Gilt für: Advanced Threat Analytics, Version 1.9
Dieser Artikel enthält eine Liste häufig gestellter Fragen (FAQ) zu ATA sowie die zugehörigen Antworten.
Wo erhalte ich eine Lizenz für Advanced Threat Analytics (ATA)?
Wenn Sie über einen aktive Konzernvertrag verfügen, können Sie die Software aus dem Microsoft Volumenlizenzierungs-Center (VLSC) herunterladen.
Wenn Sie eine Lizenz für Enterprise Mobility + Security (EMS) direkt über das Microsoft 365-Portal oder über das Cloud Solution Partner (CSP)-Lizenzierungsmodell erworben haben und keinen Zugriff auf ATA über das Microsoft Volumenlizenzierungs-Center (VLSC) haben, wenden Sie sich an den Microsoft-Kundensupport, um den Prozess zum Aktivieren von Advanced Threat Analytics (ATA) zu erhalten.
Was sollte ich tun, wenn das ATA-Gateway nicht gestartet wird?
Sehen Sie sich den neuesten Fehler im aktuellen Fehlerprotokoll an (Wo ATA unter dem Ordner „Protokolle“ installiert ist).
Wie kann ich ATA testen?
Sie können verdächtige Aktivitäten simulieren, bei denen es sich um einen End-to-End-Test handelt, indem Sie eine der folgenden Aktionen ausführen:
- DNS Reconnaissance mit Nslookup.exe
- Remoteausführung mithilfe von psexec.exe
Dies muss remote für den Domänencontroller ausgeführt werden, der überwacht wird, und nicht vom ATA-Gateway.
Welcher ATA-Build entspricht der jeweiligen Version?
Informationen zum Versions-Upgrade finden Sie unter ATA-Upgrade-Pfad.
Welche Version sollte ich verwenden, um meine aktuelle ATA-Bereitstellung auf die neueste Version zu aktualisieren?
Informationen zum Versions-Upgrade finden Sie unter ATA-Upgrade-Pfad.
Wie aktualisiert das ATA Center seine neuesten Signaturen?
Der ATA-Erkennungsmechanismus wird verbessert, wenn eine neue Version im ATA Center installiert wird. Sie können das Center entweder mithilfe von Microsoft Update (MU) aktualisieren oder die neue Version manuell im Download Center oder auf der Volumenlizenz-Seite herunterladen.
Wie verifiziere ich die Windows-Ereignisweiterleitung?
Sie können den folgenden Code in eine Datei einfügen und dann über eine Eingabeaufforderung im Verzeichnis ausführen: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin wie folgt:
mongo.exe ATA Dateiname
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
Funktioniert ATA mit verschlüsseltem Datenverkehr?
ATA basiert auf der Analyse mehrerer Netzwerkprotokolle sowie Ereignisse, die vom SIEM oder über die Windows-Ereignisweiterleitung erfasst werden. Erkennungen basierend auf Netzwerkprotokollen mit verschlüsseltem Datenverkehr (z. B. LDAPS und IPSEC) werden nicht analysiert.
Funktioniert ATA mit Kerberos Armor?
Das Aktivieren von Kerberos Armor, auch bekannt als Flexible Authentication Secure Tunneling (FAST), wird von ATA unterstützt, mit Ausnahme der Pass-the-Hash-Erkennung, die nicht funktioniert.
Wie viele ATA-Gateways benötige ich?
Die Anzahl der ATA-Gateways hängt vom Netzwerklayout, dem Volumen von Paketen und dem Volumen von Ereignissen ab, die von ATA erfasst werden. Informationen zum Ermitteln der genauen Zahl finden Sie unter Dimensionierung der leichten ATA-Gateways.
Wie viel Speicherkapazität benötige ich für ATA?
Für einen ganzen Tag mit durchschnittlich 1000 Paketen/Sek. benötigen Sie 0,3 GB Speicher. Weitere Informationen zur ATA Center-Dimensionierung finden Sie unter ATA Kapazitätsplanung.
Warum gelten bestimmte Konten als vertraulich?
Dies geschieht, wenn ein Konto Mitglied bestimmter Gruppen ist, die wir als vertraulich festlegen (z. B. „Domänen-Admins“).
