Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Часто задаваемые вопросы об ATAATA frequently asked questions

В этой статье содержатся ответы на часто задаваемые вопросы о решении Microsoft Advanced Threat Analytics (ATA).This article provides a list of frequently asked questions about ATA and provides insight and answers.

Где можно получить лицензию для Advanced Threat Analytics (ATA)?Where can I get a license for Advanced Threat Analytics (ATA)?

Если у вас есть действующее соглашение Enterprise, вы можете скачать программное обеспечение в центре корпоративного лицензирования Майкрософт (VLSC).If you have an active Enterprise Agreement, you can download the software from the Microsoft Volume Licensing Center (VLSC).

Если вы приобрели лицензию Enterprise Mobility + Security (EMS) непосредственно на портале Office 365 или по модели лицензирования Cloud Solution Partner (CSP) и у вас нет доступа к ATA в центре корпоративного лицензирования Майкрософт (VLSC), обратитесь в службу поддержки клиентов Майкрософт, чтобы узнать, как активировать решение Advanced Threat Analytics (ATA).If you acquired a license for Enterprise Mobility + Security (EMS) directly via the Office 365 portal or through the Cloud Solution Partner (CSP) licensing model and you do not have access to ATA through the Microsoft Volume Licensing Center (VLSC), contact Microsoft Customer Support to obtain the process to activate Advanced Threat Analytics (ATA).

Что делать, если шлюз ATA не запускается?What should I do if the ATA Gateway won’t start?

Просмотрите самую последнюю ошибку в текущем журнале ошибок (в месте установки ATA в папке Logs).Look at the most recent error in the current error log (Where ATA is installed under the "Logs" folder).

Как протестировать ATA?How can I test ATA?

Можно имитировать подозрительные действия, что представляет собой сквозной тест, одним из следующих методов:You can simulate suspicious activities which is an end to end test by doing one of the following:

  1. Проверка DNS с использованием средства Nslookup.exe.DNS reconnaissance by using Nslookup.exe
  2. Удаленное выполнение с использованием средства psexec.exe.Remote execution by using psexec.exe

Это нужно выполнить удаленно через отслеживаемый контроллер домена, а не через шлюз ATA.This needs to run remotely against the domain controller being monitored and not from the ATA Gateway.

Какая сборка ATA соответствует той или иной версии?Which ATA build corresponds to each version?

Сведения об обновлении версии см. в статье Рекомендуемые варианты обновления ATA.For version upgrade information, see ATA upgrade path.

Какую версию следует использовать для обновления текущего развертывания ATA до последней версии?What version should I use to upgrade my current ATA deployment to the latest version?

Таблицу обновления версий ATA см. в статье Рекомендуемые варианты обновления ATA.For the ATA version upgrade matrix, see ATA upgrade path.

Как проверить пересылку событий Windows?How do I verify Windows Event Forwarding?

Приведенный ниже код можно сохранить в файл и выполнить этот файл в командной строке из каталога \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin, используя следующую команду.You can place the the following code into a file and then execute it from a command prompt in the directory: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin as follows:

mongo.exe ATA filenamemongo.exe ATA filename

    db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
            if (db[collection].count() > 0) {
                              print ("Found "+db[collection].count()+" NTLM events") 
                            }
            }
    });

Поддерживает ли ATA зашифрованный трафик?Does ATA work with encrypted traffic?

Принцип действия ATA основан на анализе множества сетевых протоколов и событий, информация о которых собирается из SIEM и через пересылку событий Windows. При этом ATA не анализирует зашифрованный трафик (например, LDAPS и IPSEC), но это не мешает системе успешно работать и почти всегда обнаруживать угрозы.ATA relies on analyzing multiple network protocols, as well as events collected from the SIEM or via Windows Event Forwarding so that even though encrypted traffic will not be analyzed (for example, LDAPS and IPSEC) ATA will still work and most of the detections will not be affected.

Поддерживает ли ATA защиту Kerberos?Does ATA work with Kerberos Armoring?

ATA поддерживает механизм защиты Kerberos (также известный как безопасное туннелирование для гибкой аутентификации (FAST)). Однако в случае его активации ATA не сможет обнаруживать атаки Over-pass-the-hash.Enabling Kerberos Armoring, also known as Flexible Authentication Secure Tunneling (FAST), is supported by ATA, with the exception of over-pass the hash detection which will not work.

