'offerta autonoma, ovvero non fa parte di Azure Active Directory o Active Directory locale.This solution is currently a standalone offering—it is not a part of Azure Active Directory or on-premises Active Directory.

È necessario scrivere regole personalizzate e creare una soglia/linee di base?Do you have to write your own rules and create a threshold/baseline?

Con Microsoft Advanced Threat Analytics non è necessario creare regole, soglie o linee di base e regolarle.With Microsoft Advanced Threat Analytics, there is no need to create rules, thresholds, or baselines and then fine-tune. ATA analizza i comportamenti di utenti, dispositivi e risorse, nonché la relazione tra di essi ed è in grado di rilevare velocemente attività sospette e attacchi noti.ATA analyzes the behaviors among users, devices, and resources—as well as their relationship to one another—and can detect suspicious activity and known attacks fast. Tre settimane dopo la distribuzione, ATA inizia a rilevare attività sospette sul comportamento.Three weeks after deployment, ATA starts to detect behavioral suspicious activities. Tuttavia, ATA avvia il rilevamento di attacchi dannosi e problemi di sicurezza noti immediatamente dopo la distribuzione.On the other hand, ATA will start detecting known malicious attacks and security issues immediately after deployment.

Se si è già verificata una violazione, Microsoft Advanced Threat Analytics è in grado di rilevare i comportamenti anomali?If you are already breached, will Microsoft Advanced Threat Analytics be able to identify abnormal behavior?

Sì, anche se installato dopo una violazione, ATA è in grado di rilevare le attività sospette degli hacker.Yes, even when ATA is installed after you have been breached, ATA can still detect suspicious activities of the hacker. ATA non monitora solo il comportamento dell'utente ma osserva anche agli altri utenti inclusi nella mappa di sicurezza dell'organizzazione.ATA is not only looking at the user’s behavior but also against the other users in the organization security map. Durante la fase di analisi iniziale, se il comportamento dell'utente malintenzionato è anomalo, questo viene identificato come "outlier" e ATA continua a segnalarne il comportamento anomalo.During the initial analysis time, if the attacker’s behavior is abnormal, then it is identified as an “outlier” and ATA keeps reporting on the abnormal behavior. In aggiunta, ATA può rilevare attività sospette se l'hacker tenta di rubare le credenziali di un altro utente, ad esempio nel caso degli attacchi Pass-the-Ticket, o se tenta di avviare un'esecuzione remota su uno dei controller di dominio.Additionally ATA can detect the suspicious activity if the hacker attempts to steal another users credentials, such as Pass-the-Ticket, or attempts to perform a remote execution on one of the domain controllers.

Il prodotto usa solo il traffico proveniente da Active Directory?Does this only leverage traffic from Active Directory?

Oltre ad analizzare il traffico di Active Directory con la tecnologia di analisi approfondita dei pacchetti, ATA è anche in grado di raccogliere gli eventi rilevanti dal sistema SIEM e creare profili di entità in base alle informazioni provenienti dai Servizi di dominio Active Directory.In addition to analyzing Active Directory traffic using deep packet inspection technology, ATA can also collect relevant events from your Security Information and Event Management (SIEM) and create entity profiles based on information from Active Directory Domain Services. Se l'organizzazione configura l'inoltro del registro eventi di Windows, ATA raccoglie anche gli eventi dai registri eventi.ATA can also collect events from the event logs if the organization configures Windows Event Log forwarding.

Che cos'è il mirroring delle porte?What is port mirroring?

Conosciuto anche come SPAN (Switched Port Analyzer), il mirroring delle porte è un metodo di monitoraggio del traffico della rete.Also known as SPAN (Switched Port Analyzer), port mirroring is a method of monitoring network traffic. Abilitando il mirroring delle porte, viene inviata una copia di tutti i pacchetti di rete visualizzati su una porta (o su un'intera VLAN) a un'altra porta, in cui il pacchetto può essere analizzato.With port mirroring enabled, the switch sends a copy of all network packets seen on one port (or an entire VLAN) to another port, where the packet can be analyzed.

ATA monitora solo i dispositivi appartenenti a un dominio?Does ATA monitor only domain-joined devices?

No.No. ATA monitora tutti i dispositivi nella rete che eseguono richieste di autenticazione e autorizzazione in Active Directory, inclusi i dispositivi mobili non Windows.ATA monitors all devices in the network performing authentication and authorization requests against Active Directory, including non-Windows and mobile devices.

ATA monitora sia gli account computer che gli account utente?Does ATA monitor computer accounts as well as user accounts?

Sì.Yes. Poiché gli account computer (così come qualsiasi altra entità) possono essere usati per eseguire attività dannose, ATA monitora il comportamento di tutti gli account computer e le altre entità presenti nell'ambiente.Since computer accounts (as well as any other entities) can be used to perform malicious activities ATA monitors all computer accounts behavior and all other entities in the environment.

ATA è in grado di supportare più domini e foreste?Can ATA support multi-domain and multi-forest?

Microsoft Advanced Threat Analytics supporta gli ambienti con più domini all'interno dello stesso limite di foresta.Microsoft Advanced Threat Analytics supports multi-domain environments within the same forest boundary. Nel caso di più foreste, è necessaria una distribuzione ATA per ogni foresta.Multiple forests require an ATA deployment for each forest.

È possibile verificare l'integrità complessiva della distribuzione?Can you see the overall health of the deployment?

Sì, è possibile visualizzare l'integrità complessiva della distribuzione, dei problemi specifici relativi alla configurazione, alla connettività e così via. Quando questi eventi si verificano, l'utente riceve un avviso.Yes, you can view the overall health of the deployment as well as specific issues related to configuration, connectivity etc., and you will be alerted as they occur.

Vedere ancheSee Also