편집

다음을 통해 공유

ATA 질문과 대답

  • FAQ

적용 대상: Advanced Threat Analytics 버전 1.9

이 문서에서는 ATA에 대한 질문과 대답 목록을 제공하고 인사이트와 답변을 제공합니다.

ATA(Advanced Threat Analytics)에 대한 라이선스는 어디서 얻을 수 있나요?

활성 기업계약 있는 경우 Microsoft VLSC(볼륨 라이선싱 센터)에서 소프트웨어를 다운로드할 수 있습니다.

Microsoft 365 포털 또는 CSP(클라우드 솔루션 파트너) 라이선스 모델을 통해 직접 EMS(Enterprise Mobility + Security 라이선스)를 획득했으며 Microsoft VLSC(볼륨 라이선싱 센터)를 통해 ATA에 액세스할 수 없는 경우 Microsoft 고객 지원에 문의하여 ATA(Advanced Threat Analytics)를 활성화하는 프로세스를 가져옵니다.

ATA 게이트웨이가 시작되지 않으면 어떻게 해야 하나요?

현재 오류 로그에서 가장 최근 오류를 확인합니다(ATA가 "로그" 폴더 아래에 설치된 위치).

ATA를 테스트하는 방법

다음 중 하나를 수행하여 종단 간 테스트인 의심스러운 활동을 시뮬레이션할 수 있습니다.

  1. Nslookup.exe 사용하여 DNS 정찰
  2. psexec.exe 사용하여 원격 실행

ATA 게이트웨이가 아닌 모니터링되는 도메인 컨트롤러에 대해 원격으로 실행해야 합니다.

각 버전에 해당하는 ATA 빌드는 무엇입니까?

버전 업그레이드 정보는 ATA 업그레이드 경로를 참조하세요.

현재 ATA 배포를 최신 버전으로 업그레이드하는 데 사용해야 하는 버전은 무엇인가요?

ATA 버전 업그레이드 매트릭스는 ATA 업그레이드 경로를 참조하세요.

ATA 센터는 최신 서명을 어떻게 업데이트하나요?

ATA 센터에 새 버전이 설치되면 ATA 검색 메커니즘이 향상됩니다. MU(Microsoft 업데이트)를 사용하거나 다운로드 센터 또는 볼륨 라이선스 사이트에서 새 버전을 수동으로 다운로드하여 센터를 업그레이드할 수 있습니다.

Windows 이벤트 전달을 확인할 어떻게 할까요? 있나요?

다음 코드를 파일에 배치한 다음 디렉터리의 명령 프롬프트에서 실행할 수 있습니다. \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin :

ATA 파일 이름 mongo.exe

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA는 암호화된 트래픽에서 작동하나요?

ATA는 SIEM 또는 Windows 이벤트 전달을 통해 수집된 이벤트뿐만 아니라 여러 네트워크 프로토콜을 분석하는 데 의존합니다. 암호화된 트래픽(예: LDAPS 및 IPSEC)이 있는 네트워크 프로토콜을 기반으로 하는 검색은 분석되지 않습니다.

ATA는 Kerberos 아머링과 작동하나요?

FAST(유연한 인증 보안 터널링)라고도 하는 Kerberos 아머링을 사용하도록 설정하는 것은 ATA에서 지원되며, 해시 검색을 초과 전달하면 작동하지 않습니다.

필요한 ATA 게이트웨이는 몇 개입니까?

ATA 게이트웨이의 수는 네트워크 레이아웃, 패킷 볼륨 및 ATA에서 캡처한 이벤트 볼륨에 따라 달라집니다. 정확한 수를 확인하려면 ATA 경량 게이트웨이 크기 조정을 참조하세요.

ATA에 필요한 스토리지의 양

하루 종일 평균 1,000 패킷/초마다 0.3GB의 스토리지가 필요합니다. ATA 센터 크기 조정에 대한 자세한 내용은 ATA 용량 계획을 참조하세요.

특정 계정이 중요한 것으로 간주되는 이유는 무엇인가요?

이는 계정이 중요한 것으로 지정하는 특정 그룹의 구성원일 때 발생합니다(예: "도메인 관리자").

