Compartir a través de


Solución de problemas de ATA mediante la base de datos de ATA

Se aplica a: Advanced Threat Analytics versión 1.9

ATA usa MongoDB como base de datos. Puede interactuar con la base de datos mediante la línea de comandos predeterminada o mediante una herramienta de interfaz de usuario para realizar tareas avanzadas y solucionar problemas.

Interacción con la base de datos

La forma predeterminada y más básica de consultar la base de datos es mediante el shell de Mongo:

  1. Abra una ventana de línea de comandos y cambie la ruta de acceso a la carpeta bin de MongoDB. La ruta de acceso predeterminada es: C:\Archivos de programa\Microsoft Advanced Threat Analytics\Center\MongoDB\bin.

  2. Ejecutar: mongo.exe ATA. Asegúrese de escribir ATA con todas las letras mayúsculas.

Cómo... Sintaxis Notas
Compruebe si hay colecciones en la base de datos. show collections Resulta útil como prueba de un extremo a otro para ver que el tráfico se escribe en la base de datos y que el evento 4776 lo recibe ATA.
Obtenga los detalles de un usuario, equipo o grupo (UniqueEntity), como el identificador de usuario. db.UniqueEntity.find({CompleteSearchNames: "<name of entity in lower case>"})
Busque el tráfico de autenticación Kerberos que se origina desde un equipo específico en un día específico. db.KerberosAs_<datetime>.find({SourceComputerId: "<Id of the source computer>"}) Para obtener el <identificador del equipo> de origen, puede consultar las colecciones UniqueEntity, como se muestra en el ejemplo.

Cada tipo de actividad de red, por ejemplo, las autenticaciones kerberos, tiene su propia colección por fecha UTC.
Realice cambios de configuración avanzados. En este ejemplo, cambie el tamaño de la cola de envío para todas las puertas de enlace de ATA a 10 000. db.SystemProfile.update( {_t: "GatewaySystemProfile"} ,
{$set:{"Configuration.EntitySenderConfiguration.EntityBatchBlockMaxSize" : "10000"}})
`

En el ejemplo siguiente se proporciona código de ejemplo con la sintaxis proporcionada anteriormente. Si está investigando una actividad sospechosa que se produjo el 10/20/2015 y quiere obtener más información sobre las actividades NTLM que "John Doe" realizó ese día:

En primer lugar, busque el identificador de "John Doe"

db.UniqueEntity.find({Name: "John Doe"})
Tome nota del identificador como se indica en el valor de _id Por ejemplo, suponga que el identificador es 123bdd24-b269-h6e1-9c72-7737as875351
A continuación, busque la colección con la fecha más cercana que esté antes de la fecha que está buscando, en el ejemplo 20/10/2015.
A continuación, busque las actividades NTLM de la cuenta de John Doe:

db.Ntlms_<closest date>.find({SourceAccountId: "123bdd24-b269-h6e1-9c72-7737as875351"})

Consulta también