Как узнать число требуемых шлюзов ATA?How many ATA Gateways do I need?

Число шлюзов ATA зависит от структуры сети, объема передаваемых пакетов и количества событий, собираемых ATA.The number of ATA Gateways depend on your network layout, volume of packets and volume of events captured by ATA. Чтобы определить точное число, ознакомьтесь с разделом Размеры упрощенных шлюзов ATA.To determine the exact number, see ATA Lightweight Gateway Sizing.

Какой объем хранилища требуется для ATA?How much storage do I need for ATA?

На каждый полный день при среднем показателе 1000 пакетов/с требуется 0,3 ГБ свободного места в хранилище.For every one full day with an average of 1000 packets/sec you need 0.3 GB of storage.

Дополнительные сведения об определении размера центра ATA см. в статье Планирование производительности ATA.For more information about ATA Center sizing see, ATA Capacity Planning.

Почему некоторые учетные записи рассматриваются как конфиденциальные?Why are certain accounts considered sensitive?

Такие учетные записи могут быть у участников определенных групп, которые считаются конфиденциальными (например, у участников группы администраторов домена).This happens when an account is a member of certain groups which we designate as sensitive (for example: "Domain Admins").

Чтобы понять, почему учетная запись конфиденциальная, нужно просмотреть, к каким конфиденциальным группам она относится. Группы, к которым она принадлежит, также могут быть конфиденциальными из-за другой группы, поэтому необходимо обнаружить группу с самым высоким уровнем конфиденциальности.To understand why an account is sensitive you can review its group membership to understand which sensitive groups it belongs to (the group that it belongs to can also be sensitive due to another group, so the same process should be performed until you locate the highest level sensitive group).

Как обеспечить отслеживание виртуального контроллера домена с помощью ATA?How do I monitor a virtual domain controller using ATA?

Упрощенный шлюз ATA поддерживают большинство виртуальных контроллеров домена. Сведения о том, как определить, пригодна ли ваша среда для размещения упрощенных шлюзов ATA см. в статье Планирование производительности ATA.Most virtual domain controllers can be covered by the ATA Lightweight Gateway, to determine whether the ATA Lightweight Gateway is appropriate for your environment, see ATA Capacity Planning.

Если в виртуальном контроллере домена невозможно разместить упрощенный шлюз ATA, в нем можно реализовать физический или виртуальный шлюз ATA, как описано в статье Настройка зеркального отображения портов.If a virtual domain controller can't be covered by the ATA Lightweight Gateway, you can have either a virtual or physical ATA Gateway as described in Configure port mirroring.
Проще всего настроить виртуальный шлюз ATA на каждом узле, где есть виртуальный контроллер домена.The easiest way is to have a virtual ATA Gateway on every host where a virtual domain controller exists.
Если виртуальные контроллеры домена перемещаются между узлами, необходимо выполнить один из следующих шагов:If your virtual domain controllers move between hosts, you need to perform one of the following steps:

  • Если виртуальный контроллер домена перемещается на другой узел, выполните предварительную настройку шлюза ATA на этом узле, чтобы получать трафик из недавно перемещенного виртуального контроллера домена.When the virtual domain controller moves to another host, preconfigure the ATA Gateway in that host to receive the traffic from the recently moved virtual domain controller.
  • Сопоставьте виртуальный шлюз ATA с виртуальным контроллером домена. Таким образом, они останутся связанными.Make sure that you affiliate the virtual ATA Gateway with the virtual domain controller so that if it is moved, the ATA Gateway moves with it.
  • Используйте виртуальные коммутаторы, которые могут отправлять трафик между узлами.There are some virtual switches that can send traffic between hosts.

Как осуществить резервное копирование данных ATA?How do I back up ATA?

См. статью Аварийное восстановление АТА.Refer to ATA disaster recovery

Какие атаки и угрозы может обнаружить ATA?What can ATA detect?

