Aplica-se a: Advanced Threat Analytics versão 1.9
Este artigo fornece uma lista de perguntas frequentes sobre o ATA, com respostas e informações.
Onde posso obter uma licença para o Advanced Threat Analytics (ATA)?
Se você tiver um Enterprise Agreement ativo, poderá baixar o software do Centro de Licenciamento por Volume da Microsoft (VLSC).
Se você adquiriu uma licença do Enterprise Mobility + Security (EMS) diretamente pelo portal do Microsoft 365 ou pelo modelo de licenciamento CSP (Cloud Solution Partner) e não tem acesso ao ATA por meio do Centro de Licenciamento por Volume da Microsoft (VLSC), entre em contato com o Atendimento Microsoft para obter o processo para ativar o Advanced Threat Analytics (ATA).
O que devo fazer se o ATA Gateway não iniciar?
Observe o erro mais recente no log de erros atual (onde o ATA está instalado na pasta "Logs").
Como posso testar o ATA?
Você pode simular atividades suspeitas, que é um teste de ponta a ponta, seguindo um destes procedimentos:
- Reconhecimento de DNS usando Nslookup.exe
- Execução remota usando psexec.exe
Isso precisa ser executado remotamente no controlador de domínio que está sendo monitorado e não no ATA Gateway.
Qual build do ATA corresponde a cada versão?
Para obter informações sobre atualização de versão, consulte Caminho de atualização do ATA.
Qual versão devo usar para atualizar minha implantação atual do ATA para a versão mais recente?
Para obter a matriz de atualização de versão do ATA, consulte Caminho de atualização do ATA.
Como o ATA Center atualiza suas assinaturas mais recentes?
O mecanismo de detecção do ATA é aprimorado quando uma nova versão é instalada no ATA Center. Você pode atualizar o ATA Center usando o Microsoft Update (MU) ou baixando manualmente a nova versão do Download Center ou do Volume License Site.
Como verifico o Windows Event Forwarding?
Você pode colocar o código a seguir em um arquivo e depois executá-lo a partir de um prompt de comando no diretório: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin da seguinte maneira:
mongo.exe nome do arquivo ATA
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
O ATA funciona com tráfego criptografado?
O ATA depende da análise de vários protocolos de rede, bem como de eventos coletados do SIEM ou por meio do Windows Event Forwarding. As detecções baseadas em protocolos de rede com tráfego criptografado (por exemplo, LDAPS e IPSEC) não serão analisadas.
O ATA funciona com o Kerberos Armoring?
A habilitação do Kerberos Armoring, também conhecida como Flexible Authentication Secure Tunneling (FAST), é suportada pelo ATA, com exceção da detecção de Over-pass the Hash, que não funcionará.
De quantos ATA Gateways eu preciso?
O número de ATA Gateways depende do layout da rede, do volume de pacotes e do volume de eventos capturados pelo ATA. Para determinar o número exato, consulte Dimensionamento do ATA Lightweight Gateway.
De quanto armazenamento eu preciso para o ATA?
Para cada um dia inteiro com uma média de 1000 pacotes/seg, você precisa de 0,3 GB de armazenamento. Para obter mais informações sobre o dimensionamento do ATA Center, consulte Planejamento da capacidade do ATA.
Por que certas contas são consideradas confidenciais?
Isso acontece quando uma conta é membro de determinados grupos que designamos como confidenciais (por exemplo: "Administradores de domínio").
Para entender por que uma conta é confidencial, você pode revisar sua associação de grupo para entender a quais grupos confidenciais ela pertence (o grupo ao qual ela pertence também pode ser confidencial devido a outro grupo, portanto, o mesmo processo deve ser executado até que você localize o grupo confidencial de nível mais alto).
Além disso, você pode marcar manualmente um usuário, grupo ou computador como confidencial. Para obter mais informações, confira Marcar contas confidenciais.
Como monitorar um controlador de domínio virtual usando o ATA?
A maioria dos controladores de domínio virtual pode ser coberta pelo ATA Lightweight Gateway; para determinar se o ATA Lightweight Gateway é apropriado para o seu ambiente, consulte Planejamento da capacidade do ATA.
Se um controlador de domínio virtual não puder ser coberto pelo ATA Lightweight Gateway, você poderá ter um ATA Gateway virtual ou físico, conforme descrito em Configurar espelhamento de porta.
A maneira mais fácil é ter um ATA Gateway virtual em cada host onde existe um controlador de domínio virtual. Se os controladores de domínio virtual se moverem entre hosts, você precisará executar uma das seguintes etapas:
- Quando o controlador de domínio virtual se mover para outro host, pré-configure o ATA Gateway nesse host para receber o tráfego do controlador de domínio virtual movido recentemente.
- Certifique-se de afiliar o ATA Gateway virtual ao controlador de domínio virtual para que, se ele for movido, o ATA Gateway se mova com ele.
- Existem alguns switches virtuais que podem enviar tráfego entre hosts.
Como fazer backup do ATA?
