Область применения: Advanced Threat Analytics версии 1.9
Эта статья содержит список часто задаваемых вопросов об ATA и предоставляет аналитические сведения и ответы.
Где можно получить лицензию для Advanced Threat Analytics (ATA)?
Если у вас есть активный Соглашение Enterprise, вы можете скачать программное обеспечение из Центра корпоративного лицензирования Майкрософт (VLSC).
Если вы приобрели лицензию enterprise Mobility + Security (EMS) непосредственно через портал Microsoft 365 или через модель лицензирования Cloud Solution Partner (CSP), и у вас нет доступа к ATA через Центр корпоративного лицензирования Майкрософт (VLSC), обратитесь в службу поддержки майкрософт, чтобы получить процесс активации Advanced Threat Analytics (ATA).
Что делать, если шлюз ATA не запустится?
Просмотрите последнюю ошибку в текущем журнале ошибок (где ATA устанавливается в папке Logs).
Как протестировать ATA?
Вы можете имитировать подозрительные действия, которые являются конечным тестом, выполнив одно из следующих действий:
- Разведка DNS с помощью Nslookup.exe
- Удаленное выполнение с помощью psexec.exe
Это должно выполняться удаленно для отслеживаемого контроллера домена, а не из шлюза ATA.
Какая сборка ATA соответствует каждой версии?
Сведения об обновлении версий см . в разделе "Путь обновления ATA".
Какую версию следует использовать для обновления текущего развертывания ATA до последней версии?
Матрица обновления версий ATA см . в схеме обновления ATA.
Как центр ATA обновляет свои последние подписи?
Механизм обнаружения ATA улучшается при установке новой версии в Центре ATA. Центр можно обновить с помощью Центра обновления Майкрософт (MU) или вручную скачать новую версию из Центра загрузки или сайта корпоративной лицензии.
Разделы справки проверить пересылку событий Windows?
Вы можете поместить следующий код в файл, а затем выполнить его из командной строки в каталоге: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin следующим образом:
mongo.exe ATA filename
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
Работает ли ATA с зашифрованным трафиком?
ATA использует анализ нескольких сетевых протоколов, а также событий, собранных из SIEM или через пересылку событий Windows. Обнаружения на основе сетевых протоколов с зашифрованным трафиком (например, LDAPS и IPSEC) не будут анализироваться.
Работает ли ATA с Kerberos Armoring?
Включение защиты Kerberos, также известное как гибкое безопасное туннелирование проверки подлинности (FAST), поддерживается ATA, за исключением сквозного обнаружения хэша, которое не будет работать.
Сколько шлюзов ATA нужно?
Количество шлюзов ATA зависит от сетевого макета, объема пакетов и объема событий, захваченных ATA. Чтобы определить точное число, см . сведения о размерах упрощенного шлюза ATA.
Сколько хранилища требуется для ATA?
Для каждого полного дня в среднем 1000 пакетов в секунду требуется 0,3 ГБ хранилища. Дополнительные сведения о размерах центра ATA см. в разделе "Планирование емкости ATA".
Почему определенные учетные записи считаются конфиденциальными?
Это происходит, когда учетная запись является членом определенных групп, которые мы обозначаем как конфиденциальные (например, "Домен Администратор").
Чтобы понять, почему учетная запись учитывается, можно просмотреть ее членство в группе, чтобы понять, к каким конфиденциальным группам она принадлежит (группа, к которой она принадлежит, также может быть конфиденциальной из-за другой группы, поэтому этот же процесс должен выполняться, пока не найдите самую высокий уровень конфиденциальной группы).
Кроме того, можно вручную пометить пользователя, группу или компьютер как конфиденциальные. Дополнительные сведения см. в разделе "Конфиденциальные учетные записи тегов".
Разделы справки отслеживать виртуальный контроллер домена с помощью ATA?
Большинство виртуальных контроллеров домена могут быть охвачены упрощенным шлюзом ATA, чтобы определить, подходит ли упрощенный шлюз ATA для вашей среды, см . сведения о планировании емкости ATA.
Если виртуальный контроллер домена не может быть охвачен упрощенным шлюзом ATA, вы можете иметь виртуальный или физический шлюз ATA, как описано в разделе "Настройка зеркало порта".
Самый простой способ — иметь виртуальный шлюз ATA на каждом узле, где существует виртуальный контроллер домена. Если виртуальные контроллеры домена перемещаются между узлами, необходимо выполнить одно из следующих действий:
- При переходе виртуального контроллера домена на другой узел предварительно настройте шлюз ATA в этом узле, чтобы получить трафик от недавно перемещенного виртуального контроллера домена.
- Убедитесь, что вы присоедините виртуальный шлюз ATA с виртуальным контроллером домена, чтобы при перемещении шлюз ATA перемещался с ним.
- Существуют некоторые виртуальные коммутаторы, которые могут отправлять трафик между узлами.