Решение ATA обнаруживает известные вредоносные атаки и методы нарушения безопасности, а также проблемы безопасности и риски.ATA detects known malicious attacks and techniques, security issues, and risks. Полный список обнаружений ATA см. в статье Какие угрозы обнаруживает ATA?For the full list of ATA detections, see What detections does ATA perform?.

Какой тип хранилища необходим для ATA?What kind of storage do I need for ATA?

Мы советуем использовать быстродействующее устройство хранения (диски со скоростью до 7200 об/мин) с малой задержкой (менее 10 мс).We recommend fast storage (7200-RPM disks are not recommended) with low latency disk access (less than 10 ms). и конфигурацией RAID, которая поддерживает большие нагрузки операций записи (кроме RAID 5 и 6, а также производных конфигураций).The RAID configuration should support heavy write loads (RAID-5/6 and their derivatives are not recommended).

Какое количество сетевых адаптеров требуется для шлюза ATA?How many NICs does the ATA Gateway require?

Для шлюза ATA необходимо как минимум два сетевых адаптера:The ATA Gateway needs a minimum of two network adapters:
1. сетевой адаптер для подключения к внутренней сети и центру ATA;1. A NIC to connect to the internal network and the ATA Center
2. Сетевой адаптер используется для записи сетевого трафика контроллеров домена путем зеркального отображения порта.2. A NIC that is used to capture the domain controller network traffic via port mirroring.
* Это не относится к упрощенному шлюзу ATA, в котором изначально используются сетевые адаптеры, применяемые контроллером домена.* This does not apply to the ATA Lightweight Gateway, which natively uses all of the network adapters that the domain controller uses.

Какой ATA интегрируется с системами SIEM?What kind of integration does ATA have with SIEMs?

ATA поддерживает двунаправленную интеграцию с системами SIEM:ATA has a bi-directional integration with SIEMs as follows:

  1. В ATA можно настроить отправку оповещений системного журнала на любой сервер системы SIEM, который поддерживает формат CEF, при обнаружении подозрительной активности.ATA can be configured to send a Syslog alert, to any SIEM server using the CEF format, when a suspicious activity is detected.
  2. В ATA можно настроить получение сообщений системного журнала о событиях Windows из этих систем SIEM.ATA can be configured to receive Syslog messages for Windows events from these SIEMs.

Возможно ли с помощью ATA отслеживать виртуализированные контроллеры домена в решении IaaS?Can ATA monitor domain controllers virtualized on your IaaS solution?

Да, можно использовать упрощенный шлюз ATA, чтобы отслеживать контроллеры домена, входящие в любое решение IaaS.Yes, you can use the ATA Lightweight Gateway to monitor domain controllers that are in any IaaS solution.

Это локальное или облачное решение?Is this an on-premises or in-cloud offering?

Microsoft Advanced Threat Analytics — это локальный продукт.Microsoft Advanced Threat Analytics is an on-premises product.

Будет ли решение предоставляться в составе Azure Active Directory или локальной версии Active Directory?Is this going to be a part of Azure Active Directory or on-premises Active Directory?

Сейчас это отдельное предложение, которое не относится к службе Azure Active Directory или локальной версии Active Directory.This solution is currently a standalone offering—it is not a part of Azure Active Directory or on-premises Active Directory.

Нужно ли писать собственные правила и определять ограничения или базовые показатели?Do you have to write your own rules and create a threshold/baseline?

В Microsoft Advanced Threat Analytics не нужно создавать правила, ограничения, базовые показатели и настраивать их.With Microsoft Advanced Threat Analytics, there is no need to create rules, thresholds, or baselines and then fine-tune. ATA анализирует поведение пользователей, устройств и ресурсов, а также их взаимодействие и быстро обнаруживает подозрительные действия и атаки известных типов.ATA analyzes the behaviors among users, devices, and resources—as well as their relationship to one another—and can detect suspicious activity and known attacks fast. Это решение начинает определять подозрительные действия через три недели после развертывания,Three weeks after deployment, ATA starts to detect behavioral suspicious activities. а обнаружение проблем безопасности и известных вредоносных атак начинается сразу после развертывания.On the other hand, ATA will start detecting known malicious attacks and security issues immediately after deployment.

Определит ли Microsoft Advanced Threat Analytics аномальное поведение, если безопасность уже нарушена?If you are already breached, can Microsoft Advanced Threat Analytics identify abnormal behavior?