Consulte a Recuperação de desastres do ATA
O que o ATA pode detectar?
O ATA detecta ataques e técnicas maliciosas conhecidas, problemas de segurança e riscos. Para obter a lista completa de detecções do ATA, consulte Quais detecções o ATA executa?.
Que tipo de armazenamento preciso para o ATA?
Recomendamos armazenamento rápido (discos de 7200 RPM não são recomendados) com acesso a disco de baixa latência (menos de 10 ms). A configuração RAID deve suportar cargas de gravação pesadas (RAID-5/6 e seus derivados não são recomendados).
Quantas NICs o ATA Gateway exige?
O ATA Gateway precisa, no mínimo, de dois adaptadores de rede:
1. Uma NIC para se conectar à rede interna e ao ATA Center
2. Uma NIC usada para capturar o tráfego de rede do controlador de domínio por meio do espelhamento de porta.
* Isso não se aplica ao ATA Lightweight Gateway, que usa nativamente todos os adaptadores de rede que o controlador de domínio usa.
Que tipo de integração o ATA tem com os SIEMs?
O ATA tem uma integração bidirecional com SIEMs, da seguinte maneira:
- O ATA pode ser configurado para enviar um alerta Syslog para qualquer servidor SIEM, usando o formato CEF, quando uma atividade suspeita é detectada.
- O ATA pode ser configurado para receber mensagens do Syslog para eventos do Windows a partir desses SIEMs.
O ATA pode monitorar controladores de domínio virtualizados em sua solução IaaS?
Sim, você pode usar o ATA Lightweight Gateway para monitorar controladores de domínio que estão em qualquer solução IaaS.
Esta é uma oferta local ou na nuvem?
O Microsoft Advanced Threat Analytics é um produto local.
Isso fará parte do Microsoft Entra ID ou do Active Directory local?
Atualmente, essa solução é uma oferta autônoma — ela não faz parte do Microsoft Entra ID ou do Active Directory local.
Você precisa escrever suas próprias regras e criar um limite/linha de base?
Com o Microsoft Advanced Threat Analytics, não há necessidade de criar regras, limites ou linhas de base e, em seguida, ajustar. O ATA analisa os comportamentos entre usuários, dispositivos e recursos, bem como sua relação entre si, e pode detectar atividades suspeitas e ataques conhecidos rapidamente. Três semanas após a implantação, o ATA começa a detectar atividades de comportamento suspeitas. Por outro lado, o ATA começará a detectar ataques mal-intencionados conhecidos e problemas de segurança imediatamente após a implantação.
Se você já tiver sofrido invasão, o Microsoft Advanced Threat Analytics pode identificar um comportamento anormal?
Sim, mesmo quando o ATA é instalado depois que você teve uma violação, o ATA ainda pode detectar atividades suspeitas do hacker. O ATA não está apenas examinando o comportamento do usuário, mas também o de outros usuários no mapa de segurança da organização. Durante o tempo de análise inicial, se o comportamento do atacante for anormal, ele é identificado como uma "exceção" e o ATA continua relatando o comportamento anormal. Além disso, o ATA pode detectar a atividade suspeita se o hacker tentar roubar credenciais de outros usuários, como Pass-the-Ticket, ou tentar executar uma execução remota em um dos controladores de domínio.
Isso aproveita apenas o tráfego do Active Directory?
Além de analisar o tráfego do Active Directory usando a tecnologia de inspeção profunda de pacotes, o ATA também pode coletar eventos relevantes do SIEM (gerenciamento de eventos e informações de segurança) e criar perfis de entidade com base nas informações dos Active Directory Domain Services. O ATA também pode coletar eventos dos logs de eventos se a organização configurar o encaminhamento do Log de Eventos do Windows.
O que é espelhamento de portas?
Também conhecido como SPAN (Switched Port Analyzer), o espelhamento de portas é um método de monitoramento do tráfego de rede. Com o espelhamento de portas habilitado, o switch envia uma cópia de todos os pacotes de rede vistos em uma porta (ou em uma VLAN inteira) para outra porta, onde o pacote pode ser analisado.
O ATA monitora apenas dispositivos ingressados no domínio?
Não. O ATA monitora todos os dispositivos na rede que executam solicitações de autenticação e autorização no Active Directory, incluindo dispositivos móveis e não Windows.
O ATA monitora contas de computador, bem como contas de usuário?
Sim. Como as contas do computador (bem como quaisquer outras entidades) podem ser usadas para executar atividades maliciosas, o ATA monitora o comportamento de todas as contas de computador e todas as outras entidades no ambiente.
O ATA pode oferecer suporte a vários domínios e várias florestas?
O Microsoft Advanced Threat Analytics oferece suporte a ambientes de vários domínios dentro do mesmo limite de floresta. Várias florestas exigem uma implantação do ATA para cada floresta.
Você consegue ver a integridade geral da implantação?
Sim, você pode exibir a integridade geral da implantação, bem como problemas específicos relacionados à configuração, conectividade etc., e é alertado à medida que ocorrem.