Разделы справки резервное копирование ATA?
Сведения об аварийном восстановлении ATA
Что может обнаружить ATA?
ATA обнаруживает известные вредоносные атаки и методы, проблемы безопасности и риски. Полный список обнаружений ATA см. в разделе "Какие обнаружения выполняет ATA?".
Какое хранилище требуется для ATA?
Рекомендуется быстро хранить (диски 7200-RPM не рекомендуется) с доступом к диску с низкой задержкой (менее 10 мс). Конфигурация RAID должна поддерживать большие нагрузки записи (RAID-5/6 и их производные не рекомендуется).
Сколько сетевых адаптеров требуется шлюзу ATA?
Для шлюза ATA требуется не менее двух сетевых адаптеров:
1. Сетевой адаптер для подключения к внутренней сети и Центру ATA
2. Сетевой адаптер, используемый для записи сетевого трафика контроллера домена через порт зеркало.
* Это не относится к упрощению шлюза ATA, который изначально использует все сетевые адаптеры, которые использует контроллер домена.
Какая интеграция ATA имеет с SIEMs?
ATA имеет двунаправленную интеграцию с SIEMs следующим образом:
- ATA можно настроить для отправки оповещения системного журнала на любой сервер SIEM с помощью формата CEF при обнаружении подозрительного действия.
- ATA можно настроить для получения сообщений системного журнала для событий Windows из этих SIEM.
Может ли ATA отслеживать контроллеры домена, виртуализированные в решении IaaS?
Да, с помощью упрощенного шлюза ATA можно отслеживать контроллеры домена, которые находятся в любом решении IaaS.
Это локальное или облачное предложение?
Microsoft Advanced Threat Analytics — это локальный продукт.
Это будет частью идентификатора Microsoft Entra или локальная служба Active Directory?
Это решение в настоящее время является автономным предложением— это не является частью идентификатора Microsoft Entra или локальная служба Active Directory.
Нужно ли создавать собственные правила и создавать пороговые значения или базовые показатели?
При использовании Microsoft Advanced Threat Analytics не требуется создавать правила, пороговые значения или базовые показатели, а затем настраивать их. ATA анализирует поведение между пользователями, устройствами и ресурсами, а также их отношениями друг с другом и может быстро обнаруживать подозрительные действия и известные атаки. Через три недели после развертывания ATA начинает обнаруживать подозрительные действия поведения. С другой стороны, ATA начнет обнаруживать известные вредоносные атаки и проблемы безопасности сразу после развертывания.
Если вы уже нарушены, может ли Microsoft Advanced Threat Analytics определить ненормальное поведение?
Да, даже если ATA установлена после нарушения, ATA по-прежнему может обнаружить подозрительные действия хакера. ATA смотрит не только на поведение пользователя, но и на других пользователей в карте безопасности организации. Во время первоначального анализа, если поведение злоумышленника ненормально, то оно определяется как "вылитый" и ATA продолжает сообщать о ненормальном поведении. Кроме того, ATA может обнаружить подозрительное действие, если хакер пытается украсть другие учетные данные пользователей, например Pass-the-Ticket, или пытается выполнить удаленное выполнение на одном из контроллеров домена.
Использует ли этот трафик только из Active Directory?
Помимо анализа трафика Active Directory с помощью технологии глубокой проверки пакетов ATA также может собирать соответствующие события из службы безопасности и управления событиями (SIEM) и создавать профили сущностей на основе сведений из служб домен Active Directory. ATA также может собирать события из журналов событий, если организация настраивает пересылку журнала событий Windows.
Что такое зеркало портов?
Также известен как SPAN (переключение анализатора портов), зеркало порта — это метод мониторинга сетевого трафика. При включении зеркало порта коммутатор отправляет копию всех сетевых пакетов, видимых на одном порту (или вся виртуальная локальная сеть), в другой порт, где пакет можно проанализировать.
Отслеживает ли ATA только присоединенные к домену устройства?
Нет. ATA отслеживает все устройства в сети, выполняющие запросы проверки подлинности и авторизации в Active Directory, включая устройства, отличные от Windows и мобильных устройств.
Отслеживает ли ATA учетные записи компьютеров, а также учетные записи пользователей?
Да. Так как учетные записи компьютеров (а также любые другие сущности) можно использовать для выполнения вредоносных действий, ATA отслеживает поведение всех учетных записей компьютеров и все остальные сущности в среде.
Может ли ATA поддерживать многодоменные и многодоменные леса?
Microsoft Advanced Threat Analytics поддерживает многодоменные среды в пределах одной границы леса. Для каждого леса требуется развертывание ATA.
Можно ли увидеть общую работоспособность развертывания?
Да, вы можете просмотреть общую работоспособность развертывания, а также конкретные проблемы, связанные с конфигурацией, подключением и т. д., и вы оповещены по мере их возникновения.