適用于:進階威脅分析 1.9 版
本文提供 ATA 的常見問題清單,並提供深入解析和解答。
我可以在哪裡取得 Advanced Threat Analytics (ATA) 的授權?
如果您有使用中的Enterprise 合約,您可以從 Microsoft 大量授權中心 (VLSC) 下載軟體。
如果您直接透過 Microsoft 365 入口網站或雲端解決方案合作夥伴 (CSP) 授權模型取得 Enterprise Mobility + Security (EMS) 授權,且您無法透過 Microsoft 大量授權中心 (VLSC) 存取 ATA,請連絡 Microsoft 客戶支援以取得啟用進階威脅分析 (ATA) 的程式。
如果 ATA 閘道無法啟動,該怎麼辦?
查看目前錯誤記錄檔中最新的錯誤(ATA 安裝于 [記錄] 資料夾下的位置)。
如何測試 ATA?
您可以執行下列其中一項來模擬可疑活動,這是端對端測試:
- 使用 Nslookup.exe 進行 DNS 偵察
- 使用 psexec.exe 遠端執行
這需要針對受監視的網域控制站從遠端執行,而不是從 ATA 閘道執行。
哪個 ATA 組建對應至每個版本?
如需版本升級資訊,請參閱 ATA 升級路徑 。
我應該使用哪個版本將目前的 ATA 部署升級至最新版本?
如需 ATA 版本升級矩陣,請參閱 ATA 升級路徑 。
ATA 中心如何更新其最新的簽章?
ATA 偵測機制會在 ATA 中心上安裝新版本時增強。 您可以使用 Microsoft Update (MU) 或手動從下載中心或大量授權網站下載新版本,來升級中心。
如何?確認 Windows 事件轉送?
您可以將下列程式碼放入檔案中,然後從目錄中的命令提示字元執行: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin ,如下所示:
mongo.exe ATA 檔案名
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
ATA 是否可與加密流量搭配使用?
ATA 依賴分析多個網路通訊協定,以及從 SIEM 或透過 Windows 事件轉送收集的事件。 將不會分析以具有加密流量的網路通訊協定為基礎的偵測(例如 LDAPS 和 IPSEC)。
ATA 是否可與 Kerberos 防護搭配使用?
ATA 支援啟用 Kerberos 防護,也稱為彈性驗證安全通道 (FAST),但傳遞雜湊偵測無法運作除外。
我需要多少個 ATA 閘道?
ATA 閘道的數目取決於您的網路設定、封包數量和 ATA 所擷取的事件數量。 若要判斷確切數目,請參閱 ATA 輕量型閘道大小 調整。
ATA 需要多少儲存體?
每一天平均 1000 個封包/秒,您需要 0.3 GB 的儲存體。 如需 ATA 中心大小調整的詳細資訊, 請參閱 ATA 容量規劃 。
為什麼某些帳戶被視為敏感性?
當帳戶是我們指定為敏感性的特定群組成員時,就會發生這種情況(例如:「網域管理員」)。
若要瞭解帳戶為何敏感性,您可以檢閱其群組成員資格,以瞭解其所屬的敏感性群組(其所屬的群組也可能因為另一個群組而敏感,因此應該執行相同的程式,直到您找到最高層級的敏感性群組為止)。
此外,您可以手動將使用者、群組或電腦標記為敏感性。 如需詳細資訊,請參閱 標記敏感性帳戶 。
如何?使用 ATA 監視虛擬網域控制站嗎?
ATA 輕量型閘道可以涵蓋大部分虛擬網域控制站,以判斷 ATA 輕量型閘道是否適合您的環境,請參閱 ATA 容量規劃 。
如果 ATA 輕量型閘道無法涵蓋虛擬網域控制站,您可以擁有虛擬或實體 ATA 閘道,如設定埠鏡像 中所述 。
最簡單的方式是讓虛擬 ATA 閘道位於虛擬網域控制站所在的每部主機上。 如果您的虛擬網域控制站在主機之間移動,您需要執行下列其中一個步驟:
- 當虛擬網域控制站移至另一部主機時,請預先設定該主機中的 ATA 閘道,以接收來自最近移動虛擬網域控制站的流量。
- 請確定您已將虛擬 ATA 閘道與虛擬網域控制站建立關聯,以便在移動時,ATA 閘道會隨之移動。
- 有些虛擬交換器可以傳送主機之間的流量。
如何?備份 ATA?
