Edytuj

Udostępnij za pośrednictwem

Często zadawane pytania dotyczące usługi ATA

  • Często zadawane pytania

Dotyczy: Advanced Threat Analytics w wersji 1.9

Ten artykuł zawiera listę często zadawanych pytań dotyczących usługi ATA i zawiera szczegółowe informacje i odpowiedzi.

Gdzie mogę uzyskać licencję na usługę Advanced Threat Analytics (ATA)?

Jeśli masz aktywną Enterprise Agreement, możesz pobrać oprogramowanie z Centrum licencjonowania zbiorowego firmy Microsoft (VLSC).

W przypadku uzyskania licencji na Enterprise Mobility + Security (EMS) bezpośrednio za pośrednictwem portalu platformy Microsoft 365 lub za pośrednictwem modelu licencjonowania cloud solution partner (CSP) i nie masz dostępu do usługi ATA za pośrednictwem Centrum licencjonowania zbiorowego firmy Microsoft (VLSC), skontaktuj się z pomocą techniczną firmy Microsoft, aby uzyskać proces aktywowania usługi Advanced Threat Analytics (ATA).

Co należy zrobić, jeśli brama usługi ATA nie zostanie uruchomiona?

Przyjrzyj się ostatniemu błędowi w bieżącym dzienniku błędów (gdzie usługa ATA jest zainstalowana w folderze "Dzienniki").

Jak mogę przetestować usługę ATA?

Możesz symulować podejrzane działania, które są kompleksowym testem, wykonując jedną z następujących czynności:

  1. Rekonesans DNS przy użyciu Nslookup.exe
  2. Zdalne wykonywanie przy użyciu psexec.exe

Musi to być uruchamiane zdalnie względem monitorowanego kontrolera domeny, a nie z bramy usługi ATA.

Która kompilacja usługi ATA odpowiada każdej wersji?

Aby uzyskać informacje o uaktualnieniu wersji, zobacz Ścieżka uaktualniania usługi ATA.

Jakiej wersji należy użyć do uaktualnienia bieżącego wdrożenia usługi ATA do najnowszej wersji?

Aby zapoznać się z macierzą uaktualniania wersji usługi ATA, zobacz Ścieżka uaktualniania usługi ATA.

Jak centrum usługi ATA aktualizuje swoje najnowsze podpisy?

Mechanizm wykrywania usługi ATA jest rozszerzany po zainstalowaniu nowej wersji w centrum usługi ATA. Centrum można uaktualnić przy użyciu usługi Microsoft Update (MU) lub ręcznie pobierając nową wersję z Centrum pobierania lub witryny licencji zbiorczej.

Jak mogę zweryfikować przekazywanie zdarzeń systemu Windows?

Poniższy kod można umieścić w pliku, a następnie wykonać go w wierszu polecenia w katalogu: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin w następujący sposób:

mongo.exe nazwa pliku usługi ATA

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

Czy usługa ATA działa z ruchem szyfrowanym?

Usługa ATA opiera się na analizie wielu protokołów sieciowych, a także zdarzeń zebranych z rozwiązania SIEM lub za pośrednictwem przekazywania zdarzeń systemu Windows. Wykrycia oparte na protokołach sieciowych z zaszyfrowanym ruchem (na przykład LDAPS i IPSEC) nie będą analizowane.

Czy usługa ATA współpracuje z ochroną protokołu Kerberos?

Włączanie ochrony protokołu Kerberos, znanej również jako bezpieczne tunelowanie uwierzytelniania elastycznego (FAST), jest obsługiwane przez usługę ATA, z wyjątkiem nadmiernego przekazywania wykrywania skrótów, które nie będzie działać.

Ile bram usługi ATA jest potrzebnych?

Liczba bram usługi ATA zależy od układu sieci, liczby pakietów i liczby zdarzeń przechwyconych przez usługę ATA. Aby określić dokładną liczbę, zobacz Ustalanie rozmiaru uproszczonej bramy usługi ATA.

Ile miejsca do magazynowania jest potrzebne dla usługi ATA?

Na każdy pełny dzień ze średnią 1000 pakietów na sekundę potrzebujesz 0,3 GB miejsca do magazynowania. Aby uzyskać więcej informacji na temat ustalania rozmiaru centrum usługi ATA, zobacz Planowanie pojemności usługi ATA.

