Bearbeiten

Freigeben über


Häufig gestellte Fragen zu ATA

Gilt für: Advanced Threat Analytics Version 1.9

Dieser Artikel enthält eine Liste der häufig gestellten Fragen zu ATA sowie Erkenntnisse und Antworten.

Wo erhalte ich eine Lizenz für Advanced Threat Analytics (ATA)?

Wenn Sie über eine aktive Enterprise Agreement verfügen, können Sie die Software aus dem Microsoft Volume Licensing Center (VLSC) herunterladen.

Wenn Sie eine Lizenz für Enterprise Mobility + Security (EMS) direkt über das Microsoft 365-Portal oder über das CSP-Lizenzierungsmodell (Cloud Solution Partner) erworben haben und sie keinen Zugriff auf ATA über das Microsoft Volume Licensing Center (VLSC) haben, wenden Sie sich an den Microsoft-Kundensupport, um den Prozess zum Aktivieren von Advanced Threat Analytics (ATA) zu erhalten.

Was kann ich tun, wenn das ATA-Gateway nicht gestartet wird?

Sehen Sie sich den letzten Fehler im aktuellen Fehlerprotokoll an (Wobei ATA im Ordner "Logs" installiert ist).

Wie kann ich ATA testen?

Sie können verdächtige Aktivitäten simulieren, bei denen es sich um einen End-to-End-Test handelt, indem Sie eine der folgenden Aktionen ausführen:

  1. DNS-Reconnaissance mithilfe von Nslookup.exe
  2. Remoteausführung mithilfe von psexec.exe

Dies muss remote für den überwachten Domänencontroller und nicht über das ATA-Gateway ausgeführt werden.

Welcher ATA-Build entspricht den einzelnen Versionen?

Informationen zum Versionsupgrade finden Sie unter ATA-Upgradepfad.

Welche Version sollte ich verwenden, um meine aktuelle ATA-Bereitstellung auf die neueste Version zu aktualisieren?

Informationen zur Upgradematrix für die ATA-Version finden Sie unter ATA-Upgradepfad.

Wie aktualisiert ATA Center seine neuesten Signaturen?

Der ATA-Erkennungsmechanismus wird verbessert, wenn eine neue Version in ATA Center installiert wird. Sie können das Center entweder mithilfe von Microsoft Update (MU) aktualisieren oder die neue Version manuell aus dem Download Center oder der Volumenlizenzwebsite herunterladen.

Gewusst wie Überprüfen der Windows-Ereignisweiterleitung?

Sie können den folgenden Code in eine Datei einfügen und ihn dann über eine Eingabeaufforderung im Verzeichnis \Programme\Microsoft Advanced Threat Analytics\Center\MongoDB\bin wie folgt ausführen:

mongo.exe ATA-Dateinamen

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

Funktioniert ATA mit verschlüsseltem Datenverkehr?

ATA basiert auf der Analyse mehrerer Netzwerkprotokolle sowie von Ereignissen, die vom SIEM oder über die Windows-Ereignisweiterleitung gesammelt werden. Erkennungen, die auf Netzwerkprotokollen mit verschlüsseltem Datenverkehr (z. B. LDAPS und IPSEC) basieren, werden nicht analysiert.

Funktioniert ATA mit Kerberos Armoring?

Die Aktivierung von Kerberos Armoring, auch als Flexible Authentication Secure Tunneling (FAST) bezeichnet, wird von ATA unterstützt, mit Ausnahme von Überlauf der Hasherkennung, die nicht funktioniert.

Wie viele ATA-Gateways benötige ich?

Die Anzahl der ATA-Gateways hängt von Ihrem Netzwerklayout, der Paketmenge und der Menge der von ATA erfassten Ereignisse ab. Informationen zum Ermitteln der genauen Anzahl finden Sie unter Dimensionierung des ATA Lightweight-Gateways.

Wie viel Speicher benötige ich für ATA?

Für jeden ganzen Tag mit durchschnittlich 1.000 Paketen/Sekunde benötigen Sie 0,3 GB Speicher. Weitere Informationen zur Dimensionierung von ATA Center finden Sie unter ATA Capacity Planning.

Warum gelten bestimmte Konten als vertraulich?

Dies geschieht, wenn ein Konto Mitglied bestimmter Gruppen ist, die wir als vertraulich kennzeichnen (z. B. "Domänenadministratoren").