Um zu verstehen, warum ein Konto vertraulich ist, können Sie die Gruppenmitgliedschaft überprüfen, um zu sehen, zu welchen vertraulichen Gruppen es gehört (die Gruppe, zu der es gehört, kann auch aufgrund einer anderen Gruppe vertraulich sein, sodass derselbe Prozess ausgeführt werden sollte, bis Sie die Gruppe mit der höchsten Ebene gefunden haben).
Darüber hinaus können Sie einen Benutzer, eine Gruppe oder einen Computer manuell als vertraulich markieren. Weitere Informationen finden Sie unter Vertrauliche Konten kennzeichnen.
Wie überwache ich einen virtuellen Domänencontroller mit ATA?
Die meisten virtuellen Domänencontroller können vom ATA Lightweight Gateway abgedeckt werden, um zu ermitteln, ob das ATA Lightweight Gateway für Ihre Umgebung geeignet ist, siehe ATA-Kapazitätsplanung.
Wenn ein virtueller Domänencontroller nicht vom ATA Lightweight Gateway abgedeckt werden kann, können Sie entweder ein virtuelles oder physisches ATA-Gateway nutzen, wie unter Konfigurieren von Port-Spiegelung beschrieben.
Die einfachste Möglichkeit ist, ein virtuelles ATA-Gateway auf jedem Host zu haben, auf dem ein virtueller Domänencontroller vorhanden ist. Wenn Ihre virtuellen Domänencontroller zwischen Hosts wechseln, müssen Sie einen der folgenden Schritte ausführen:
- Wenn der virtuelle Domänencontroller zu einem anderen Host wechselt, konfigurieren Sie das ATA-Gateway in diesem Host vorab, um den Datenverkehr vom kürzlich verschobenen virtuellen Domänencontroller zu empfangen.
- Stellen Sie sicher, dass Sie das virtuelle ATA-Gateway mit dem virtuellen Domänencontroller verbinden, damit das ATA-Gateway bei Verschiebungen mit dem Gateway verschoben wird.
- Es gibt einige virtuelle Switches, die Datenverkehr zwischen Hosts senden können.
Wie sichere ich ATA?
Informationen zur ATA-Notfallwiederherstellung
Was kann ATA erkennen?
ATA erkennt bekannte böswillige Angriffe und Techniken, Sicherheitsprobleme und Risiken. Die vollständige Liste der ATA-Erkennungen finden Sie unter Welche Erkennungen führt ATA durch?.
Welche Art von Speicher benötige ich für ATA?
Wir empfehlen, schnellen Speicher (7200-RPM-Datenträger werden nicht empfohlen) mit Zugriff auf Datenträger mit geringer Latenz (weniger als 10 ms). Die RAID-Konfiguration sollte schwere Schreiblasten unterstützen (RAID-5/6 und ihre Ableitungen werden nicht empfohlen).
Wie viele NICs benötigt das ATA-Gateway?
Das ATA-Gateway benötigt mindestens zwei Netzwerkadapter:
1. Einen NIC zum Herstellen einer Verbindung mit dem internen Netzwerk und dem ATA Center
2. Einen NIC, der zum Erfassen des Domänencontroller-Netzwerkdatenverkehrs über Port-Spiegelung verwendet wird.
* Dies gilt nicht für das ATA Lightweight Gateway, das nativ alle Netzwerkadapter verwendet, die vom Domänencontroller verwendet werden.
Welche Art von Integration hat ATA mit SIEMs?
ATA verfügt über eine bidirektionale Integration mit SIEMs wie folgt:
- ATA kann so konfiguriert werden, dass eine Syslog-Warnung mit dem CEF-Format an jeden SIEM-Server gesendet wird, wenn eine verdächtige Aktivität erkannt wird.
- ATA kann so konfiguriert werden, dass Syslog-Nachrichten für Windows-Ereignisse von diesen SIEMs empfangen werden.
Kann ATA Domänencontroller überwachen, die auf Ihrer IaaS-Lösung virtualisiert werden?
Ja, Sie können das ATA Lightweight Gateway verwenden, um Domänencontroller zu überwachen, die sich in jeder IaaS-Lösung befinden.
Ist dies ein lokales oder in-Cloud-Angebot?