Да, даже если решение ATA установили после нарушения, оно все равно обнаружит подозрительные действия злоумышленников.Yes, even when ATA is installed after you have been breached, ATA can still detect suspicious activities of the hacker. ATA отслеживает поведение не только одного пользователя, но и других пользователей в схеме безопасности предприятия.ATA is not only looking at the user’s behavior but also against the other users in the organization security map. Если во время начального анализа злоумышленник выполняет аномальные действия, решение определяет их как "выброс" и создает отчеты о аномальном поведении.During the initial analysis time, if the attacker’s behavior is abnormal, then it is identified as an “outlier” and ATA keeps reporting on the abnormal behavior. Кроме того, если злоумышленник пытается украсть учетные данные пользователей, например при атаке Pass-the-Ticket, или удаленно выполнить действие на одном из контроллеров домена, ATA также определит эти действия как подозрительные.Additionally ATA can detect the suspicious activity if the hacker attempts to steal another users credentials, such as Pass-the-Ticket, or attempts to perform a remote execution on one of the domain controllers.

Решение анализирует только трафик Active Directory?Does this only leverage traffic from Active Directory?

Вдобавок к анализу трафика Active Directory с использованием технологии тщательного анализа пакетов ATA также выполняет сбор данных о соответствующих событиях из систем SIEM и создает профили сущностей на основе сведений из доменных служб Active Directory.In addition to analyzing Active Directory traffic using deep packet inspection technology, ATA can also collect relevant events from your Security Information and Event Management (SIEM) and create entity profiles based on information from Active Directory Domain Services. ATA также может собирать сведения о событиях из журналов событий, если в организации настроена пересылка журналов событий Windows.ATA can also collect events from the event logs if the organization configures Windows Event Log forwarding.

Что такое зеркальное отображение портов?What is port mirroring?

Зеркальное отображение портов, также известное как SPAN (Switched Port Analyzer) — это технология мониторинга сетевого трафика.Also known as SPAN (Switched Port Analyzer), port mirroring is a method of monitoring network traffic. Если зеркальное отображение портов включено, коммутатор отправляет копию всех сетевых пакетов одного порта (или всей виртуальной ЛС) на другой порт, где пакеты можно проанализировать.With port mirroring enabled, the switch sends a copy of all network packets seen on one port (or an entire VLAN) to another port, where the packet can be analyzed.

ATA отслеживает действия только присоединенных к домену устройств?Does ATA monitor only domain-joined devices?

Нет.No. Microsoft Advanced Threat Analytics выполняет мониторинг всех устройств в сети, которые отправляют запросы проверки подлинности и авторизации в Active Directory, в том числе мобильных устройств не под управлением Windows.ATA monitors all devices in the network performing authentication and authorization requests against Active Directory, including non-Windows and mobile devices.

Поддерживает ли ATA мониторинг учетных записей компьютеров и пользователей?Does ATA monitor computer accounts as well as user accounts?

Да.Yes. Так как учетные записи компьютеров (как и любые другие сущности) могут использовать для вредоносных действий, ATA отслеживает поведение всех учетных записей компьютеров и всех других сущностей в среде.Since computer accounts (as well as any other entities) can be used to perform malicious activities, ATA monitors all computer accounts behavior and all other entities in the environment.

Поддерживает ли ATA несколько доменов и лесов?Can ATA support multi-domain and multi-forest?

Microsoft Advanced Threat Analytics поддерживает многодоменную среду в пределах одного леса.Microsoft Advanced Threat Analytics supports multi-domain environments within the same forest boundary. Если лесов несколько, для каждого из них требуется отдельное развертывание ATA.Multiple forests require an ATA deployment for each forest.

Можно ли проверить общую работоспособность развертывания?Can you see the overall health of the deployment?

Да, вы можете проверить общую работоспособность развертывания, а также узнать о конкретных проблемах, связанных с конфигурацией, подключением и т. п. Кроме того, вы будете получать оповещения в случае их возникновения.Yes, you can view the overall health of the deployment as well as specific issues related to configuration, connectivity etc., and you are alerted as they occur.

См. такжеSee Also