A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Ez a cikk felsorolja az ATA-val kapcsolatos gyakori kérdéseket, és betekintést és válaszokat nyújt.
Hol szerezhetem be az Advanced Threat Analytics (ATA) licencét?
Ha aktív Nagyvállalati Szerződés rendelkezik, letöltheti a szoftvert a Microsoft Mennyiségi licencelési központból (VLSC).
Ha az Enterprise Mobility + Security (EMS) licencét közvetlenül a Microsoft 365 portálon vagy a felhőmegoldás-partner (CSP) licencelési modellen keresztül szerezte be, és nem fér hozzá az ATA-hoz a Microsoft Mennyiségi licencelési központon (VLSC) keresztül, forduljon a Microsoft ügyfélszolgálatához az Advanced Threat Analytics (ATA) aktiválási folyamatának beszerzéséhez.
Mit tegyek, ha az ATA-átjáró nem indul el?
Tekintse meg az aktuális hibanapló legutóbbi hibáját (ahol az ATA telepítve van a "Naplók" mappában).
Hogyan tesztelhetem az ATA-t?
Az alábbi műveletek egyikével szimulálhatja a gyanús tevékenységeket, amelyek végpontok közötti tesztelést jelentenek:
- DNS-felderítés az Nslookup.exe használatával
- Távoli végrehajtás psexec.exe használatával
Ennek távolról kell futnia a figyelt tartományvezérlőn, és nem az ATA-átjárón.
Melyik ATA-build felel meg az egyes verzióknak?
A verziófrissítéssel kapcsolatos információkért tekintse meg az ATA frissítési útvonalát.
Melyik verzióval frissítsem a jelenlegi ATA-üzemelő példányomat a legújabb verzióra?
Az ATA verziófrissítési mátrixát az ATA frissítési útvonalában talál.
Hogyan frissíti az ATA-központ a legújabb aláírásait?
Az ATA észlelési mechanizmusa akkor javul, ha egy új verzió van telepítve az ATA-központban. A központot a Microsoft Update (MU) használatával, vagy az új verzió manuális letöltésével frissítheti a Letöltőközpontból vagy a Mennyiségi licenc webhelyről.
Hogyan ellenőrizni a Windows eseménytovábbítását?
A következő kódot elhelyezheti egy fájlban, majd végrehajthatja egy parancssorból a következő könyvtárban: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin az alábbiak szerint:
mongo.exe ATA-fájlnév
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
Az ATA titkosított forgalommal működik?
Az ATA több hálózati protokoll elemzésére, valamint az SIEM-ből vagy a Windows-eseménytovábbításon keresztül gyűjtött események elemzésére támaszkodik. A titkosított forgalmat (például LDAPS és IP Standard kiadás C) tartalmazó hálózati protokollokon alapuló észlelések nem lesznek elemezve.
Működik az ATA a Kerberos Armoringgel?
Az ATA támogatja a Kerberos Armoring, más néven a rugalmas hitelesítés biztonságos bújtatásának (FAST) engedélyezését, kivéve a kivonatészlelést, amely nem fog működni.
Hány ATA-átjáróra van szükségem?
Az ATA-átjárók száma a hálózati elrendezéstől, a csomagok mennyiségétől és az ATA által rögzített események mennyiségétől függ. A pontos szám meghatározásához tekintse meg az egyszerűsített ATA-átjáró méretezését.
Mennyi tárhelyre van szükségem az ATA-hoz?
Minden egy teljes nap átlagosan 1000 csomag/másodperc szükséges 0,3 GB tárterületre. További információ az ATA-központ méretezéséről: ATA-kapacitástervezés.
Miért tekinthetők bizalmasnak bizonyos fiókok?
Ez akkor fordul elő, ha egy fiók olyan csoportok tagja, amelyeket bizalmasként jelölünk ki (például:"Tartomány Rendszergazda").
Annak megértéséhez, hogy egy fiók miért érzékeny, áttekintheti a csoporttagságát, hogy megértse, melyik bizalmas csoporthoz tartozik (az a csoport, amelyhez tartozik, egy másik csoport miatt is érzékeny lehet, ezért ugyanazt a folyamatot kell végrehajtani, amíg meg nem találja a legmagasabb szintű bizalmas csoportot).
Emellett manuálisan is megjelölhet egy felhasználót, csoportot vagy számítógépet bizalmasként. További információ: Bizalmas fiókok címkézése.
Hogyan monitorozni egy virtuális tartományvezérlőt az ATA használatával?
A legtöbb virtuális tartományvezérlőt lefedheti az egyszerűsített ATA-átjáró, így megállapíthatja, hogy az egyszerűsített ATA-átjáró megfelelő-e a környezetéhez, lásd : ATA-kapacitástervezés.
Ha egy virtuális tartományvezérlőt nem tud lefedni az egyszerűsített ATA-átjáró, virtuális vagy fizikai ATA-átjáróval is rendelkezhet a porttükrözés konfigurálása című cikkben leírtak szerint.
