Se aplica a: Advanced Threat Analytics versión 1.9
En este artículo se proporciona una lista de las preguntas más frecuentes sobre ATA y se proporcionan información y respuestas.
¿Dónde puedo obtener una licencia para Advanced Threat Analytics (ATA)?
Si tiene una Enterprise Agreement activa, puede descargar el software desde el Centro de licencias por volumen (VLSC) de Microsoft.
Si adquirió una licencia para Enterprise Mobility + Security (EMS) directamente a través del portal de Microsoft 365 o a través del modelo de licencias de Cloud Solution Partner (CSP) y no tiene acceso a ATA a través del Centro de licencias por volumen (VLSC) de Microsoft, póngase en contacto con el servicio de atención al cliente de Microsoft para obtener el proceso para activar Advanced Threat Analytics (ATA).
¿Qué debo hacer si la puerta de enlace de ATA no se inicia?
Examine el error más reciente en el registro de errores actual (donde ATA está instalado en la carpeta "Registros").
¿Cómo puedo probar ATA?
Puede simular actividades sospechosas que son una prueba de un extremo a otro realizando una de las siguientes acciones:
- Reconocimiento de DNS mediante Nslookup.exe
- Ejecución remota mediante psexec.exe
Esto debe ejecutarse de forma remota en el controlador de dominio que se está supervisando y no desde la puerta de enlace de ATA.
¿Qué compilación de ATA corresponde a cada versión?
Para obtener información sobre la actualización de la versión, vea Ruta de actualización de ATA.
¿Qué versión debo usar para actualizar mi implementación de ATA actual a la versión más reciente?
Para ver la matriz de actualización de la versión de ATA, consulte Ruta de actualización de ATA.
¿Cómo actualiza el Centro ATA sus firmas más recientes?
El mecanismo de detección de ATA se mejora cuando se instala una nueva versión en el Centro ATA. Puede actualizar el Centro mediante Microsoft Update (MU) o descargando manualmente la nueva versión desde el Centro de descarga o el Sitio de licencias por volumen.
Cómo comprobar el reenvío de eventos de Windows?
Puede colocar el código siguiente en un archivo y, a continuación, ejecutarlo desde un símbolo del sistema en el directorio: \Archivos de programa\Microsoft Advanced Threat Analytics\Center\MongoDB\bin como se indica a continuación:
mongo.exe nombre de archivo de ATA
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
¿Funciona ATA con tráfico cifrado?
ATA se basa en el análisis de varios protocolos de red, así como en los eventos recopilados desde SIEM o a través del reenvío de eventos de Windows. Las detecciones basadas en protocolos de red con tráfico cifrado (por ejemplo, LDAPS e IPSEC) no se analizarán.
¿Funciona ATA con la protección de Kerberos?
ATA admite la habilitación de la protección de Kerberos, también conocida como Tunelización segura de autenticación flexible (FAST), con la excepción de pasar por encima de la detección de hash que no funcionará.
¿Cuántas puertas de enlace de ATA necesito?
El número de puertas de enlace de ATA depende del diseño de red, el volumen de paquetes y el volumen de eventos capturados por ATA. Para determinar el número exacto, consulte Ajuste del tamaño de la puerta de enlace ligera de ATA.
¿Cuánto almacenamiento necesito para ATA?
Por cada día completo con un promedio de 1000 paquetes por segundo, necesita 0,3 GB de almacenamiento. Para obtener más información sobre el tamaño del centro ATA, consulte Planeamiento de capacidad de ATA.
¿Por qué ciertas cuentas se consideran confidenciales?
Esto sucede cuando una cuenta es miembro de determinados grupos que se designan como confidenciales (por ejemplo, "Administradores de dominio").
Para comprender por qué una cuenta es confidencial, puede revisar su pertenencia a grupos para comprender a qué grupos confidenciales pertenece (el grupo al que pertenece también puede ser confidencial debido a otro grupo, por lo que se debe realizar el mismo proceso hasta que se encuentre el grupo confidencial de nivel más alto).
Además, puede etiquetar manualmente un usuario, grupo o equipo como confidencial. Para obtener más información, vea Etiquetar cuentas confidenciales.
Cómo supervisar un controlador de dominio virtual mediante ATA?
La mayoría de los controladores de dominio virtuales se pueden cubrir mediante la puerta de enlace ligera de ATA, para determinar si la puerta de enlace ligera de ATA es adecuada para su entorno, consulte Planeamiento de la capacidad de ATA.
Si una puerta de enlace ligera de ATA no puede cubrir un controlador de dominio virtual, puede tener una puerta de enlace de ATA virtual o física como se describe en Configuración de la creación de reflejo de puertos.
La manera más fácil es tener una puerta de enlace de ATA virtual en cada host donde exista un controlador de dominio virtual. Si los controladores de dominio virtual se mueven entre hosts, debe realizar uno de los pasos siguientes:
- Cuando el controlador de dominio virtual se mueva a otro host, preconfigure la puerta de enlace de ATA en ese host para recibir el tráfico del controlador de dominio virtual recién movido.
- Asegúrese de afiliar la puerta de enlace de ATA virtual con el controlador de dominio virtual para que, si se mueve, la puerta de enlace de ATA se mueva con él.