Um zu verstehen, warum ein Konto vertraulich ist, können Sie seine Gruppenmitgliedschaft überprüfen, um zu verstehen, zu welchen vertraulichen Gruppen es gehört (die Gruppe, zu der es gehört, kann auch aufgrund einer anderen Gruppe vertraulich sein, daher sollte derselbe Prozess ausgeführt werden, bis Sie die vertrauliche Gruppe der höchsten Ebene gefunden haben).

Darüber hinaus können Sie einen Benutzer, eine Gruppe oder einen Computer manuell als vertraulich kennzeichnen. Weitere Informationen finden Sie unter Markieren vertraulicher Konten.

Gewusst wie einen virtuellen Domänencontroller mithilfe von ATA überwachen?

Die meisten virtuellen Domänencontroller können vom ATA-Lightweight-Gateway abgedeckt werden. Informationen dazu, ob das ATA-Lightweight-Gateway für Ihre Umgebung geeignet ist, finden Sie unter ATA-Kapazitätsplanung.

Wenn ein virtueller Domänencontroller nicht vom ATA-Lightweight-Gateway abgedeckt werden kann, können Sie entweder über ein virtuelles oder physisches ATA-Gateway verfügen, wie unter Konfigurieren der Portspiegelung beschrieben.

Die einfachste Möglichkeit besteht darin, auf jedem Host, auf dem ein virtueller Domänencontroller vorhanden ist, ein virtuelles ATA-Gateway zu verwenden. Wenn Ihre virtuellen Domänencontroller zwischen Hosts verschoben werden, müssen Sie einen der folgenden Schritte ausführen:

  • Wenn der virtuelle Domänencontroller auf einen anderen Host verschoben wird, konfigurieren Sie das ATA-Gateway auf diesem Host vor, um den Datenverkehr vom kürzlich verschobenen virtuellen Domänencontroller zu empfangen.
  • Stellen Sie sicher, dass Sie das virtuelle ATA-Gateway mit dem virtuellen Domänencontroller verknüpft haben, damit das ATA-Gateway bei einer Verschiebung verschoben wird.
  • Es gibt einige virtuelle Switches, die Datenverkehr zwischen Hosts senden können.

Gewusst wie ATA sichern?

Weitere Informationen finden Sie unter ATA-Notfallwiederherstellung.

Was kann ATA erkennen?

ATA erkennt bekannte böswillige Angriffe und Techniken, Sicherheitsprobleme und Risiken. Eine vollständige Liste der ATA-Erkennungen finden Sie unter Welche Erkennungen führt ATA aus?.

Welche Art von Speicher benötige ich für ATA?

Wir empfehlen schnelle Speicherung (Datenträger mit 7200 U/min werden nicht empfohlen) mit zugriff auf Datenträger mit geringer Latenz (weniger als 10 ms). Die RAID-Konfiguration sollte hohe Schreiblasten unterstützen (RAID-5/6 und deren Ableitungen werden nicht empfohlen).

Wie viele NICs benötigt das ATA-Gateway?

Das ATA-Gateway benötigt mindestens zwei Netzwerkadapter:
1. Eine NIC zum Herstellen einer Verbindung mit dem internen Netzwerk und dem ATA Center
2. Eine NIC, die verwendet wird, um den Netzwerkdatenverkehr des Domänencontrollers über die Portspiegelung zu erfassen.
* Dies gilt nicht für das ATA-Lightweight-Gateway, das nativ alle Netzwerkadapter verwendet, die vom Domänencontroller verwendet werden.

Welche Art von Integration bietet ATA mit SIEMs?

ATA verfügt wie folgt über eine bidirektionale Integration mit SIEMs:

  1. ATA kann so konfiguriert werden, dass eine Syslog-Warnung an jeden SIEM-Server im CEF-Format gesendet wird, wenn eine verdächtige Aktivität erkannt wird.
  2. ATA kann für den Empfang von Syslog-Nachrichten für Windows-Ereignisse von diesen SIEMs konfiguriert werden.

Kann ATA Domänencontroller in Ihrer IaaS-Lösung virtualisiert überwachen?

Ja, Sie können das ATA-Lightweight-Gateway verwenden, um Domänencontroller zu überwachen, die sich in einer beliebigen IaaS-Lösung befinden.