Dlaczego niektóre konta są uważane za poufne?

Dzieje się tak, gdy konto jest członkiem niektórych grup, które określamy jako wrażliwe (na przykład"Administratorzy domeny").

Aby zrozumieć, dlaczego konto jest wrażliwe, możesz przejrzeć jego członkostwo w grupach, aby zrozumieć, do których poufnych grup należy (grupa, do której należy, może być również wrażliwa z powodu innej grupy, dlatego ten sam proces powinien być wykonywany do momentu zlokalizowania grupy wrażliwej najwyższego poziomu).

Ponadto można ręcznie oznaczyć użytkownika, grupę lub komputer jako poufny. Aby uzyskać więcej informacji, zobacz Tagowanie poufnych kont.

Jak mogę monitorować wirtualny kontroler domeny przy użyciu usługi ATA?

Większość wirtualnych kontrolerów domeny może być objęta uproszczoną bramą usługi ATA, aby określić, czy uproszczona brama usługi ATA jest odpowiednia dla danego środowiska, zobacz Planowanie pojemności usługi ATA.

Jeśli wirtualny kontroler domeny nie może być objęty uproszczoną bramą usługi ATA, możesz mieć wirtualną lub fizyczną bramę usługi ATA zgodnie z opisem w temacie Konfigurowanie dublowania portów.

Najprostszym sposobem jest posiadanie wirtualnej bramy usługi ATA na każdym hoście, na którym istnieje wirtualny kontroler domeny. Jeśli wirtualne kontrolery domeny są przenoszone między hostami, należy wykonać jedną z następujących czynności:

  • Gdy wirtualny kontroler domeny zostanie przeniesiony do innego hosta, wstępnie skonfiguruj bramę usługi ATA na tym hoście, aby odbierała ruch z niedawno przeniesionego wirtualnego kontrolera domeny.
  • Upewnij się, że wirtualna brama usługi ATA jest powiązana z wirtualnym kontrolerem domeny, aby po przeniesieniu brama usługi ATA została przeniesiona wraz z nią.
  • Istnieją pewne przełączniki wirtualne, które mogą wysyłać ruch między hostami.

Jak mogę utworzyć kopię zapasową usługi ATA?

Zapoznaj się z tematem Odzyskiwanie po awarii usługi ATA

Co może wykryć usługa ATA?

Usługa ATA wykrywa znane złośliwe ataki i techniki, problemy z zabezpieczeniami i zagrożenia. Aby uzyskać pełną listę wykrywania usługi ATA, zobacz Jakie wykrycia wykonuje usługa ATA?.

Jakiego rodzaju magazynu potrzebuję dla usługi ATA?

Zalecamy szybkie przechowywanie (dyski 7200-RPM nie są zalecane) z małymi opóźnieniami dostępu do dysku (mniej niż 10 ms). Konfiguracja RAID powinna obsługiwać duże obciążenia zapisu (RAID-5/6 i ich pochodne nie są zalecane).

Ile kart sieciowych wymaga brama usługi ATA?

Brama usługi ATA wymaga co najmniej dwóch kart sieciowych:
1. Karta sieciowa umożliwiająca połączenie z siecią wewnętrzną i centrum usługi ATA
2. Karta sieciowa używana do przechwytywania ruchu sieciowego kontrolera domeny za pośrednictwem dublowania portów.
* Nie dotyczy to uproszczonej bramy usługi ATA, która natywnie używa wszystkich kart sieciowych używanych przez kontroler domeny.

Jakiego rodzaju integrację usługa ATA ma z programami SIEM?

Usługa ATA ma dwukierunkową integrację z programami SIEM w następujący sposób:

  1. Usługę ATA można skonfigurować do wysyłania alertu dziennika systemowego do dowolnego serwera SIEM przy użyciu formatu CEF po wykryciu podejrzanego działania.
  2. Usługę ATA można skonfigurować do odbierania komunikatów dziennika systemu Windows dla zdarzeń systemu Windows z tych modułów SIEM.

Czy usługa ATA może monitorować kontrolery domeny zwirtualizowane w rozwiązaniu IaaS?

