Nejčastější dotazy k ATA

Pokud máte aktivní smlouva Enterprise, můžete si software stáhnout z webu Microsoft Volume Licensing Center (VLSC).

Pokud jste licenci pro Enterprise Mobility + Security (EMS) získali přímo prostřednictvím portálu Microsoft 365 nebo licenčního modelu CSP (Cloud Solution Partner) a nemáte přístup k ATA prostřednictvím centra Microsoft Volume Licensing Center (VLSC), obraťte se na zákaznickou podporu Microsoftu a požádejte o postup aktivace Advanced Threat Analytics (ATA).

Podívejte se na nejnovější chybu v aktuálním protokolu chyb (kde je ATA nainstalovaný ve složce Logs).

Podezřelé aktivity, které jsou kompletním testem, můžete simulovat jedním z následujících postupů:

1. Rekognoskace DNS pomocí Nslookup.exe
2. Vzdálené spuštění pomocí psexec.exe

To se musí spustit vzdáleně proti monitorovanému řadiči domény, a ne ze služby ATA Gateway.

Informace o upgradu verze najdete v tématu Cesta upgradu ATA.

Informace o matici upgradu verze ATA najdete v tématu Cesta upgradu ATA.

Mechanismus detekce ATA se vylepšuje, když je v ATA Center nainstalovaná nová verze. Centrum můžete upgradovat buď pomocí služby Microsoft Update (MU), nebo ručním stažením nové verze ze služby Stažení softwaru nebo webu multilicence.

Do souboru můžete vložit následující kód a pak ho spustit z příkazového řádku v adresáři: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin následujícím způsobem:

mongo.exe název souboru ATA

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA spoléhá na analýzu více síťových protokolů a také událostí shromážděných ze systému SIEM nebo prostřednictvím předávání událostí windows. Detekce založené na síťových protokolech se šifrovaným provozem (například LDAPS a IPSEC) nebudou analyzovány.

Ata podporuje povolení obranu protokolu Kerberos, označované také jako secure tunneling (FAST), s výjimkou detekce překročení hodnoty hash, která nebude fungovat.

Počet ATA Gateway závisí na rozložení sítě, objemu paketů a objemu událostí zachycených ATA. Pokud chcete zjistit přesné číslo, přečtěte si téma O velikosti ATA Lightweight Gateway.

Pro každý celý den s průměrem 1 000 paketů za sekundu potřebujete 0,3 GB úložiště. Další informace o velikosti ATA Center najdete v tématu Plánování kapacity ATA.

K tomu dochází, když je účet členem určitých skupin, které určíme jako citlivé (například Domain Admins).

Pokud chcete zjistit, proč je účet citlivý, můžete zkontrolovat jeho členství ve skupině a zjistit, do kterých citlivých skupin patří (skupina, do které patří, může být citlivá také kvůli jiné skupině, takže by se měl provést stejný proces, dokud nenajdete citlivou skupinu nejvyšší úrovně).

Kromě toho můžete uživatele, skupinu nebo počítač ručně označit jako citlivé. Další informace najdete v tématu Označování citlivých účtů.

AtA Lightweight Gateway může pokrýt většinu virtuálních řadičů domény. Informace o tom, jestli je ATA Lightweight Gateway vhodná pro vaše prostředí, najdete v tématu Plánování kapacity ATA.

Pokud ata Lightweight Gateway nemůže pokrýt virtuální řadič domény, můžete mít virtuální nebo fyzickou ATA Gateway, jak je popsáno v tématu Konfigurace zrcadlení portů.

Nejjednodušší způsob je mít virtuální ATA Gateway na každém hostiteli, kde existuje virtuální řadič domény. Pokud se virtuální řadiče domény přesunují mezi hostiteli, musíte provést jeden z následujících kroků:

• Když se virtuální řadič domény přesune na jiného hostitele, předem nakonfigurujte ATA Gateway v daném hostiteli tak, aby přijímala provoz z nedávno přesunutého virtuálního řadiče domény.
• Ujistěte se, že jste virtuální ATA Gateway přidružili k virtuálnímu řadiči domény, aby se ata gateway při přesunutí přesunula s ním.
• Existuje několik virtuálních přepínačů, které můžou odesílat provoz mezi hostiteli.

Projděte si téma Zotavení po havárii ATA.

