Aplica-se a: Advanced Threat Analytics versão 1.9
Este artigo fornece uma lista de perguntas mais frequentes sobre o ATA e fornece informações e respostas.
Onde posso obter uma licença do Advanced Threat Analytics (ATA)?
Se tiver um Enterprise Agreement ativo, pode transferir o software a partir do Centro de Licenciamento em Volume da Microsoft (VLSC).
Se adquiriu uma licença do Enterprise Mobility + Security (EMS) diretamente através do portal do Microsoft 365 ou através do modelo de licenciamento do Parceiro de Solução Cloud (CSP) e não tiver acesso ao ATA através do Centro de Licenciamento em Volume da Microsoft (VLSC), contacte o Suporte ao Cliente da Microsoft para obter o processo para ativar o Advanced Threat Analytics (ATA).
O que devo fazer se o ATA Gateway não iniciar?
Veja o erro mais recente no registo de erros atual (onde o ATA está instalado na pasta "Registos").
Como posso testar o ATA?
Pode simular atividades suspeitas que são um teste ponto a ponto ao efetuar um dos seguintes procedimentos:
- Reconhecimento de DNS com Nslookup.exe
- Execução remota com psexec.exe
Esta ação tem de ser executada remotamente no controlador de domínio que está a ser monitorizado e não no ATA Gateway.
Que compilação do ATA corresponde a cada versão?
Para obter informações sobre a atualização da versão, veja Caminho de atualização do ATA.
Que versão devo utilizar para atualizar a minha implementação atual do ATA para a versão mais recente?
Para a matriz de atualização da versão do ATA, veja Caminho de atualização do ATA.
Como é que o ATA Center atualiza as assinaturas mais recentes?
O mecanismo de deteção do ATA é melhorado quando é instalada uma nova versão no ATA Center. Pode atualizar o Centro através do Microsoft Update (MU) ou ao transferir manualmente a nova versão a partir do Centro de Transferências ou do Site de Licenciamento em Volume.
Como fazer verificar o Reencaminhamento de Eventos do Windows?
Pode colocar o seguinte código num ficheiro e, em seguida, executá-lo a partir de uma linha de comandos no diretório: \Programas\Microsoft Advanced Threat Analytics\Center\MongoDB\bin da seguinte forma:
mongo.exe nome de ficheiro do ATA
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
O ATA funciona com tráfego encriptado?
O ATA depende da análise de vários protocolos de rede, bem como de eventos recolhidos a partir do SIEM ou através do Reencaminhamento de Eventos do Windows. As deteções baseadas em protocolos de rede com tráfego encriptado (por exemplo, LDAPS e IPSEC) não serão analisadas.
O ATA funciona com o Kerberos Armoring?
A ativação do Kerberos Armoring, também conhecido como Túnel Seguro de Autenticação Flexível (FAST), é suportada pelo ATA, com exceção da deteção de hash excedida que não funcionará.
De quantos ATA Gateways preciso?
O número de ATA Gateways depende do esquema de rede, do volume de pacotes e do volume de eventos capturados pelo ATA. Para determinar o número exato, veja Dimensionamento do ATA Lightweight Gateway.
De que quantidade de armazenamento preciso para o ATA?
Para cada dia inteiro, com uma média de 1000 pacotes/seg, precisa de 0,3 GB de armazenamento. Para obter mais informações sobre o dimensionamento do ATA Center, veja Planeamento da Capacidade do ATA.
Porque é que determinadas contas são consideradas sensíveis?
Isto acontece quando uma conta é membro de determinados grupos que designamos como confidenciais (por exemplo: "Administradores de Domínio").
Para compreender por que motivo uma conta é sensível, pode rever a associação ao grupo para compreender a que grupos confidenciais pertence (o grupo a que pertence também pode ser sensível devido a outro grupo, pelo que o mesmo processo deve ser realizado até localizar o grupo confidencial de nível mais elevado).
Além disso, pode etiquetar manualmente um utilizador, grupo ou computador como confidencial. Para obter mais informações, veja Marcar contas confidenciais.
Como fazer monitorizar um controlador de domínio virtual com o ATA?
A maioria dos controladores de domínio virtual pode ser abrangida pelo ATA Lightweight Gateway. Para determinar se o ATA Lightweight Gateway é adequado para o seu ambiente, veja Planeamento da Capacidade do ATA.
Se um controlador de domínio virtual não puder ser abrangido pelo ATA Lightweight Gateway, pode ter um ATA Gateway virtual ou físico, conforme descrito em Configurar espelhamento de porta.
A forma mais fácil é ter um ATA Gateway virtual em todos os anfitriões onde existe um controlador de domínio virtual. Se os controladores de domínio virtual se moverem entre anfitriões, terá de executar um dos seguintes passos:
- Quando o controlador de domínio virtual se move para outro anfitrião, configure previamente o ATA Gateway nesse anfitrião para receber o tráfego do controlador de domínio virtual recentemente movido.
- Certifique-se de que associa o ATA Gateway virtual ao controlador de domínio virtual para que, se for movido, o ATA Gateway seja movido com o mesmo.
