Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Advanced Threat Analytics versión 1.9
ATA usa MongoDB como base de datos. Puede interactuar con la base de datos mediante la línea de comandos predeterminada o mediante una herramienta de interfaz de usuario para realizar tareas avanzadas y solucionar problemas.
Interacción con la base de datos
La forma predeterminada y más básica de consultar la base de datos es mediante el shell de Mongo:
Abra una ventana de línea de comandos y cambie la ruta de acceso a la carpeta bin de MongoDB. La ruta de acceso predeterminada es: C:\Archivos de programa\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.
Ejecutar:
mongo.exe ATA
. Asegúrese de escribir ATA con todas las letras mayúsculas.
Cómo... | Sintaxis | Notas |
---|---|---|
Compruebe si hay colecciones en la base de datos. | show collections |
Resulta útil como prueba de un extremo a otro para ver que el tráfico se escribe en la base de datos y que el evento 4776 lo recibe ATA. |
Obtenga los detalles de un usuario, equipo o grupo (UniqueEntity), como el identificador de usuario. | db.UniqueEntity.find({CompleteSearchNames: "<name of entity in lower case>"}) |
|
Busque el tráfico de autenticación Kerberos que se origina desde un equipo específico en un día específico. | db.KerberosAs_<datetime>.find({SourceComputerId: "<Id of the source computer>"}) |
Para obtener el <identificador del equipo> de origen, puede consultar las colecciones UniqueEntity, como se muestra en el ejemplo. Cada tipo de actividad de red, por ejemplo, las autenticaciones kerberos, tiene su propia colección por fecha UTC. |
Realice cambios de configuración avanzados. En este ejemplo, cambie el tamaño de la cola de envío para todas las puertas de enlace de ATA a 10 000. | db.SystemProfile.update( {_t: "GatewaySystemProfile"} , {$set:{"Configuration.EntitySenderConfiguration.EntityBatchBlockMaxSize" : "10000"}}) |
` |
En el ejemplo siguiente se proporciona código de ejemplo con la sintaxis proporcionada anteriormente. Si está investigando una actividad sospechosa que se produjo el 10/20/2015 y quiere obtener más información sobre las actividades NTLM que "John Doe" realizó ese día:
En primer lugar, busque el identificador de "John Doe"
db.UniqueEntity.find({Name: "John Doe"})
Tome nota del identificador como se indica en el valor de _id
Por ejemplo, suponga que el identificador es 123bdd24-b269-h6e1-9c72-7737as875351
A continuación, busque la colección con la fecha más cercana que esté antes de la fecha que está buscando, en el ejemplo 20/10/2015.
A continuación, busque las actividades NTLM de la cuenta de John Doe:
db.Ntlms_<closest date>.find({SourceAccountId: "123bdd24-b269-h6e1-9c72-7737as875351"})