Si applica a: Advanced Threat Analytics versione 1.9
Questo articolo fornisce un elenco di domande frequenti su ATA e fornisce informazioni dettagliate e risposte.
Dove è possibile ottenere una licenza per Advanced Threat Analytics (ATA)?
Se si dispone di un Enterprise Agreement attivo, è possibile scaricare il software da Microsoft Volume Licensing Center (VLSC).
Se è stata acquistata una licenza per Enterprise Mobility + Security (EMS) direttamente tramite il portale di Microsoft 365 o tramite il modello di licenza Cloud Solution Partner (CSP) e non si ha accesso ad ATA tramite Il Centro contratti multilicenza Microsoft (VLSC), contattare il supporto tecnico Microsoft per ottenere il processo di attivazione di Advanced Threat Analytics (ATA).
Cosa è necessario fare se il gateway ATA non viene avviato?
Esaminare l'errore più recente nel log degli errori corrente (dove ATA è installato nella cartella "Logs").
Come è possibile testare ATA?
È possibile simulare attività sospette che costituiscono un test end-to-end eseguendo una delle operazioni seguenti:
- Ricognizione DNS tramite Nslookup.exe
- Esecuzione remota tramite psexec.exe
Questa operazione deve essere eseguita in remoto sul controller di dominio monitorato e non dal gateway ATA.
Quale build ATA corrisponde a ogni versione?
Per informazioni sull'aggiornamento della versione, vedere Percorso di aggiornamento di ATA.
Quale versione è consigliabile usare per aggiornare la distribuzione ATA corrente alla versione più recente?
Per la matrice di aggiornamento della versione di ATA, vedere Percorso di aggiornamento di ATA.
In che modo ATA Center aggiorna le firme più recenti?
Il meccanismo di rilevamento ATA viene migliorato quando viene installata una nuova versione in ATA Center. È possibile aggiornare il Centro usando Microsoft Update (MU) o scaricando manualmente la nuova versione dall'Area download o dal sito contratti multiplo.
Ricerca per categorie verificare l'inoltro degli eventi di Windows?
È possibile inserire il codice seguente in un file e quindi eseguirlo da un prompt dei comandi nella directory: \Programmi\Microsoft Advanced Threat Analytics\Center\MongoDB\bin come indicato di seguito:
mongo.exe nome file ATA
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
ATA funziona con il traffico crittografato?
ATA si basa sull'analisi di più protocolli di rete, nonché sugli eventi raccolti dal SIEM o tramite l'inoltro di eventi di Windows. I rilevamenti basati su protocolli di rete con traffico crittografato (ad esempio LDAPS e IPSEC) non verranno analizzati.
ATA funziona con la blindatura Kerberos?
L'abilitazione della blindatura Kerberos, nota anche come FAST (Flexible Authentication Secure Tunneling), è supportata da ATA, ad eccezione del superamento del rilevamento hash che non funzionerà.
Quanti gateway ATA sono necessari?
Il numero di gateway ATA dipende dal layout di rete, dal volume di pacchetti e dal volume di eventi acquisiti da ATA. Per determinare il numero esatto, vedere Ridimensionamento del gateway ATA Lightweight.
Quanta risorsa di archiviazione è necessaria per ATA?
Per ogni giorno intero con una media di 1000 pacchetti/sec sono necessari 0,3 GB di spazio di archiviazione. Per altre informazioni sul ridimensionamento di ATA Center, vedere Pianificazione della capacità di ATA.
Perché alcuni account sono considerati sensibili?
Ciò si verifica quando un account è membro di determinati gruppi che vengono designati come sensibili (ad esempio: "Domain Admins").
Per comprendere il motivo per cui un account è sensibile, è possibile esaminarne l'appartenenza al gruppo per comprendere a quali gruppi sensibili appartiene (il gruppo a cui appartiene può anche essere sensibile a causa di un altro gruppo, quindi lo stesso processo deve essere eseguito fino a individuare il gruppo sensibile di livello più alto).
Inoltre, è possibile contrassegnare manualmente un utente, un gruppo o un computer come sensibile. Per altre informazioni, vedere Contrassegna gli account sensibili.
Ricerca per categorie monitorare un controller di dominio virtuale usando ATA?
La maggior parte dei controller di dominio virtuali può essere coperta dal gateway ATA Lightweight, per determinare se il gateway ATA Lightweight è appropriato per l'ambiente, vedere Pianificazione della capacità ATA.
Se un controller di dominio virtuale non può essere coperto dal gateway ATA Lightweight, è possibile disporre di un gateway ATA virtuale o fisico, come descritto in Configurare il mirroring delle porte.
Il modo più semplice consiste nell'avere un gateway ATA virtuale in ogni host in cui esiste un controller di dominio virtuale. Se i controller di dominio virtuali si spostano tra gli host, è necessario eseguire una delle operazioni seguenti:
- Quando il controller di dominio virtuale si sposta in un altro host, preconfigurare il gateway ATA in tale host per ricevere il traffico dal controller di dominio virtuale spostato di recente.
- Assicurarsi di associare il gateway ATA virtuale al controller di dominio virtuale in modo che, se viene spostato, il gateway ATA si sposti con esso.
- Esistono alcuni commutatori virtuali che possono inviare traffico tra host.