계정이 중요한 이유를 이해하려면 그룹 멤버 자격을 검토하여 해당 그룹이 속한 중요한 그룹(속한 그룹이 다른 그룹으로 인해 민감할 수도 있으므로 가장 높은 수준의 중요한 그룹을 찾을 때까지 동일한 프로세스를 수행해야 함)을 이해할 수 있습니다.

또한 사용자, 그룹 또는 컴퓨터에 중요한 태그를 수동으로 지정할 수 있습니다. 자세한 내용은 중요한 계정 태그를 참조하세요.

ATA를 사용하여 가상 도메인 컨트롤러를 모니터링할 어떻게 할까요? 있나요?

대부분의 가상 도메인 컨트롤러는 ATA 경량 게이트웨이에서 처리하여 ATA 경량 게이트웨이가 사용자 환경에 적합한지 여부를 확인할 수 있습니다. ATA 용량 계획을 참조하세요.

가상 도메인 컨트롤러를 ATA 경량 게이트웨이에서 처리할 수 없는 경우 포트 미러링 구성에 설명된 대로 가상 또는 물리적 ATA 게이트웨이를 사용할 수 있습니다.

가장 쉬운 방법은 가상 도메인 컨트롤러가 있는 모든 호스트에 가상 ATA 게이트웨이를 두는 것입니다. 가상 도메인 컨트롤러가 호스트 간에 이동하는 경우 다음 단계 중 하나를 수행해야 합니다.

  • 가상 도메인 컨트롤러가 다른 호스트로 이동하면 해당 호스트의 ATA 게이트웨이를 미리 구성하여 최근에 이동한 가상 도메인 컨트롤러에서 트래픽을 수신합니다.
  • 가상 ATA 게이트웨이를 가상 도메인 컨트롤러와 연결하여 이동하면 ATA 게이트웨이가 가상 도메인 컨트롤러와 함께 이동되도록 해야 합니다.
  • 호스트 간에 트래픽을 보낼 수 있는 몇 가지 가상 스위치가 있습니다.

ATA를 백업할 어떻게 할까요? 있나요?

ATA 재해 복구를 참조하세요.

ATA는 무엇을 감지할 수 있나요?

ATA는 알려진 악의적인 공격 및 기술, 보안 문제 및 위험을 검색합니다. ATA 검색의 전체 목록은 ATA가 수행하는 검색을 참조하세요.

ATA에 필요한 스토리지 종류는 무엇인가요?

대기 시간이 짧은 디스크 액세스(10ms 미만)를 사용하는 빠른 스토리지(7200-RPM 디스크는 권장되지 않음)를 권장합니다. RAID 구성은 많은 쓰기 로드를 지원해야 합니다(RAID-5/6 및 파생 항목은 권장되지 않음).

ATA 게이트웨이에 필요한 NIC는 몇 개입니까?

ATA 게이트웨이에는 최소 두 개의 네트워크 어댑터가 필요합니다.
1. 내부 네트워크 및 ATA 센터에 연결하는 NIC
2. 포트 미러링을 통해 도메인 컨트롤러 네트워크 트래픽을 캡처하는 데 사용되는 NIC입니다.
* 도메인 컨트롤러에서 사용하는 모든 네트워크 어댑터를 기본적으로 사용하는 ATA 경량 게이트웨이에는 적용되지 않습니다.

ATA는 어떤 종류의 SIEM과 통합하나요?

ATA는 다음과 같이 SIEM과 양방향 통합이 있습니다.

  1. 의심스러운 활동이 감지되면 CEF 형식을 사용하여 모든 SIEM 서버에 Syslog 경고를 보내도록 ATA를 구성할 수 있습니다.
  2. 이러한 SIEM에서 Windows 이벤트에 대한 Syslog 메시지를 받도록 ATA를 구성할 수 있습니다.

ATA가 IaaS 솔루션에서 가상화된 도메인 컨트롤러를 모니터링할 수 있나요?

예, ATA 경량 게이트웨이를 사용하여 모든 IaaS 솔루션에 있는 도메인 컨트롤러를 모니터링할 수 있습니다.