Tak, możesz użyć uproszczonej bramy usługi ATA do monitorowania kontrolerów domeny znajdujących się w dowolnym rozwiązaniu IaaS.

Czy jest to oferta lokalna, czy w chmurze?

Microsoft Advanced Threat Analytics to produkt lokalny.

Czy będzie to część Tożsamość Microsoft Entra czy lokalna usługa Active Directory?

To rozwiązanie jest obecnie ofertą autonomiczną — nie jest częścią Tożsamość Microsoft Entra ani lokalna usługa Active Directory.

Czy musisz napisać własne reguły i utworzyć próg/punkt odniesienia?

W usłudze Microsoft Advanced Threat Analytics nie ma potrzeby tworzenia reguł, progów ani punktów odniesienia, a następnie dostosowywania. Usługa ATA analizuje zachowania użytkowników, urządzeń i zasobów — a także ich relacje ze sobą — i może szybko wykrywać podejrzane działania i znane ataki. Trzy tygodnie po wdrożeniu usługa ATA rozpoczyna wykrywanie podejrzanych działań behawioralnych. Z drugiej strony usługa ATA rozpocznie wykrywanie znanych złośliwych ataków i problemów z zabezpieczeniami natychmiast po wdrożeniu.

Czy w przypadku naruszenia zabezpieczeń usługa Microsoft Advanced Threat Analytics może zidentyfikować nietypowe zachowanie?

Tak, nawet jeśli usługa ATA jest zainstalowana po naruszeniu zabezpieczeń, usługa ATA nadal może wykrywać podejrzane działania hakera. Usługa ATA nie tylko przygląda się zachowaniu użytkownika, ale także innym użytkownikom na mapie zabezpieczeń organizacji. W początkowym czasie analizy, jeśli zachowanie osoby atakującej jest nietypowe, jest ono identyfikowane jako "odstające", a usługa ATA stale zgłasza nietypowe zachowanie. Ponadto usługa ATA może wykryć podejrzane działanie, jeśli haker podejmie próbę kradzieży poświadczeń innych użytkowników, takich jak Pass-the-Ticket, lub spróbuje wykonać zdalne wykonanie na jednym z kontrolerów domeny.

Czy korzysta to tylko z ruchu z usługi Active Directory?

Oprócz analizowania ruchu usługi Active Directory przy użyciu technologii głębokiej inspekcji pakietów usługa ATA może również zbierać odpowiednie zdarzenia z usługi Security Information and Event Management (SIEM) i tworzyć profile jednostek na podstawie informacji z Active Directory Domain Services. Usługa ATA może również zbierać zdarzenia z dzienników zdarzeń, jeśli organizacja skonfiguruje przekazywanie dziennika zdarzeń systemu Windows.

Co to jest dublowanie portów?

Dublowanie portów jest również nazywane SPAN (Switched Port Analyzer) metodą monitorowania ruchu sieciowego. Po włączeniu dublowania portów przełącznik wysyła kopię wszystkich pakietów sieciowych widocznych na jednym porcie (lub całej sieci VLAN) do innego portu, gdzie można przeanalizować pakiet.

Czy usługa ATA monitoruje tylko urządzenia przyłączone do domeny?

L.p. Usługa ATA monitoruje wszystkie urządzenia w sieci wykonujące żądania uwierzytelniania i autoryzacji względem usługi Active Directory, w tym urządzeń innych niż Windows i urządzeń przenośnych.

Czy usługa ATA monitoruje konta komputerów, a także konta użytkowników?

Tak. Ponieważ konta komputerów (a także inne jednostki) mogą być używane do wykonywania złośliwych działań, usługa ATA monitoruje zachowanie wszystkich kont komputerów i wszystkich innych jednostek w środowisku.

Czy usługa ATA może obsługiwać wiele domen i wiele lasów?

Usługa Microsoft Advanced Threat Analytics obsługuje środowiska z wieloma domenami w ramach tej samej granicy lasu. Wiele lasów wymaga wdrożenia usługi ATA dla każdego lasu.

Czy widzisz ogólną kondycję wdrożenia?

Tak, możesz wyświetlić ogólną kondycję wdrożenia, a także konkretne problemy związane z konfiguracją, łącznością itp., a w miarę ich występowania są wyświetlane alerty.

Zobacz też