Ricerca per categorie eseguire il backup di ATA?
Fare riferimento al ripristino di emergenza ATA
Cosa può rilevare ATA?
ATA rileva tecniche e attacchi dannosi noti, problemi di sicurezza e rischi. Per l'elenco completo dei rilevamenti ATA, vedere Quali rilevamenti vengono eseguiti da ATA?
Che tipo di spazio di archiviazione è necessario per ATA?
È consigliabile usare l'archiviazione veloce (non sono consigliati dischi da 7200 RPM) con accesso al disco a bassa latenza (meno di 10 ms). La configurazione RAID deve supportare carichi di scrittura pesanti (RAID-5/6 e i relativi derivati non sono consigliati).
Quante schede di interfaccia di rete sono necessarie per il gateway ATA?
Il gateway ATA richiede almeno due schede di rete:
1. Una scheda di interfaccia di rete per connettersi alla rete interna e al Centro ATA
2. Una scheda di interfaccia di rete usata per acquisire il traffico di rete del controller di dominio tramite il mirroring delle porte.
* Questo non si applica al gateway ATA Lightweight, che usa in modo nativo tutte le schede di rete usate dal controller di dominio.
Che tipo di integrazione ha ATA con i SIEM?
ATA ha un'integrazione bidirezionale con i SIEM come indicato di seguito:
- ATA può essere configurato per inviare un avviso Syslog a qualsiasi server SIEM usando il formato CEF, quando viene rilevata un'attività sospetta.
- ATA può essere configurato per ricevere messaggi Syslog per gli eventi di Windows da questi SIEM.
I controller di dominio di ATA possono essere virtualizzati nella soluzione IaaS?
Sì, è possibile usare il gateway ATA Lightweight per monitorare i controller di dominio presenti in qualsiasi soluzione IaaS.
Si tratta di un'offerta locale o in-cloud?
Microsoft Advanced Threat Analytics è un prodotto locale.
Farà parte di Microsoft Entra ID o Active Directory locale?
Questa soluzione è attualmente un'offerta autonoma, che non fa parte di Microsoft Entra ID o Active Directory locale.
È necessario scrivere regole personalizzate e creare una soglia/baseline?
Con Microsoft Advanced Threat Analytics non è necessario creare regole, soglie o baseline e quindi ottimizzare. ATA analizza i comportamenti tra utenti, dispositivi e risorse, nonché la relazione tra loro, e può rilevare rapidamente attività sospette e attacchi noti. Tre settimane dopo la distribuzione, ATA inizia a rilevare attività sospette comportamentali. D'altra parte, ATA inizierà a rilevare attacchi dannosi noti e problemi di sicurezza immediatamente dopo la distribuzione.
Se si è già violati, Microsoft Advanced Threat Analytics può identificare comportamenti anomali?
Sì, anche quando ATA viene installato dopo la violazione, ATA può ancora rilevare attività sospette dell'hacker. ATA non esamina solo il comportamento dell'utente, ma anche gli altri utenti nella mappa di sicurezza dell'organizzazione. Durante il tempo di analisi iniziale, se il comportamento dell'utente malintenzionato è anomalo, viene identificato come "outlier" e ATA continua a segnalare il comportamento anomalo. Inoltre, ATA può rilevare l'attività sospetta se l'hacker tenta di rubare altre credenziali degli utenti, ad esempio Pass-the-Ticket, o tenta di eseguire un'esecuzione remota in uno dei controller di dominio.
In questo modo si sfrutta solo il traffico proveniente da Active Directory?
Oltre ad analizzare il traffico di Active Directory usando la tecnologia di ispezione completa dei pacchetti, ATA può anche raccogliere gli eventi rilevanti da Security Information and Event Management (SIEM) e creare profili di entità in base alle informazioni provenienti da Active Directory Domain Services. ATA può anche raccogliere eventi dai log eventi se l'organizzazione configura l'inoltro del log eventi di Windows.
Che cos'è il mirroring delle porte?
Noto anche come SPAN (Switched Port Analyzer), il mirroring delle porte è un metodo di monitoraggio del traffico di rete. Con il mirroring delle porte abilitato, il commutatore invia una copia di tutti i pacchetti di rete visualizzati su una porta (o un'intera VLAN) a un'altra porta, in cui è possibile analizzare il pacchetto.
ATA monitora solo i dispositivi aggiunti a un dominio?
No. ATA monitora tutti i dispositivi nella rete che eseguono richieste di autenticazione e autorizzazione in Active Directory, inclusi i dispositivi non Windows e mobili.
ATA monitora gli account computer e gli account utente?
Sì. Poiché gli account computer (così come qualsiasi altra entità) possono essere usati per eseguire attività dannose, ATA monitora tutti i comportamenti degli account computer e tutte le altre entità nell'ambiente.
ATA può supportare più domini e più foreste?
Microsoft Advanced Threat Analytics supporta ambienti multidominio all'interno dello stesso limite di foresta. Più foreste richiedono una distribuzione ATA per ogni foresta.
È possibile visualizzare l'integrità complessiva della distribuzione?
Sì, è possibile visualizzare l'integrità complessiva della distribuzione, nonché problemi specifici relativi alla configurazione, alla connettività e così via e ricevere un avviso man mano che si verificano.