ATA 常见问题解答

如果你有活动企业协议，可以从 Microsoft 批量许可中心下载软件， (VLSC) 。

如果直接通过 Microsoft 365 门户或云解决方案合作伙伴 (CSP) 许可模型获取了 企业移动性 + 安全性 (EMS) 许可证，并且无法通过 Microsoft 批量许可中心 (VLSC) 访问 ATA，请联系 Microsoft 客户支持以获取激活高级威胁分析 (ATA) 的过程。

查看当前错误日志中的最新错误， (ATA 安装在“日志”文件夹) 下的位置。

可以通过执行以下操作之一来模拟可疑活动，这是端到端测试：

1. 使用 Nslookup.exe 进行 DNS 侦查
2. 使用 psexec.exe 远程执行

这需要针对要监视的域控制器远程运行，而不是从 ATA 网关运行。

有关版本升级的信息，请参阅 ATA 升级路径。

有关 ATA 版本升级矩阵，请参阅 ATA 升级路径。

ATA 检测机制在 ATA 中心上安装新版本时会增强。 可以通过使用 Microsoft Update (MU) 或手动从下载中心或批量许可证站点下载新版本来升级中心。

可以将以下代码放入文件中，然后从目录中的命令提示符执行： \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin ，如下所示：

mongo.exe ATA 文件名

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA 依赖于分析多个网络协议，以及从 SIEM 或通过 Windows 事件转发收集的事件。 不会分析基于具有加密流量的网络协议的检测 (例如 LDAPS 和 IPSEC) 。

ATA 支持启用 Kerberos 保护（也称为灵活身份验证安全隧道 (FAST) ），但无法通过哈希检测的过度传递除外。

ATA 网关的数量取决于网络布局、数据包量和 ATA 捕获的事件量。 若要确定确切数字，请参阅 ATA 轻型网关大小调整。

对于平均为 1000 个数据包/秒的一整天，需要 0.3 GB 的存储空间。 有关 ATA 中心大小调整的详细信息，请参阅 ATA 容量规划。

当帐户是我们指定为敏感 (特定组的成员时，就会发生这种情况：“域管理员”) 。

若要了解帐户为何敏感，可以查看其组成员身份，以了解它属于哪些敏感组 (该帐户所属的组也可能由于另一个组而敏感，因此应执行相同的过程，直到找到最高级别敏感组) 。

此外，还可以手动将用户、组或计算机标记为敏感。 有关详细信息，请参阅 标记敏感帐户。

ATA 轻型网关可以涵盖大多数虚拟域控制器，若要确定 ATA 轻型网关是否适合你的环境，请参阅 ATA 容量规划。

如果 ATA 轻型网关无法涵盖虚拟域控制器，则可以使用虚拟或物理 ATA 网关，如 配置端口镜像中所述。

最简单的方法是在存在虚拟域控制器的每个主机上都有一个虚拟 ATA 网关。 如果虚拟域控制器在主机之间移动，则需要执行以下步骤之一：

• 当虚拟域控制器移动到另一台主机时，在该主机中预配置 ATA 网关，以接收来自最近移动的虚拟域控制器的流量。
• 请确保将虚拟 ATA 网关与虚拟域控制器关联，以便在移动时，ATA 网关随之移动。
• 有一些虚拟交换机可以在主机之间发送流量。

请参阅 ATA 灾难恢复

ATA 检测已知的恶意攻击和技术、安全问题和风险。 有关 ATA 检测的完整列表，请参阅 ATA 执行哪些检测？。

建议不要 (7200 RPM 磁盘快速存储，) 低延迟磁盘访问 (小于 10 毫秒) 。 RAID 配置应支持 RAID-5/6 (大量写入负载，建议不要) 其派生。

ATA 网关至少需要两个网络适配器：
1.用于连接到内部网络和 ATA 中心的 NIC
2.用于通过端口镜像捕获域控制器网络流量的 NIC。
* 这不适用于 ATA 轻型网关，该网关本机使用域控制器使用的所有网络适配器。

ATA 具有与 SIEM 的双向集成，如下所示：

1. 可以将 ATA 配置为在检测到可疑活动时使用 CEF 格式将 Syslog 警报发送到任何 SIEM 服务器。
2. 可以将 ATA 配置为从 这些 SIEM 接收 Windows 事件的 Syslog 消息。

是的，可以使用 ATA 轻型网关监视任何 IaaS 解决方案中的域控制器。

Microsoft高级威胁分析是一种本地产品。

此解决方案目前是独立的产品/服务，它不是Microsoft Entra ID或本地 Active Directory的一部分。

使用Microsoft高级威胁分析，无需创建规则、阈值或基线，然后进行微调。 ATA 分析用户、设备和资源之间的行为及其彼此之间的关系，并可以快速检测可疑活动和已知攻击。 部署三周后，ATA 开始检测行为可疑活动。 另一方面，ATA 将在部署后立即开始检测已知的恶意攻击和安全问题。

是的，即使在你被入侵后安装了 ATA，ATA 仍可以检测到黑客的可疑活动。 ATA 不仅查看用户的行为，还针对组织安全映射中的其他用户。 在初始分析期间，如果攻击者的行为异常，则会将其标识为“离群值”，ATA 会持续报告异常行为。 此外，如果黑客尝试窃取其他用户凭据（例如 Pass-the-Ticket），或者尝试在其中一个域控制器上执行远程执行，ATA 可以检测可疑活动。

除了使用深度数据包检查技术分析 Active Directory 流量外，ATA 还可以从安全信息和事件管理 (SIEM) 收集相关事件，并根据来自Active Directory 域服务的信息创建实体配置文件。 如果组织配置 Windows 事件日志转发，ATA 还可以从事件日志中收集事件。

端口镜像也称为 SPAN (交换端口分析器) ，是一种监视网络流量的方法。 启用端口镜像后，交换机会将一个端口 (或整个 VLAN) 上看到的所有网络数据包的副本发送到另一个端口，可在其中分析数据包。

不正确。 ATA 监视网络中针对 Active Directory 执行身份验证和授权请求的所有设备，包括非 Windows 和移动设备。

是。 由于计算机帐户 (以及任何其他实体) 可用于执行恶意活动，因此 ATA 监视环境中的所有计算机帐户行为和所有其他实体。

Microsoft高级威胁分析支持同一林边界内的多域环境。 多个林需要每个林的 ATA 部署。

是的，可以查看部署的整体运行状况以及与配置、连接等相关的特定问题，并在发生这些问题时收到警报。

另请参阅

• ATA 先决条件
• ATA 容量规划
• 配置事件集合
• 配置 Windows 事件转发
• 查看 ATA 论坛！