Handelt es sich um ein lokales oder cloudinternes Angebot?

Microsoft Advanced Threat Analytics ist ein lokales Produkt.

Wird dies Teil von Microsoft Entra ID oder lokales Active Directory sein?

Diese Lösung ist derzeit ein eigenständiges Angebot– sie ist nicht Teil von Microsoft Entra ID oder lokales Active Directory.

Müssen Sie eigene Regeln schreiben und einen Schwellenwert bzw. eine Baseline erstellen?

Mit Microsoft Advanced Threat Analytics ist es nicht erforderlich, Regeln, Schwellenwerte oder Baselines zu erstellen und dann zu optimieren. ATA analysiert das Verhalten von Benutzern, Geräten und Ressourcen sowie deren Beziehung zueinander und kann verdächtige Aktivitäten und bekannte Angriffe schnell erkennen. Drei Wochen nach der Bereitstellung beginnt ATA mit der Erkennung verdächtiger Verhaltensaktivitäten. Andererseits beginnt ATA sofort nach der Bereitstellung mit der Erkennung bekannter böswilliger Angriffe und Sicherheitsprobleme.

Kann Microsoft Advanced Threat Analytics ein ungewöhnliches Verhalten erkennen, wenn Sie bereits einen Verstoß haben?

Ja, auch wenn ATA installiert ist, nachdem Sie verletzt wurden, kann ATA weiterhin verdächtige Aktivitäten des Hackers erkennen. ATA betrachtet nicht nur das Verhalten des Benutzers, sondern auch die anderen Benutzer in der organization Sicherheitszuordnung. Wenn das Verhalten des Angreifers während der ersten Analyse ungewöhnlich ist, wird es als "Ausreißer" identifiziert, und ATA berichtet weiterhin über das ungewöhnliche Verhalten. Darüber hinaus kann ATA die verdächtige Aktivität erkennen, wenn der Hacker versucht, anmeldeinformationen eines anderen Benutzers zu stehlen, z. B. Pass-the-Ticket, oder versucht, eine Remoteausführung auf einem der Domänencontroller durchzuführen.

Nutzt dies nur Datenverkehr aus Active Directory?

Zusätzlich zur Analyse des Active Directory-Datenverkehrs mithilfe der Deep Packet Inspection-Technologie kann ATA auch relevante Ereignisse aus Ihrer Sicherheitsinformations- und Ereignisverwaltung (SECURITY Information and Event Management, SIEM) erfassen und Entitätsprofile basierend auf Informationen aus Active Directory Domain Services erstellen. ATA kann auch Ereignisse aus den Ereignisprotokollen erfassen, wenn die organization die Windows-Ereignisprotokollweiterleitung konfiguriert.

Was ist Portspiegelung?

Die Portspiegelung wird auch als SPAN (Switched Port Analyzer) bezeichnet und ist eine Methode zum Überwachen des Netzwerkdatenverkehrs. Wenn die Portspiegelung aktiviert ist, sendet der Switch eine Kopie aller Netzwerkpakete an einem Port (oder einem gesamten VLAN) an einen anderen Port, wo das Paket analysiert werden kann.

Überwacht ATA nur in die Domäne eingebundene Geräte?

Nein ATA überwacht alle Geräte im Netzwerk, die Authentifizierungs- und Autorisierungsanforderungen für Active Directory ausführen, einschließlich nicht windowsbasierter und mobiler Geräte.

Überwacht ATA Sowohl Computerkonten als auch Benutzerkonten?

Ja. Da Computerkonten (sowie alle anderen Entitäten) für schädliche Aktivitäten verwendet werden können, überwacht ATA das Verhalten aller Computerkonten und aller anderen Entitäten in der Umgebung.

Kann ATA mehrere Domänen und mehrere Gesamtstrukturen unterstützen?

Microsoft Advanced Threat Analytics unterstützt Umgebungen mit mehreren Domänen innerhalb derselben Gesamtstrukturgrenze. Mehrere Gesamtstrukturen erfordern eine ATA-Bereitstellung für jede Gesamtstruktur.

Können Sie die allgemeine Integrität der Bereitstellung anzeigen?

Ja, Sie können die allgemeine Integrität der Bereitstellung sowie bestimmte Probleme im Zusammenhang mit Konfiguration, Konnektivität usw. anzeigen, und Sie werden benachrichtigt, sobald sie auftreten.