Van toepassing op: Advanced Threat Analytics versie 1.9
Dit artikel bevat een lijst met veelgestelde vragen over ATA en biedt inzicht en antwoorden.
Waar kan ik een licentie voor Advanced Threat Analytics (ATA) krijgen?
Als u een actieve Enterprise Agreement hebt, kunt u de software downloaden via het Microsoft Volume Licensing Center (VLSC).
Als u rechtstreeks via de Microsoft 365-portal of via het CSP-licentiemodel (Cloud Solution Partner) een licentie voor Enterprise Mobility + Security (EMS) hebt verkregen en u geen toegang hebt tot ATA via het Microsoft Volume Licensing Center (VLSC), neemt u contact op met de klantondersteuning van Microsoft om het proces voor het activeren van Advanced Threat Analytics (ATA) te verkrijgen.
Wat moet ik doen als de ATA Gateway niet wordt gestart?
Bekijk de meest recente fout in het huidige foutenlogboek (waar ATA is geïnstalleerd onder de map Logboeken).
Hoe kan ik ATA testen?
U kunt verdachte activiteiten simuleren. Dit is een end-to-end-test door een van de volgende handelingen uit te voeren:
- DNS-reconnaissance met behulp van Nslookup.exe
- Externe uitvoering met behulp van psexec.exe
Dit moet extern worden uitgevoerd op de domeincontroller die wordt bewaakt en niet vanaf de ATA-gateway.
Welke ATA-build komt overeen met elke versie?
Zie ATA-upgradepad voor informatie over versie-upgrades.
Welke versie moet ik gebruiken om mijn huidige ATA-implementatie bij te werken naar de nieuwste versie?
Hoe werkt ata Center de meest recente handtekeningen bij?
Het ATA-detectiemechanisme wordt verbeterd wanneer er een nieuwe versie op het ATA Center wordt geïnstalleerd. U kunt het Center upgraden met behulp van Microsoft Update (MU) of door de nieuwe versie handmatig te downloaden via het Downloadcentrum of de volumelicentiesite.
Hoe kan ik Windows Event Forwarding controleren?
U kunt de volgende code in een bestand plaatsen en deze vervolgens als volgt uitvoeren vanaf een opdrachtprompt in de map: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin :
mongo.exe ATA-bestandsnaam
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
Werkt ATA met versleuteld verkeer?
ATA is afhankelijk van het analyseren van meerdere netwerkprotocollen, evenals gebeurtenissen die zijn verzameld vanuit de SIEM of via Windows Event Forwarding. Detecties op basis van netwerkprotocollen met versleuteld verkeer (bijvoorbeeld LDAPS en IPSEC) worden niet geanalyseerd.
Werkt ATA met Kerberos Armoring?
Het inschakelen van Kerberos Armoring, ook wel bekend als Flexible Authentication Secure Tunneling (FAST), wordt ondersteund door ATA, met uitzondering van over-pass-hashdetectie die niet werkt.
Hoeveel ATA-gateways heb ik nodig?
Het aantal ATA-gateways is afhankelijk van uw netwerkindeling, het volume van pakketten en het aantal gebeurtenissen dat door ATA is vastgelegd. Zie GROOTTE VAN ATA Lightweight-gateway om het exacte aantal te bepalen.
Hoeveel opslagruimte heb ik nodig voor ATA?
Voor elke volledige dag met een gemiddelde van 1000 pakketten per seconde hebt u 0,3 GB aan opslagruimte nodig. Zie ATA-capaciteitsplanning voor meer informatie over de grootte van ATA Center.
Waarom worden bepaalde accounts beschouwd als gevoelig?
Dit gebeurt wanneer een account lid is van bepaalde groepen die we als gevoelig aanwijzen (bijvoorbeeld: 'Domeinbeheerders').
Als u wilt weten waarom een account gevoelig is, kunt u het groepslidmaatschap bekijken om te begrijpen tot welke gevoelige groepen het behoort (de groep waartoe het behoort, kan ook gevoelig zijn vanwege een andere groep, dus hetzelfde proces moet worden uitgevoerd totdat u de gevoelige groep op het hoogste niveau hebt gevonden).
Daarnaast kunt u een gebruiker, groep of computer handmatig taggen als gevoelig. Zie Gevoelige accounts taggen voor meer informatie.
Hoe kan ik een virtuele domeincontroller bewaken met behulp van ATA?
De meeste virtuele domeincontrollers kunnen worden gedekt door de ATA Lightweight-gateway. Zie ATA-capaciteitsplanning om te bepalen of de ATA Lightweight-gateway geschikt is voor uw omgeving.
Als een virtuele domeincontroller niet kan worden gedekt door de ATA Lightweight-gateway, kunt u een virtuele of fysieke ATA-gateway hebben, zoals beschreven in Poortspiegeling configureren.
De eenvoudigste manier is om een virtuele ATA-gateway te hebben op elke host waar een virtuele domeincontroller bestaat. Als uw virtuele domeincontrollers tussen hosts schakelen, moet u een van de volgende stappen uitvoeren:
- Wanneer de virtuele domeincontroller naar een andere host wordt verplaatst, configureert u de ATA-gateway in die host vooraf om het verkeer van de onlangs verplaatste virtuele domeincontroller te ontvangen.
- Zorg ervoor dat u de virtuele ATA-gateway aan de virtuele domeincontroller hebt gekoppeld, zodat als deze wordt verplaatst, de ATA-gateway meegaat.
- Er zijn enkele virtuele switches die verkeer tussen hosts kunnen verzenden.
Hoe kan ik een back-up maken van ATA?
Raadpleeg ATA-herstel na noodgeval
Wat kan ATA detecteren?
