编辑

ATA 常见问题解答

  • 常见问题解答

适用于:高级威胁分析版本 1.9

本文提供了有关 ATA 的常见问题列表,并提供见解和答案。

在哪里可以获取高级威胁分析 (ATA) 许可证?

如果存在有效的企业协议,可从 Microsoft 批量许可中心 (VLSC) 下载软件。

如果是直接通过 Microsoft 365 门户或通过云解决方案合作伙伴 (CSP) 许可模型获得了企业移动性 + 安全性 (EMS) 许可,且无法通过 Microsoft 批量许可中心 (VLSC) 访问 ATA,请联系 Microsoft 客户支持以获取激活高级威胁分析 (ATA) 的过程。

如果 ATA 网关无法启动,该怎么办?

查看当前错误日志中的最新错误(ATA 安装在“日志”文件夹下)。

如何测试 ATA?

通过执行以下操作之一,可模拟作为端到端测试的可疑活动:

  1. 使用 Nslookup.exe 进行 DNS 侦查
  2. 使用 psexec.exe 进行远程执行

需要针对要监视的域控制器远程运行,而不是从 ATA 网关运行。

ATA 版本对应情况?

有关版本升级信息,请参阅 ATA 升级路径

应使用哪个版本将当前 ATA 部署升级到最新版本?

有关 ATA 版本升级矩阵,请参阅 ATA 升级路径

ATA 中心如何更新其最新签名?

在 ATA 中心安装新版本时,ATA 检测机制将得到增强。 可通过 Microsoft 更新 (MU) 或从下载中心或批量许可证网站手动下载新版本来升级中心。

如何实现验证 Windows 事件转发?

可将以下代码放入文件中,然后在目录中的命令提示符执行该代码:\Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin,如下所示:

mongo.exe ATA 文件名

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA 是否适用于加密流量?

ATA 依赖于分析多个网络协议,以及从 SIEM 或通过 Windows 事件转发收集的事件。 不会分析基于具有加密流量的网络协议(例如 LDAPS 和 IPSEC)的检测。

ATA 是否适用于 Kerberos Armoring?

ATA 支持 Kerberos Armoring(也称为灵活身份验证安全隧道 (FAST)),但不支持 Overpass-the-hash 检测。

我需要多少个 ATA 网关?

ATA 网关的数量取决于网络布局、数据包量和 ATA 捕获的事件数量。 要确定确切的数字,请参阅 ATA 轻型网关大小调整

ATA 需要多少存储容量?

在一整天内,如果平均每秒 1000 个数据包,则需要 0.3 GB 的存储。 有关 ATA 中心大小调整的详细信息,请参阅 ATA 容量计划

为什么某些帐户被视为敏感帐户?

帐户是我们指定为敏感组的某些组的成员(例如:“域管理员”)时,就会发生这种情况。

要了解帐户为何敏感,可以查看其组成员身份以了解其所属的敏感组(该帐户所属的组也可能由于另一个组而敏感,因此应执行相同的过程,直到找到最高级别敏感组)。

此外,还可以手动将用户、组或计算机标记为敏感。 有关详细信息,请参阅标记敏感帐户

如何使用 ATA 监视虚拟域控制器?

ATA 轻型网关可以覆盖大多数虚拟域控制器,要确定 ATA 轻型网关是否适合所在环境,请参阅 ATA 容量计划

如果 ATA 轻型网关无法涵盖虚拟域控制器,则可使用配置端口镜像中所述的虚拟或物理 ATA 网关。

最简单的方法是在存在虚拟域控制器的每台主机上都安装一个虚拟 ATA 网关。 如果虚拟域控制器在主机之间移动,则需要执行以下其中一个步骤:

  • 虚拟域控制器移动到另一个主机时,在该主机中预配置 ATA 网关,以接收最近移动的虚拟域控制器的流量。
  • 确保将虚拟 ATA 网关与虚拟域控制器关联,以便在移动虚拟域控制器时,ATA 网关会随之一起移动。
  • 有些虚拟交换机可以在主机之间发送流量。

我该如何备份 ATA?

