Questions fréquentes (FAQ) sur ATA

Si vous avez un Accord Entreprise actif, vous pouvez télécharger le logiciel à partir du Centre de licences en volume Microsoft (VLSC).

Si vous avez acquis une licence pour Enterprise Mobility + Security (EMS) directement via le portail Microsoft 365 ou via le modèle de licence Cloud Solution Partner (CSP) et que vous n’avez pas accès à ATA via le Centre de licences en volume Microsoft (VLSC), contactez le support technique Microsoft pour obtenir le processus d’activation d’Advanced Threat Analytics (ATA).

Examinez l’erreur la plus récente dans le journal des erreurs actuel (où ATA est installé sous le dossier « Journaux »).

Vous pouvez simuler des activités suspectes qui sont un test de bout en bout en effectuant l’une des opérations suivantes :

1. Reconnaissance DNS à l’aide de Nslookup.exe
2. Exécution à distance à l’aide de psexec.exe

Cela doit s’exécuter à distance sur le contrôleur de domaine surveillé et non à partir de la passerelle ATA.

Pour plus d’informations sur la mise à niveau de version, consultez Chemin de mise à niveau ATA.

Pour connaître la matrice de mise à niveau de version ATA, consultez Chemin de mise à niveau ATA.

Le mécanisme de détection ATA est amélioré lorsqu’une nouvelle version est installée sur le centre ATA. Vous pouvez mettre à niveau le Centre à l’aide de Microsoft Update (MU) ou en téléchargeant manuellement la nouvelle version à partir du Centre de téléchargement ou du Site de licence en volume.

Vous pouvez placer le code suivant dans un fichier, puis l’exécuter à partir d’une invite de commandes dans le répertoire : \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin comme suit :

mongo.exe nom de fichier ATA

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA s’appuie sur l’analyse de plusieurs protocoles réseau, ainsi que des événements collectés à partir de SIEM ou via le transfert d’événements Windows. Les détections basées sur les protocoles réseau avec un trafic chiffré (par exemple, LDAPS et IPSEC) ne seront pas analysées.

L’activation du blindage Kerberos, également appelée FAST (Flexible Authentication Secure Tunneling), est prise en charge par ATA, à l’exception du dépassement de la détection de hachage qui ne fonctionnera pas.

Le nombre de passerelles ATA dépend de votre disposition réseau, du volume de paquets et du volume d’événements capturés par ATA. Pour déterminer le nombre exact, consultez Dimensionnement de passerelle légère ATA.

Pour chaque journée complète avec une moyenne de 1 000 paquets/s, vous avez besoin de 0,3 Go de stockage. Pour plus d’informations sur le dimensionnement du centre ATA, consultez Planification de la capacité ATA.

Cela se produit lorsqu’un compte est membre de certains groupes que nous définissons comme sensibles (par exemple : « Administrateurs de domaine »).

Pour comprendre pourquoi un compte est sensible, vous pouvez passer en revue son appartenance au groupe afin de comprendre à quels groupes sensibles il appartient (le groupe auquel il appartient peut également être sensible en raison d’un autre groupe, donc le même processus doit être effectué jusqu’à ce que vous localisiez le groupe sensible de niveau le plus élevé).

En outre, vous pouvez étiqueter manuellement un utilisateur, un groupe ou un ordinateur comme sensible. Pour plus d’informations, consultez Étiqueter des comptes sensibles.

La plupart des contrôleurs de domaine virtuels peuvent être couverts par la passerelle légère ATA. Pour déterminer si la passerelle légère ATA est appropriée pour votre environnement, consultez Planification de la capacité ATA.

Si un contrôleur de domaine virtuel ne peut pas être couvert par la passerelle légère ATA, vous pouvez disposer d’une passerelle ATA virtuelle ou physique, comme décrit dans Configurer la mise en miroir de ports.

Le moyen le plus simple consiste à disposer d’une passerelle ATA virtuelle sur chaque hôte où existe un contrôleur de domaine virtuel. Si vos contrôleurs de domaine virtuels se déplacent entre des hôtes, vous devez effectuer l’une des étapes suivantes :

• Lorsque le contrôleur de domaine virtuel se déplace vers un autre hôte, préconfigurez la passerelle ATA dans cet hôte pour recevoir le trafic du contrôleur de domaine virtuel récemment déplacé.
• Veillez à associer la passerelle ATA virtuelle au contrôleur de domaine virtuel afin que si elle est déplacée, la passerelle ATA se déplace avec elle.
• Certains commutateurs virtuels peuvent envoyer du trafic entre les hôtes.