ATA detekuje známé škodlivé útoky a techniky, problémy se zabezpečením a rizika. Úplný seznam detekcí ATA najdete v tématu Jaké detekce ATA provádí?.

Doporučujeme rychlé úložiště (disky s rychlostí 7200 ot./min) s přístupem k disku s nízkou latencí (méně než 10 ms). Konfigurace RAID by měla podporovat velké zatížení zápisu (RAID-5/6 a jejich deriváty se nedoporučuje).

ATA Gateway potřebuje minimálně dva síťové adaptéry:
1. Síťová karta pro připojení k interní síti a ATA Center
2. Síťová karta, která se používá k zachycení síťového provozu řadiče domény prostřednictvím zrcadlení portů.
* To neplatí pro ATA Lightweight Gateway, která nativně používá všechny síťové adaptéry, které používá řadič domény.

ATA má obousměrnou integraci s prostředími SIEM následujícím způsobem:

1. ATA je možné nakonfigurovat tak, aby v případě zjištění podezřelé aktivity odesílala upozornění syslogu na libovolný server SIEM ve formátu CEF.
2. ATA je možné nakonfigurovat tak, aby z těchto systémů SIEM přijímala zprávy Syslogu pro windows.

Ano, ATA Lightweight Gateway můžete použít k monitorování řadičů domény, které jsou v libovolném řešení IaaS.

Microsoft Advanced Threat Analytics je místní produkt.

Toto řešení je v současné době samostatnou nabídkou – není součástí Microsoft Entra ID ani místní Active Directory.

S Microsoft Advanced Threat Analytics není potřeba vytvářet pravidla, prahové hodnoty ani směrné plány a pak je dolaďovat. ATA analyzuje chování uživatelů, zařízení a prostředků a také jejich vztah k sobě navzájem a dokáže rychle detekovat podezřelé aktivity a známé útoky. Tři týdny po nasazení začne ATA zjišťovat podezřelé aktivity chování. Na druhou stranu ATA začne detekovat známé útoky se zlými úmysly a problémy se zabezpečením hned po nasazení.

Ano, i když se ATA nainstaluje po porušení zabezpečení, může stále detekovat podezřelé aktivity hackera. ATA se nedívá jenom na chování uživatele, ale také na ostatní uživatele v mapě zabezpečení organizace. Pokud je během počáteční analýzy chování útočníka neobvyklé, identifikuje se jako "odlehlý" a ATA bude o neobvyklém chování hlásit. ATA navíc dokáže rozpoznat podezřelou aktivitu, pokud se hacker pokusí ukrást přihlašovací údaje jiného uživatele, například Pass-the-Ticket, nebo se pokusí provést vzdálené spuštění na jednom z řadičů domény.

Kromě analýzy provozu služby Active Directory pomocí technologie hloubkové kontroly paketů může ATA také shromažďovat relevantní události z informací o zabezpečení a správy událostí (SIEM) a vytvářet profily entit na základě informací z Active Directory Domain Services. ATA může také shromažďovat události z protokolů událostí, pokud organizace konfiguruje předávání protokolu událostí Windows.

Zrcadlení portů, označované také jako SPAN (Switched Port Analyzer), je metoda monitorování síťového provozu. Pokud je povoleno zrcadlení portů, přepínač odesílá kopii všech síťových paketů na jednom portu (nebo celé síti VLAN) na jiný port, kde je možné paket analyzovat.

Ne. ATA monitoruje všechna zařízení v síti, která provádějí žádosti o ověření a autorizaci ve službě Active Directory, včetně jiných zařízení než Windows a mobilních zařízení.

Ano. Vzhledem k tomu, že účty počítačů (stejně jako jakékoli jiné entity) lze použít k provádění škodlivých aktivit, ATA monitoruje chování všech účtů počítačů a všech ostatních entit v prostředí.

Microsoft Advanced Threat Analytics podporuje vícedoménová prostředí v rámci stejné doménové struktury. Více doménových struktur vyžaduje nasazení ATA pro každou doménovou strukturu.

Ano, můžete zobrazit celkový stav nasazení a také konkrétní problémy související s konfigurací, připojením atd., a jakmile k nim dojde, budete upozorněni.

Viz taky

• Požadavky ATA
• Plánování kapacity ATA
• Konfigurace shromažďování událostí
• Konfigurace předávání událostí systému Windows
• Podívejte se na fórum ATA!