Область применения: Advanced Threat Analytics версии 1.9
В этой статье приводится список часто задаваемых вопросов об ATA, а также приводятся аналитические сведения и ответы.
Где можно получить лицензию на Расширенную аналитику угроз (ATA)?
Если у вас есть активный Соглашение Enterprise, вы можете скачать программное обеспечение из Центра корпоративного лицензирования Майкрософт (VLSC).
Если вы приобрели лицензию на Enterprise Mobility + Security (EMS) непосредственно через портал Microsoft 365 или модель лицензирования партнера по облачным решениям (CSP) и у вас нет доступа к ATA через Центр корпоративного лицензирования Майкрософт (VLSC), обратитесь в службу поддержки майкрософт, чтобы получить процесс активации Advanced Threat Analytics (ATA).
Что делать, если шлюз ATA не запускается?
Просмотрите самую последнюю ошибку в текущем журнале ошибок (где ATA устанавливается в папке Logs).
Как протестировать ATA?
Вы можете имитировать подозрительные действия, которые являются сквозным тестированием, выполнив одно из следующих действий:
- Разведывательная служба DNS с помощью Nslookup.exe
- Удаленное выполнение с помощью psexec.exe
Он должен выполняться удаленно на отслеживаемом контроллере домена, а не из шлюза ATA.
Какая сборка ATA соответствует каждой версии?
Сведения об обновлении версии см. в разделе Путь обновления ATA.
Какую версию следует использовать для обновления текущего развертывания ATA до последней версии?
Матрица обновления версии ATA см. в разделе Путь обновления ATA.
Как Центр ATA обновляет свои последние подписи?
Механизм обнаружения ATA улучшается при установке новой версии в Центре ATA. Центр можно обновить с помощью Центра обновления Майкрософт (MU) или вручную скачав новую версию из Центра загрузки или сайта корпоративной лицензии.
Разделы справки проверить переадресацию событий Windows?
Вы можете поместить следующий код в файл, а затем выполнить его из командной строки в каталоге: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin следующим образом:
mongo.exe имя файла ATA
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
Работает ли ATA с зашифрованным трафиком?
ATA использует анализ нескольких сетевых протоколов, а также событий, собранных из SIEM или через переадресацию событий Windows. Обнаружения на основе сетевых протоколов с зашифрованным трафиком (например, LDAPS и IPSEC) не будут анализироваться.
Работает ли ATA с kerberos Armoring?
AtA поддерживает включение защиты Kerberos, также известной как гибкое безопасное туннелирование проверки подлинности (FAST), за исключением превышения скорости обнаружения хэша, которое не будет работать.
Сколько шлюзов ATA мне нужно?
Количество шлюзов ATA зависит от структуры сети, объема пакетов и событий, захваченных ATA. Чтобы определить точное число, см. раздел Размер упрощенного шлюза ATA.
Какой объем хранилища требуется для ATA?
Для каждого полного дня в среднем 1000 пакетов в секунду требуется 0,3 ГБ хранилища. Дополнительные сведения о настройке размера центра ATA см. в статье Планирование емкости ATA.
Почему некоторые учетные записи считаются конфиденциальными?
Это происходит, когда учетная запись является членом определенных групп, которые мы назначаем как конфиденциальные (например, "Администраторы домена").
Чтобы понять, почему учетная запись является конфиденциальной, можно просмотреть ее членство в группе, чтобы понять, к каким конфиденциальным группам она принадлежит (группа, к которой она принадлежит, также может быть конфиденциальной из-за другой группы, поэтому тот же процесс следует выполнять до тех пор, пока вы не найдете группу с высоким уровнем конфиденциальности).
Кроме того, можно вручную пометить пользователя, группу или компьютер как конфиденциальный. Дополнительные сведения см. в разделе Теги конфиденциальных учетных записей.
Разделы справки отслеживать виртуальный контроллер домена с помощью ATA?
Большинство виртуальных контроллеров домена могут быть охвачены упрощенным шлюзом ATA. Чтобы определить, подходит ли упрощенный шлюз ATA для вашей среды, см. статью Планирование емкости ATA.
Если виртуальный контроллер домена не может быть охвачен упрощенным шлюзом ATA, вы можете использовать виртуальный или физический шлюз ATA, как описано в разделе Настройка зеркального отображения портов.
Самый простой способ — создать виртуальный шлюз ATA на каждом узле, где существует виртуальный контроллер домена. Если виртуальные контроллеры домена перемещаются между узлами, необходимо выполнить одно из следующих действий:
- При перемещении виртуального контроллера домена на другой узел предварительно настройте шлюз ATA на этом узле, чтобы получать трафик от недавно перемещенного виртуального контроллера домена.
- Убедитесь, что виртуальный шлюз ATA связан с виртуальным контроллером домена, чтобы при перемещении шлюз ATA перемещался вместе с ним.
- Существуют некоторые виртуальные коммутаторы, которые могут передавать трафик между узлами.