- Hay algunos conmutadores virtuales que pueden enviar tráfico entre hosts.
Cómo copia de seguridad de ATA?
Consulte Recuperación ante desastres de ATA.
¿Qué puede detectar ATA?
ATA detecta ataques malintencionados conocidos y técnicas, problemas de seguridad y riesgos. Para obtener la lista completa de detecciones de ATA, consulte ¿Qué detecciones realiza ATA?.
¿Qué tipo de almacenamiento necesito para ATA?
Se recomienda un almacenamiento rápido (no se recomiendan discos de 7200 RPM) con acceso al disco de baja latencia (menos de 10 ms). La configuración RAID debe admitir cargas de escritura pesadas (RAID-5/6 y no se recomiendan sus derivados).
¿Cuántas NIC necesita la puerta de enlace de ATA?
La puerta de enlace de ATA necesita un mínimo de dos adaptadores de red:
1. Una NIC para conectarse a la red interna y al Centro ATA
2. Nic que se usa para capturar el tráfico de red del controlador de dominio a través de la creación de reflejo del puerto.
* Esto no se aplica a la puerta de enlace ligera de ATA, que usa de forma nativa todos los adaptadores de red que usa el controlador de dominio.
¿Qué tipo de integración tiene ATA con SIEMs?
ATA tiene una integración bidireccional con SIEMs como se indica a continuación:
- ATA se puede configurar para enviar una alerta de Syslog a cualquier servidor SIEM con el formato CEF cuando se detecta una actividad sospechosa.
- ATA se puede configurar para recibir mensajes de Syslog para eventos de Windows desde estos SIEMs.
¿Puede ATA supervisar los controladores de dominio virtualizados en la solución IaaS?
Sí, puede usar la puerta de enlace ligera de ATA para supervisar los controladores de dominio que se encuentran en cualquier solución de IaaS.
¿Se trata de una oferta local o en la nube?
Microsoft Advanced Threat Analytics es un producto local.
¿Será parte de Microsoft Entra ID o Active Directory local?
Esta solución es actualmente una oferta independiente, no forma parte de Microsoft Entra ID ni de Active Directory local.
¿Tiene que escribir sus propias reglas y crear un umbral o línea base?
Con Microsoft Advanced Threat Analytics, no es necesario crear reglas, umbrales o líneas base y, a continuación, ajustar. ATA analiza los comportamientos entre usuarios, dispositivos y recursos, así como su relación entre sí, y puede detectar rápidamente actividades sospechosas y ataques conocidos. Tres semanas después de la implementación, ATA comienza a detectar actividades sospechosas de comportamiento. Por otro lado, ATA comenzará a detectar ataques malintencionados conocidos y problemas de seguridad inmediatamente después de la implementación.
Si ya ha infringido, ¿puede Microsoft Advanced Threat Analytics identificar un comportamiento anómalo?
Sí, incluso cuando se instala ATA después de que se haya infringido, ATA todavía puede detectar actividades sospechosas del hacker. ATA no solo examina el comportamiento del usuario, sino también a los demás usuarios del mapa de seguridad de la organización. Durante el tiempo de análisis inicial, si el comportamiento del atacante es anómalo, se identifica como un "valor atípico" y ATA sigue informando sobre el comportamiento anómalo. Además, ATA puede detectar la actividad sospechosa si el hacker intenta robar credenciales de otros usuarios, como Pass-the-Ticket, o intenta realizar una ejecución remota en uno de los controladores de dominio.
¿Esto solo aprovecha el tráfico de Active Directory?
Además de analizar el tráfico de Active Directory mediante una tecnología de inspección de paquetes profunda, ATA también puede recopilar eventos pertinentes de la administración de eventos e información de seguridad (SIEM) y crear perfiles de entidad basados en la información de Servicios de dominio de Active Directory. ATA también puede recopilar eventos de los registros de eventos si la organización configura el reenvío del registro de eventos de Windows.
¿Qué es la creación de reflejo de puertos?
También conocido como SPAN (Switched Port Analyzer), la creación de reflejo de puertos es un método de supervisión del tráfico de red. Con la creación de reflejo del puerto habilitada, el switch envía una copia de todos los paquetes de red vistos en un puerto (o una VLAN completa) a otro puerto, donde se puede analizar el paquete.
¿Supervisa ATA solo los dispositivos unidos a un dominio?
No. ATA supervisa todos los dispositivos de la red que realizan solicitudes de autenticación y autorización en Active Directory, incluidos los dispositivos móviles y que no son de Windows.
¿Supervisa ATA las cuentas de equipo, así como las cuentas de usuario?
Sí. Dado que las cuentas de equipo (así como cualquier otra entidad) se pueden usar para realizar actividades malintencionadas, ATA supervisa el comportamiento de todas las cuentas de equipo y todas las demás entidades del entorno.
¿Puede ATA admitir varios dominios y bosques?
Microsoft Advanced Threat Analytics admite entornos de varios dominios dentro del mismo límite de bosque. Varios bosques requieren una implementación de ATA para cada bosque.
¿Puede ver el estado general de la implementación?
Sí, puede ver el estado general de la implementación, así como problemas específicos relacionados con la configuración, la conectividad, etc., y se le avisará a medida que se produzcan.