온-프레미스 또는 클라우드 내 제품인가요?

Microsoft Advanced Threat Analytics는 온-프레미스 제품입니다.

이것이 Microsoft Entra ID 또는 온-프레미스 Active Directory 일부가 될 것인가?

이 솔루션은 현재 독립 실행형 제품이며 Microsoft Entra ID 또는 온-프레미스 Active Directory 일부가 아닙니다.

고유한 규칙을 작성하고 임계값/기준을 만들어야 합니까?

Microsoft Advanced Threat Analytics를 사용하면 규칙, 임계값 또는 기준을 만든 다음 미세 조정할 필요가 없습니다. ATA는 사용자, 디바이스 및 리소스 간의 동작과 서로의 관계를 분석하고 의심스러운 활동 및 알려진 공격을 빠르게 검색할 수 있습니다. 배포 후 3주 후에 ATA는 동작 의심스러운 활동을 검색하기 시작합니다. 반면 ATA는 배포 직후 알려진 악의적인 공격 및 보안 문제를 검색하기 시작합니다.

이미 위반된 경우 Microsoft Advanced Threat Analytics에서 비정상적인 동작을 식별할 수 있나요?

예, 위반된 후에도 ATA가 설치된 경우에도 ATA는 여전히 해커의 의심스러운 활동을 검색할 수 있습니다. ATA는 사용자의 동작뿐만 아니라 organization 보안 맵의 다른 사용자에 대해서도 보고 있습니다. 초기 분석 시간 동안 공격자의 동작이 비정상적인 경우 "이상값"으로 식별되고 ATA는 비정상적인 동작에 대해 계속 보고합니다. 또한 ATA는 해커가 Pass-the-Ticket과 같은 다른 사용자 자격 증명을 도용하려고 시도하거나 도메인 컨트롤러 중 하나에서 원격 실행을 수행하려는 경우 의심스러운 활동을 검색할 수 있습니다.

Active Directory의 트래픽만 활용하나요?

심층 패킷 검사 기술을 사용하여 Active Directory 트래픽을 분석하는 것 외에도 ATA는 SIEM(보안 정보 및 이벤트 관리)에서 관련 이벤트를 수집하고 Active Directory Domain Services 정보를 기반으로 엔터티 프로필을 만들 수도 있습니다. ATA는 organization Windows 이벤트 로그 전달을 구성하는 경우 이벤트 로그에서 이벤트를 수집할 수도 있습니다.

포트 미러링이란?

SPAN(스위치 포트 분석기)라고도 하는 포트 미러링은 네트워크 트래픽을 모니터링하는 방법입니다. 포트 미러링을 사용하도록 설정하면 스위치는 한 포트(또는 전체 VLAN)에 표시된 모든 네트워크 패킷의 복사본을 다른 포트로 보내 패킷을 분석할 수 있습니다.

ATA는 도메인에 가입된 디바이스만 모니터링하나요?

아니요. ATA는 비 Windows 및 모바일 디바이스를 포함하여 Active Directory에 대한 인증 및 권한 부여 요청을 수행하는 네트워크의 모든 디바이스를 모니터링합니다.

ATA는 컴퓨터 계정과 사용자 계정을 모니터링하나요?

예. 컴퓨터 계정(및 다른 엔터티)을 사용하여 악의적인 활동을 수행할 수 있으므로 ATA는 모든 컴퓨터 계정 동작 및 환경의 다른 모든 엔터티를 모니터링합니다.

ATA에서 다중 도메인 및 다중 포리스트를 지원할 수 있나요?

Microsoft Advanced Threat Analytics는 동일한 포리스트 경계 내의 다중 도메인 환경을 지원합니다. 여러 포리스트에는 각 포리스트에 대한 ATA 배포가 필요합니다.

배포의 전반적인 상태를 볼 수 있나요?

예, 배포의 전반적인 상태뿐만 아니라 구성, 연결 등과 관련된 특정 문제를 볼 수 있으며 발생 시 경고를 받을 수 있습니다.

참고 항목