ATA detecteert bekende schadelijke aanvallen en technieken, beveiligingsproblemen en risico's. Zie Welke detecties voert ATA uit? voor de volledige lijst met ATA-detecties.
Wat voor soort opslag heb ik nodig voor ATA?
We raden snelle opslag aan (schijven van 7200 RPM worden niet aanbevolen) met schijftoegang met lage latentie (minder dan 10 ms). De RAID-configuratie moet zware schrijfbelastingen ondersteunen (RAID-5/6 en hun afgeleide producten worden niet aanbevolen).
Hoeveel NIC's heeft de ATA-gateway nodig?
De ATA-gateway heeft minimaal twee netwerkadapters nodig:
1. Een NIC om verbinding te maken met het interne netwerk en het ATA Center
2. Een NIC die wordt gebruikt om het netwerkverkeer van de domeincontroller vast te leggen via poortspiegeling.
* Dit geldt niet voor de ATA Lightweight Gateway, die systeemeigen gebruikmaakt van alle netwerkadapters die de domeincontroller gebruikt.
Wat voor soort integratie heeft ATA met SIEM's?
ATA heeft een bidirectionele integratie met SIEM's als volgt:
- ATA kan worden geconfigureerd om een Syslog-waarschuwing te verzenden naar elke SIEM-server met behulp van de CEF-indeling, wanneer een verdachte activiteit wordt gedetecteerd.
- ATA kan worden geconfigureerd voor het ontvangen van Syslog-berichten voor Windows-gebeurtenissen van deze SIEM's.
Kan ATA domeincontrollers bewaken die zijn gevirtualiseerd in uw IaaS-oplossing?
Ja, u kunt de ATA Lightweight-gateway gebruiken om domeincontrollers te bewaken die zich in een IaaS-oplossing bevinden.
Is dit een on-premises of in-cloud-aanbieding?
Microsoft Advanced Threat Analytics is een on-premises product.
Maakt dit deel uit van Microsoft Entra ID of on-premises Active Directory?
Deze oplossing is momenteel een zelfstandige oplossing, maar maakt geen deel uit van Microsoft Entra ID of on-premises Active Directory.
Moet u uw eigen regels schrijven en een drempelwaarde/basislijn maken?
Met Microsoft Advanced Threat Analytics hoeft u geen regels, drempelwaarden of basislijnen te maken en vervolgens af te stemmen. ATA analyseert het gedrag van gebruikers, apparaten en resources, evenals hun relatie met elkaar, en kan verdachte activiteiten en bekende aanvallen snel detecteren. Drie weken na de implementatie begint ATA met het detecteren van verdachte gedragsactiviteiten. Aan de andere kant begint ATA onmiddellijk na de implementatie met het detecteren van bekende schadelijke aanvallen en beveiligingsproblemen.
Als u al bent geschonden, kan Microsoft Advanced Threat Analytics abnormaal gedrag identificeren?
Ja, zelfs wanneer ATA is geïnstalleerd nadat u bent geschonden, kan ATA nog steeds verdachte activiteiten van de hacker detecteren. ATA kijkt niet alleen naar het gedrag van de gebruiker, maar ook naar de andere gebruikers in het beveiligingsoverzicht van de organisatie. Als het gedrag van de aanvaller tijdens de eerste analyse abnormaal is, wordt het geïdentificeerd als een 'uitbijter' en blijft ATA rapporteren over het abnormale gedrag. Daarnaast kan ATA de verdachte activiteit detecteren als de hacker probeert referenties van andere gebruikers te stelen, zoals Pass-the-Ticket, of een externe uitvoering probeert uit te voeren op een van de domeincontrollers.
Maakt dit alleen gebruik van verkeer van Active Directory?
Naast het analyseren van Active Directory-verkeer met behulp van deep packet inspection-technologie, kan ATA ook relevante gebeurtenissen van uw SIEM (Security Information and Event Management) verzamelen en entiteitsprofielen maken op basis van informatie van Active Directory Domain Services. ATA kan ook gebeurtenissen uit de gebeurtenislogboeken verzamelen als de organisatie het doorsturen van Windows-gebeurtenislogboeken configureert.
Wat is poortspiegeling?
Poortspiegeling, ook wel bekend als SPAN (Switched Port Analyzer), is een methode voor het bewaken van netwerkverkeer. Als poortspiegeling is ingeschakeld, verzendt de switch een kopie van alle netwerkpakketten die op één poort (of een volledig VLAN) worden gezien, naar een andere poort, waar het pakket kan worden geanalyseerd.
Bewaakt ATA alleen apparaten die lid zijn van een domein?
Nee. ATA bewaakt alle apparaten in het netwerk die verificatie- en autorisatieaanvragen uitvoeren voor Active Directory, inclusief niet-Windows- en mobiele apparaten.
Bewaakt ATA computeraccounts en gebruikersaccounts?
Ja. Omdat computeraccounts (evenals andere entiteiten) kunnen worden gebruikt om schadelijke activiteiten uit te voeren, bewaakt ATA het gedrag van alle computeraccounts en alle andere entiteiten in de omgeving.
Kan ATA ondersteuning bieden voor meerdere domeinen en meerdere forests?
Microsoft Advanced Threat Analytics ondersteunt omgevingen met meerdere domeinen binnen dezelfde forestgrens. Voor meerdere forests is een ATA-implementatie vereist voor elk forest.
Ziet u de algehele status van de implementatie?
Ja, u kunt de algehele status van de implementatie bekijken, evenals specifieke problemen met betrekking tot configuratie, connectiviteit, enzovoort, en u krijgt een waarschuwing wanneer deze zich voordoen.