Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Risoluzione dei problemi relativi ad ATA tramite il database ATATroubleshooting ATA using the ATA database

ATA usa MongoDB come database.ATA uses MongoDB as its database. È possibile interagire con il database usando la riga di comando predefinita o tramite uno strumento di interfaccia utente per eseguire attività e operazioni di risoluzione dei problemi avanzate.You can interact with the database using the default command line or using a user interface tool to perform advanced tasks and troubleshooting.

Interazione con il databaseInteracting with the database

Il metodo predefinito e più elementare di eseguire query sul database consiste nell'usare la shell di Mongo:The default and most basic way to query the database is using the Mongo shell:

  1. Aprire una finestra della riga di comando e modificare il percorso della cartella bin di MongoDB.Open a command line window and change the path to the MongoDB bin folder. Il percorso predefinito è: C:\Programmi\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.The default path is: C:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.

  2. Eseguire mongo.exe ATA.Run: mongo.exe ATA. Assicurarsi di digitare ATA tutto in maiuscolo.Make sure to type ATA with all capital letters.

ProcedureHow to... SintassiSyntax NoteNotes
Controllare le raccolte nel database.Check for collections in the database. show collections Utile come test end-to-end per verificare che il traffico venga scritto nel database e che l'evento 4776 venga ricevuto da ATA.Useful as an end-to-end test to see that traffic is being written to the database and that event 4776 is being received by ATA.
Ottenere i dettagli di un utente/computer/gruppo (UniqueEntity), ad esempio un ID utente.Get the details of a user/computer/group (UniqueEntity), such as user ID. db.UniqueEntity.find({SearchNames: "<name of entity in lower case>"})
Trovare il traffico di autenticazione Kerberos proveniente da un computer specifico in un determinato giorno.Find Kerberos authentication traffic originating from a specific computer on a specific day. db.KerberosAs_<datetime>.find({SourceComputerId: "<Id of the source computer>"}) Per ottenere l'<ID del computer di origine>, è possibile eseguire una query sulle raccolte UniqueEntity, come mostrato nell'esempio.To get the <ID of the source computer> you can query the UniqueEntity collections, as shown in the example.

Ogni tipo di attività di rete, ad esempio le autenticazioni Kerberos, ha la propria raccolta per data UTC.Each network activity type, for example Kerberos authentications, has its own collection per UTC date.
Trovare il traffico NTLM proveniente da un computer specifico in relazione a un certo account in un determinato giorno.Find NTLM traffic originating from a specific computer related to a specific account on a specific day. db.Ntlm_<datetime>.find({SourceComputerId: "<Id of the source computer>", SourceAccountId: "<Id of the account>"}) Per ottenere l'<ID del computer di origine> e l'<ID dell'account>, è possibile eseguire una query sulle raccolte UniqueEntity, come mostrato nell'esempio.To get the <ID of the source computer> and <ID of the account> you can query the UniqueEntity collections, as shown in the example.

Ogni tipo di attività di rete, ad esempio le autenticazioni NTLM, ha la propria raccolta per data UTC.Each network activity type, for example NTLM authentications, has its own collection per UTC date.
Apportare modifiche di configurazione avanzate.Make advanced configuration changes. In questo esempio vengono modificate le dimensioni della coda di invio per tutti i gateway ATA specificando 10.000.In this example we change the send queue size for all ATA Gateways to 10,000. db.SystemProfile.update( {_t: "GatewaySystemProfile"} ,
{$set:{"Configuration.EntitySenderConfiguration.EntityBatchBlockMaxSize" : "10000"}})
`

Nell'esempio seguente viene fornito un codice di esempio usando la sintassi riportata sopra.The following example provides sample code using the syntax provided above. Se si esamina un'attività sospetta che si è verificata il 20/10/2015 e si vuole saperne di più sulle attività NTLM eseguite da "John Doe" in tale giorno:If you are investigating a suspicious activity that occurred on 20/10/2015 and want to learn more about the NTLM activities that "John Doe" performed on that day:

Prima di tutto, trovare l'ID di "John Doe"First, find the ID of "John Doe"

db.UniqueEntity.find({Name: "John Doe"})
Annotare l'ID, indicato dal valore di _id. Per questo esempio, si supponga che l'ID sia 123bdd24-b269-h6e1-9c72-7737as875351Take a note of his ID as indicated by the value of _id For our example, let's assume the ID is 123bdd24-b269-h6e1-9c72-7737as875351
Cercare quindi la raccolta con la data più vicina precedente alla data cercata, ovvero 20/10/2015 nell'esempio.Then, search for the collection with the closest date that is before the date you are looking for, in our example 20/10/2015.
Cercare quindi le attività NTLM dell'account di John Doe:Then, search for John Doe's account NTLM activities:

db.Ntlms_<closest date>.find({SourceAccountId: "123bdd24-b269-h6e1-9c72-7737as875351"})

Vedere ancheSee Also