- Existem alguns comutadores virtuais que podem enviar tráfego entre anfitriões.
Como fazer criar uma cópia de segurança do ATA?
O que o ATA pode detetar?
O ATA deteta técnicas e ataques maliciosos conhecidos, problemas de segurança e riscos. Para obter a lista completa de deteções do ATA, veja Que deteções é que o ATA executa?.
De que tipo de armazenamento preciso para o ATA?
Recomendamos armazenamento rápido (7200 discos RPM não são recomendados) com acesso ao disco de baixa latência (menos de 10 ms). A configuração RAID deve suportar cargas de escrita pesadas (RAID-5/6 e respetivos derivados não são recomendados).
Quantos NICs é necessário para o ATA Gateway?
O ATA Gateway precisa de um mínimo de dois adaptadores de rede:
1. Uma NIC para ligar à rede interna e ao ATA Center
2. Uma NIC que é utilizada para capturar o tráfego de rede do controlador de domínio através do espelhamento de porta.
* Isto não se aplica ao ATA Lightweight Gateway, que utiliza nativamente todas as placas de rede que o controlador de domínio utiliza.
Que tipo de integração tem o ATA com os SIEMs?
O ATA tem uma integração bidirecional com SIEMs da seguinte forma:
- O ATA pode ser configurado para enviar um alerta do Syslog para qualquer servidor SIEM com o formato CEF, quando é detetada uma atividade suspeita.
- O ATA pode ser configurado para receber mensagens do Syslog para eventos do Windows a partir destes SIEMs.
O ATA pode monitorizar controladores de domínio virtualizados na sua solução IaaS?
Sim, pode utilizar o ATA Lightweight Gateway para monitorizar controladores de domínio que estejam em qualquer solução IaaS.
Trata-se de uma oferta no local ou na cloud?
O Microsoft Advanced Threat Analytics é um produto no local.
Isto vai fazer parte de Microsoft Entra ID ou Active Directory local?
Esta solução é atualmente uma oferta autónoma— não faz parte de Microsoft Entra ID ou Active Directory local.
Tem de escrever as suas próprias regras e criar um limiar/linha de base?
Com o Microsoft Advanced Threat Analytics, não é necessário criar regras, limiares ou linhas de base e, em seguida, ajustar. O ATA analisa os comportamentos entre utilizadores, dispositivos e recursos, bem como a relação entre si, e consegue detetar rapidamente atividades suspeitas e ataques conhecidos. Três semanas após a implementação, o ATA começa a detetar atividades suspeitas comportamentais. Por outro lado, o ATA começará a detetar ataques maliciosos conhecidos e problemas de segurança imediatamente após a implementação.
Se já tiver sido violado, o Microsoft Advanced Threat Analytics pode identificar comportamentos anormais?
Sim, mesmo quando o ATA é instalado depois de ter sido violado, o ATA ainda consegue detetar atividades suspeitas do hacker. O ATA não está apenas a olhar para o comportamento do utilizador, mas também para os outros utilizadores no mapa de segurança da organização. Durante o tempo de análise inicial, se o comportamento do atacante for anormal, será identificado como um "valor atípico" e o ATA continua a comunicar o comportamento anormal. Além disso, o ATA pode detetar a atividade suspeita se o hacker tentar roubar as credenciais de outro utilizador, como Pass-the-Ticket ou tentar executar uma execução remota num dos controladores de domínio.
Isto só tira partido do tráfego do Active Directory?
Além de analisar o tráfego do Active Directory com a tecnologia de inspeção de pacotes avançada, o ATA também pode recolher eventos relevantes da Gestão de Informações e Eventos de Segurança (SIEM) e criar perfis de entidade com base em informações de Active Directory Domain Services. O ATA também pode recolher eventos dos registos de eventos se a organização configurar o reencaminhamento do Registo de Eventos do Windows.
O que é o espelhamento de porta?
Também conhecido como SPAN (Switched Port Analyzer), o espelhamento de porta é um método de monitorização do tráfego de rede. Com o espelhamento de porta ativado, o comutador envia uma cópia de todos os pacotes de rede vistos numa porta (ou numa VLAN inteira) para outra porta, onde o pacote pode ser analisado.
O ATA monitoriza apenas dispositivos associados a um domínio?
Não. O ATA monitoriza todos os dispositivos na rede que efetuam pedidos de autenticação e autorização no Active Directory, incluindo dispositivos móveis e não Windows.
O ATA monitoriza contas de computador e contas de utilizador?
Sim. Uma vez que as contas de computador (bem como outras entidades) podem ser utilizadas para realizar atividades maliciosas, o ATA monitoriza o comportamento de todas as contas de computador e todas as outras entidades no ambiente.
O ATA pode suportar vários domínios e várias florestas?
O Microsoft Advanced Threat Analytics suporta ambientes de vários domínios dentro do mesmo limite de floresta. Várias florestas requerem uma implementação do ATA para cada floresta.
Consegue ver o estado de funcionamento geral da implementação?
Sim, pode ver o estado de funcionamento geral da implementação, bem como problemas específicos relacionados com a configuração, conectividade, etc., e é alertado à medida que ocorrem.