Microsoft Advanced Threat Analytics ist ein lokales Produkt.
Wird dies Teil von Microsoft Entra-ID oder lokalem Active Directory sein?
Diese Lösung ist derzeit ein eigenständiges Angebot – es ist kein Bestandteil von Microsoft Entra-ID oder lokalem Active Directory.
Muss man eigene Regeln schreiben und einen Schwellenwert/eine Baseline festlegen?
Mit Microsoft Advanced Threat Analytics müssen keine Regeln, Schwellenwerte oder Basispläne erstellt und optimiert werden. ATA analysiert das Verhalten zwischen Benutzern, Geräten und Ressourcen sowie ihre Beziehung zueinander und kann verdächtige Aktivitäten und bekannte Angriffe schnell erkennen. Drei Wochen nach der Bereitstellung beginnt ATA, verhaltensverdächtige Aktivitäten zu erkennen. Andererseits erkennt ATA sofort nach der Bereitstellung bekannte böswillige Angriffe und Sicherheitsprobleme.
Wenn Sie bereits verletzt sind, können Microsoft Advanced Threat Analytics ein ungewöhnliches Verhalten erkennen?
Ja, auch wenn ATA nach einem Angriff installiert wird, kann es weiterhin verdächtige Aktivitäten des Hackers erkennen. ATA betrachtet nicht nur das Verhalten des Benutzers, sondern auch der anderen Benutzer in der Sicherheitszuordnung der Organisation. Wenn das Verhalten des Angreifers während der ersten Analyse abnorm ist, wird es als „Ausreißer“ identifiziert und ATA meldet das ungewöhnliche Verhalten auch in Zukunft. Darüber hinaus kann ATA die verdächtige Aktivität erkennen, wenn der Hacker versucht, andere Benutzeranmeldeinformationen zu stehlen, z. B. Pass-the-Ticket-Versuche, um eine Remote-Ausführung auf einem der Domänencontroller durchzuführen.
Nutzt dies nur Datenverkehr aus Active Directory?
Neben der Analyse von Active Directory-Datenverkehr mithilfe der Deep Packet Inspection-Technologie kann ATA auch relevante Ereignisse aus Ihrem SIEM (Security Information and Event Management) sammeln und Entitätsprofile basierend auf Informationen aus Active Directory-Domäne Services erstellen. ATA kann auch Ereignisse aus den Ereignisprotokollen sammeln, wenn die Organisation die Windows-Ereignisprotokoll-Weiterleitung konfiguriert.
Was ist Port-Spiegelung?
Auch als SPAN (Switched Port Analyzer) bezeichnet), ist Port-Spiegelung eine Methode zur Überwachung des Netzwerkdatenverkehrs. Wenn Port-Spiegelung aktiviert ist, sendet der Switch eine Kopie aller Netzwerkpakete, die auf einem Port (oder einem gesamten VLAN) angezeigt werden, an einen anderen Port, wo das Paket analysiert werden kann.
Funktioniert der ATA-Monitor nur mit in die Domäne eingebundenen Geräten?
Nein. ATA überwacht alle Geräte im Netzwerk, die Authentifizierungs- und Autorisierungsanforderungen für Active Directory ausführen, einschließlich non-Windows- und mobile Geräte.
Überwacht ATA Computerkonten sowie Benutzerkonten?
Ja. Da Computerkonten (sowie andere Entitäten) zum Ausführen bösartiger Aktivitäten verwendet werden können, überwacht ATA das Verhalten aller Computerkonten und aller anderen Entitäten in der Umgebung.
Kann ATA Multi-Domänen und Multi-Gesamtstrukturen unterstützen?
Microsoft Advanced Threat Analytics unterstützt Multi-Domänen-Umgebungen innerhalb derselben Gesamtstrukturgrenze. Mehrere Gesamtstrukturen erfordern eine ATA-Bereitstellung für jede Gesamtstruktur.
Können Sie die allgemeine Integrität der Bereitstellung sehen?
Ja, Sie können die allgemeine Integrität der Bereitstellung sowie bestimmte Probleme im Zusammenhang mit Konfiguration, Konnektivität usw. anzeigen und werden benachrichtigt, sobald sie auftreten.