ATA 可以偵測什麼?
ATA 會偵測已知的惡意攻擊和技術、安全性問題和風險。 如需 ATA 偵測的完整清單,請參閱 ATA 執行哪些偵測? 。
ATA 需要何種儲存體?
我們建議使用低延遲磁片存取 (小於 10 毫秒) 的快速儲存體 (不建議使用 7200-RPM 磁片)。 RAID 設定應該支援大量寫入負載(不建議使用 RAID-5/6 和其衍生專案)。
ATA 閘道需要多少 NIC?
ATA 閘道至少需要兩張網路介面卡:
1.連線到內部網路和 ATA 中心的 NIC
2.NIC,用來透過埠鏡像擷取網域控制站網路流量。
* 這不適用於 ATA 輕量型閘道,它原本會使用網域控制站使用的所有網路介面卡。
ATA 與 SIEM 有何整合?
ATA 與 SIEM 具有雙向整合,如下所示:
- ATA 可以設定為在偵測到可疑活動時,使用 CEF 格式將 Syslog 警示傳送至任何 SIEM 伺服器。
- ATA 可以設定為從 這些 SIEM 接收 Windows 事件的 Syslog 訊息。
ATA 可以監視 IaaS 解決方案上虛擬化的網域控制站嗎?
是,您可以使用 ATA 輕量型閘道來監視任何 IaaS 解決方案中的網域控制站。
這是內部部署或雲端供應專案嗎?
Microsoft Advanced Threat Analytics 是內部部署產品。
這會是 Microsoft Entra 識別碼或內部部署的 Active Directory的一部分嗎?
此解決方案目前是獨立供應專案,不是 Microsoft Entra ID 或內部部署的 Active Directory的一部分。
您是否必須撰寫自己的規則並建立臨界值/基準?
使用 Microsoft Advanced Threat Analytics 時,不需要建立規則、閾值或基準,然後微調。 ATA 會分析使用者、裝置和資源之間的行為,以及彼此之間的關聯性,並可快速偵測可疑的活動和已知攻擊。 部署三周後,ATA 會開始偵測行為可疑活動。 另一方面,ATA 將會在部署後立即開始偵測已知的惡意攻擊和安全性問題。
如果您已經遭到入侵,Microsoft Advanced Threat Analytics 是否可以識別異常行為?
是的,即使您在入侵後安裝 ATA,ATA 仍然可以偵測駭客的可疑活動。 ATA 不僅會查看使用者的行為,也會查看組織安全性對應中的其他使用者。 在初始分析期間,如果攻擊者的行為異常,則會將其識別為「極端值」,ATA 會持續報告異常行為。 此外,如果駭客嘗試竊取其他使用者認證,例如 Pass-the-Ticket,或嘗試在其中一個網域控制站上執行遠端執行,則 ATA 可以偵測到可疑的活動。
這是否只會利用來自 Active Directory 的流量?
除了使用深層封包檢查技術分析 Active Directory 流量之外,ATA 也可以從安全性資訊和事件管理 (SIEM) 收集相關事件,並根據Active Directory 網域服務的資訊建立實體設定檔。 如果組織設定 Windows 事件記錄轉送,ATA 也可以從事件記錄檔收集事件。
什麼是埠鏡像?
也稱為 SPAN(交換器埠分析器),埠鏡像是監視網路流量的方法。 啟用埠鏡像後,交換器會將一個埠(或整個 VLAN)上看到的所有網路封包複本傳送至另一個埠,您可以在其中分析封包。
ATA 是否只監視已加入網域的裝置?
否。 ATA 會監視網路中對 Active Directory 執行驗證和授權要求的所有裝置,包括非 Windows 和行動裝置。
ATA 是否監視電腦帳戶和使用者帳戶?
是。 由於電腦帳戶(以及任何其他實體)可以用來執行惡意活動,ATA 會監視環境中所有電腦帳戶的行為和所有其他實體。
ATA 是否支援多網域和多樹系?
Microsoft Advanced Threat Analytics 支援相同樹系界限內的多網域環境。 多個樹系需要每個樹系的 ATA 部署。
您是否可以看到部署的整體健康情況?
是,您可以檢視部署的整體健康情況,以及與設定、連線等相關的特定問題,並在發生時收到警示。