请参阅 ATA 灾难恢复

ATA 可以检测哪些内容?

ATA 可检测已知的恶意攻击和技术、安全问题及风险。 有关 ATA 检测的完整列表,请参阅 ATA 执行哪些检测?

ATA 需要哪种存储?

建议使用低延迟磁盘访问(小于 10 毫秒)的快速存储(不建议使用 7200-RPM 磁盘)。 RAID 配置应支持大量写入负载(不建议使用 RAID-5/6 及其衍生产品)。

ATA 网关需要多少 NIC?

ATA 网关至少需要两个网络适配器:
1. 用于连接到内部网络和 ATA 中心的 NIC
2. 用于通过端口镜像捕获域控制器网络流量的 NIC。
* 这不适用于 ATA 轻型网关,该网关会直接使用域控制器使用的所有网络适配器。

ATA 与 SIEM 使用什么种类的集成?

ATA 与 SIEM 进行双向集成,如下所示:

  1. ATA 可配置为在检测到可疑活动时,使用 CEF 格式将 Syslog 警报发送到任何 SIEM 服务器。
  2. ATA 可配置为接收来自这些 SIEM 的 Windows事件的 Syslog 消息。

ATA 是否可以监视 IaaS 解决方案上虚拟化的域控制器?

可以,可以使用 ATA 轻型网关监视任何 IaaS 解决方案中的域控制器。

ATA 是本地还是云中产品/服务?

Microsoft 高级威胁分析是一种本地产品。

ATA 是 Microsoft Entra ID 或本地 Active Directory 的一部分吗?

此解决方案目前是独立的产品/服务,不是 Microsoft Entra ID 或本地 Active Directory 的一部分。

是否必须编写自己的规则并创建阈值/基线?

使用 Microsoft 高级威胁分析,无需创建规则、阈值或基线,然后进行微调。 ATA 可分析用户、设备和资源之间的行为及其相互关系,并能快速检测可疑活动和已知攻击。 部署三周后,ATA 开始检测行为可疑活动。 另一方面,ATA 将在部署后立即开始检测已知的恶意攻击和安全问题。

如果已遭到入侵,Microsoft 高级威胁分析是否可以识别异常行为?

可以,即使在遭到入侵后安装了 ATA,ATA 仍可以检测到黑客的可疑活动。 ATA 不仅查看用户的行为,还关注组织安全地图中的其他用户。 在初始分析期间,如果攻击者的行为异常,则会将其标识为“离群值”,ATA 会不断报告异常行为。 此外,如果黑客尝试窃取其他用户凭据(如 Pass-the-Ticket),或尝试在某个域控制器上执行远程执行,ATA 也可以检测可疑活动。

ATA 是否仅利用来自 Active Directory 的流量?

除了使用深度数据包检查技术分析 Active Directory 流量外,ATA 还可以从安全信息和事件管理 (SIEM) 收集相关事件,并根据 Active Directory 域服务的信息创建实体配置文件。 如果组织配置了 Windows 事件日志转发,ATA 还可以从事件日志中收集事件。

什么是端口镜像?

端口镜像也称为 SPAN(交换端口分析器),是一种监视网络流量的方法。 启用端口镜像后,交换机会将一个端口(或整个 VLAN)上捕获的所有网络数据包的副本发送到另一个端口,可在其中分析数据包。

ATA 是否仅监视已加入域的设备?

否。 ATA 监视网络中对 Active Directory 执行身份验证和授权请求的所有设备(包括非 Windows 和移动设备)。

ATA 是否监视计算机帐户以及用户帐户?

是。 由于计算机帐户(以及其他任何实体)可用于执行恶意活动,ATA 会监视环境中的所有计算机帐户行为和所有其他实体。

ATA 是否支持多域和多林?

Microsoft 高级威胁分析支持同一林边界内的多域环境。 多林需要为每个林部署 ATA。

是否可以看到部署的总体运行状况?

是,可以查看部署的总体运行状况,以及与配置、连接等相关的具体问题,并在发生配置时收到警报。

另请参阅