Reportez-vous à récupération d’urgence ATA

ATA détecte les attaques et techniques malveillantes connues, les problèmes de sécurité et les risques. Pour obtenir la liste complète des détections ATA, consultez Quelles sont les détections effectuées par ATA ?.

Nous recommandons un stockage rapide (les disques de 7200 tr/min ne sont pas recommandés) avec un accès disque à faible latence (moins de 10 ms). La configuration RAID doit prendre en charge des charges d’écriture lourdes (RAID-5/6 et leurs dérivés ne sont pas recommandés).

La passerelle ATA a besoin d’un minimum de deux cartes réseau :
1. Une carte réseau pour se connecter au réseau interne et au centre ATA
2. Carte réseau utilisée pour capturer le trafic réseau du contrôleur de domaine via la mise en miroir de ports.
* Cela ne s’applique pas à la passerelle légère ATA, qui utilise en mode natif toutes les cartes réseau que le contrôleur de domaine utilise.

ATA dispose d’une intégration bidirectionnelle avec les cartes SIM comme suit :

1. ATA peut être configuré pour envoyer une alerte Syslog à n’importe quel serveur SIEM au format CEF, lorsqu’une activité suspecte est détectée.
2. ATA peut être configuré pour recevoir des messages Syslog pour les événements Windows à partir de ces cartes SIM.

Oui, vous pouvez utiliser la passerelle légère ATA pour surveiller les contrôleurs de domaine qui se trouvent dans n’importe quelle solution IaaS.

Microsoft Advanced Threat Analytics est un produit local.

Cette solution est actuellement une offre autonome : elle ne fait pas partie de Microsoft Entra ID ou Active Directory local.

Avec Microsoft Advanced Threat Analytics, il n’est pas nécessaire de créer des règles, des seuils ou des lignes de base, puis d’affiner. ATA analyse les comportements des utilisateurs, des appareils et des ressources, ainsi que leur relation les uns avec les autres, et peut détecter rapidement les activités suspectes et les attaques connues. Trois semaines après le déploiement, ATA commence à détecter les activités suspectes comportementales. D’autre part, ATA commencera à détecter les attaques malveillantes connues et les problèmes de sécurité immédiatement après le déploiement.

Oui, même quand ATA est installé après que vous avez été violé, ATA peut toujours détecter les activités suspectes du pirate informatique. ATA examine non seulement le comportement de l’utilisateur, mais également les autres utilisateurs dans la carte de sécurité organization. Pendant l’analyse initiale, si le comportement de l’attaquant est anormal, il est identifié comme une « valeur aberrante » et ATA continue de signaler le comportement anormal. En outre, ATA peut détecter l’activité suspecte si le pirate tente de voler les informations d’identification d’un autre utilisateur, comme Pass-the-Ticket, ou tente d’effectuer une exécution à distance sur l’un des contrôleurs de domaine.

En plus d’analyser le trafic Active Directory à l’aide de la technologie d’inspection approfondie des paquets, ATA peut également collecter des événements pertinents à partir de votre siem (Security Information and Event Management) et créer des profils d’entité basés sur les informations de services de domaine Active Directory. ATA peut également collecter des événements à partir des journaux des événements si le organization configure le transfert du journal des événements Windows.

Également appelée SPAN (Switched Port Analyzer), la mise en miroir de ports est une méthode de surveillance du trafic réseau. Une fois la mise en miroir de ports activée, le commutateur envoie une copie de tous les paquets réseau visibles sur un port (ou sur un réseau local virtuel entier) vers un autre port, où le paquet peut être analysé.

Non. ATA surveille tous les appareils du réseau effectuant des demandes d’authentification et d’autorisation sur Active Directory, y compris les appareils non Windows et mobiles.

Oui. Étant donné que les comptes d’ordinateur (ainsi que toutes les autres entités) peuvent être utilisés pour effectuer des activités malveillantes, ATA surveille le comportement de tous les comptes d’ordinateur et toutes les autres entités de l’environnement.

Microsoft Advanced Threat Analytics prend en charge les environnements multi-domaines dans la même limite de forêt. Plusieurs forêts nécessitent un déploiement ATA pour chaque forêt.

Oui, vous pouvez afficher l’intégrité globale du déploiement ainsi que les problèmes spécifiques liés à la configuration, à la connectivité, etc., et vous êtes alerté dès qu’ils se produisent.

Voir aussi

• Prérequis ATA
• Planification de la capacité ATA
• Configurer la collecte d’événements
• Configuration du transfert d’événements Windows
• Consultez le forum ATA !