Разделы справки создать резервную копию ATA?
Что может обнаружить ATA?
ATA обнаруживает известные вредоносные атаки и методы, проблемы безопасности и риски. Полный список обнаружений ATA см. в разделе Какие функции обнаружения выполняет ATA?.
Какое хранилище требуется для ATA?
Рекомендуется использовать быстрое хранилище (диски размером 7200 об/мин не рекомендуется) с низкой задержкой доступа к диску (менее 10 мс). Конфигурация RAID должна поддерживать большие нагрузки на запись (RAID-5/6 и их производные не рекомендуется).
Сколько сетевых карт требуется шлюзу ATA?
Шлюзу ATA требуется как минимум два сетевых адаптера:
1. Сетевой адаптер для подключения к внутренней сети и Центру ATA
2. Сетевая карта, которая используется для захвата сетевого трафика контроллера домена через зеркальное отображение портов.
* Это не относится к упрощенной версии шлюза ATA, который изначально использует все сетевые адаптеры, которые использует контроллер домена.
Какой тип интеграции ATA с SIEMs?
ATA имеет двунаправленную интеграцию с SIEMs следующим образом:
- ATA можно настроить для отправки оповещения системного журнала на любой сервер SIEM в формате CEF при обнаружении подозрительного действия.
- ATA можно настроить для получения сообщений системного журнала для событий Windows из этих SIEM.
Может ли ATA отслеживать контроллеры домена, виртуализированные в решении IaaS?
Да, упрощенный шлюз ATA можно использовать для мониторинга контроллеров домена, которые находятся в любом решении IaaS.
Это локальное или облачное предложение?
Microsoft Advanced Threat Analytics — это локальный продукт.
Это будет частью Microsoft Entra ID или локальная служба Active Directory?
В настоящее время это решение является автономным предложением, которое не является частью Microsoft Entra ID или локальная служба Active Directory.
Вам нужно написать собственные правила и создать пороговое или базовое значение?
С помощью Microsoft Advanced Threat Analytics нет необходимости создавать правила, пороги или базовые показатели, а затем настраивать их. ATA анализирует поведение пользователей, устройств и ресурсов, а также их связь друг с другом и может быстро обнаруживать подозрительные действия и известные атаки. Через три недели после развертывания ATA начинает обнаруживать подозрительные действия в поведении. С другой стороны, ATA начнет обнаруживать известные вредоносные атаки и проблемы с безопасностью сразу после развертывания.
Если вы уже нарушены, может ли Microsoft Advanced Threat Analytics выявить аномальное поведение?
Да, даже если ATA устанавливается после того, как вы были взломаны, ATA все равно может обнаружить подозрительные действия хакера. ATA рассматривает не только поведение пользователя, но и других пользователей в карте безопасности организации. Во время первоначального анализа, если поведение злоумышленника является ненормальным, он определяется как "выброс", и ATA продолжает сообщать об аномальном поведении. Кроме того, ATA может обнаружить подозрительные действия, если хакер пытается украсть учетные данные других пользователей, например Pass-the-Ticket, или пытается выполнить удаленное выполнение на одном из контроллеров домена.
Использует ли это только трафик из Active Directory?
Помимо анализа трафика Active Directory с помощью технологии глубокой проверки пакетов, ATA также может собирать соответствующие события из управления информационной безопасностью и событиями безопасности (SIEM) и создавать профили сущностей на основе информации из доменные службы Active Directory. ATA также может собирать события из журналов событий, если организация настраивает пересылку журналов событий Windows.
Что такое зеркальное отображение портов?
Также известное как SPAN (коммутированные анализаторы портов), зеркальное отображение портов — это метод мониторинга сетевого трафика. Если включено зеркальное отображение портов, коммутатор отправляет копию всех сетевых пакетов, видимых на одном порту (или на всей виртуальной локальной сети), на другой порт, где можно проанализировать пакет.
Отслеживает ли ATA только присоединенные к домену устройства?
Нет. ATA отслеживает все устройства в сети, выполняющие запросы проверки подлинности и авторизации к Active Directory, включая устройства, отличные от Windows и мобильных устройств.
Отслеживает ли ATA учетные записи компьютеров, а также учетные записи пользователей?
Да. Так как учетные записи компьютеров (а также любые другие сущности) можно использовать для выполнения вредоносных действий, ATA отслеживает поведение всех учетных записей компьютеров и всех других сущностей в среде.
Может ли ATA поддерживать несколько доменов и нескольких лесов?
Microsoft Advanced Threat Analytics поддерживает многодоменные среды в пределах одной границы леса. Для нескольких лесов требуется развертывание ATA для каждого леса.
Можно ли просмотреть общую работоспособность развертывания?
Да, вы можете просмотреть общую работоспособность развертывания, а также конкретные проблемы, связанные с конфигурацией, подключением и т. д., и вы будете оповещены по мере их возникновения.