A legegyszerűbben úgy lehet virtuális ATA-átjárót használni minden gazdagépen, ahol létezik virtuális tartományvezérlő. Ha a virtuális tartományvezérlők a gazdagépek között mozognak, az alábbi lépések egyikét kell elvégeznie:
- Amikor a virtuális tartományvezérlő egy másik gazdagépre kerül, konfigurálja előre az ATA-átjárót a gazdagépen, hogy megkapja a forgalmat a nemrég áthelyezett virtuális tartományvezérlőről.
- Győződjön meg arról, hogy a virtuális ATA-átjárót a virtuális tartományvezérlővel társította, hogy áthelyezés esetén az ATA-átjáró vele együtt mozogjon.
- Vannak olyan virtuális kapcsolók, amelyek képesek forgalmat küldeni a gazdagépek között.
Hogyan biztonsági másolatot az ATA-ról?
Tekintse meg az ATA vészhelyreállítását
Mit észlel az ATA?
Az ATA észleli az ismert rosszindulatú támadásokat és technikákat, biztonsági problémákat és kockázatokat. Az ATA-észlelések teljes listáját az ATA által végrehajtott észlelések című témakörben találja.
Milyen típusú tárhelyre van szükségem az ATA-hoz?
Javasoljuk a gyors tárolást (7200 RPM-lemez használata nem ajánlott) alacsony késésű (10 ms-nál kisebb) lemezhozzáféréssel. A RAID-konfigurációnak támogatnia kell a nagy írási terhelést (RAID-5/6 és származékaik nem ajánlottak).
Hány hálózati adapterre van szükség az ATA-átjáróhoz?
Az ATA-átjárónak legalább két hálózati adapterre van szüksége:
1. Hálózati adapter a belső hálózathoz és az ATA-központhoz való csatlakozáshoz
2. Egy hálózati adapter, amely porttükrözéssel rögzíti a tartományvezérlő hálózati forgalmát.
* Ez nem vonatkozik az egyszerűsített ATA-átjáróra, amely natív módon használja a tartományvezérlő által használt összes hálózati adaptert.
Milyen integrációval rendelkezik az ATA a SIEM-ekkel?
Az ATA kétirányú integrációval rendelkezik a SIEM-ekkel az alábbiak szerint:
Képes az ATA monitorozni az IaaS-megoldáson virtualizált tartományvezérlőket?
Igen, az egyszerűsített ATA-átjáróval figyelheti a bármely IaaS-megoldásban található tartományvezérlőket.
Helyszíni vagy felhőbeli ajánlatról van szó?
A Microsoft Advanced Threat Analytics egy helyszíni termék.
Ez a Microsoft Entra-azonosító vagy helyi Active Directory része lesz?
Ez a megoldás jelenleg önálló ajánlat – nem része a Microsoft Entra-azonosítónak vagy helyi Active Directory.
Meg kell írnia a saját szabályait, és létre kell hoznia egy küszöbértéket/alapkonfigurációt?
A Microsoft Advanced Threat Analytics használatával nincs szükség szabályok, küszöbértékek vagy alapkonfigurációk létrehozására, majd finomhangolására. Az ATA elemzi a felhasználók, eszközök és erőforrások viselkedését, valamint az egymáshoz való viszonyukat, és gyorsan észleli a gyanús tevékenységeket és az ismert támadásokat. Az üzembe helyezés után három héttel az ATA észlelni kezdi a viselkedésgyanús tevékenységeket. Másrészt az ATA azonnal észlelni fogja az ismert rosszindulatú támadásokat és biztonsági problémákat közvetlenül az üzembe helyezés után.
Ha már feltörték, azonosíthatja a Microsoft Advanced Threat Analytics a rendellenes viselkedést?
Igen, még akkor is, ha az ATA telepítése a behatolás után történik, az ATA továbbra is képes észlelni a hacker gyanús tevékenységeit. Az ATA nem csak a felhasználó viselkedését vizsgálja, hanem a szervezet biztonsági térképének többi felhasználójával szemben is. A kezdeti elemzési idő alatt, ha a támadó viselkedése rendellenes, akkor a rendszer "kiugró"ként azonosítja, és az ATA folyamatosan jelentést készít a rendellenes viselkedésről. Emellett az ATA észleli a gyanús tevékenységet, ha a hacker egy másik felhasználói hitelesítő adatot próbál ellopni, például a Pass-the-Tickett, vagy távoli végrehajtást kísérel meg végrehajtani az egyik tartományvezérlőn.
Ez csak az Active Directoryból érkező forgalmat használja ki?
Az Active Directory-forgalom mély csomagvizsgálati technológiával történő elemzése mellett az ATA összegyűjtheti a releváns eseményeket a Biztonsági információ és eseménykezelés (SIEM) szolgáltatásból, és entitásprofilokat hozhat létre Active Directory tartományi szolgáltatások információi alapján. Az ATA akkor is gyűjthet eseményeket az eseménynaplókból, ha a szervezet konfigurálja a Windows eseménynapló-továbbítást.
Mi az a porttükrözés?
A porttükrözés a hálózati forgalom figyelésére szolgáló módszer, más néven SPAN (Switched Port Analyzer). Ha engedélyezve van a porttükrözés, a kapcsoló elküldi az egyik porton (vagy egy teljes VLAN-on) látott összes hálózati csomag másolatát egy másik portra, ahol a csomag elemezhető.
Az ATA csak a tartományhoz csatlakoztatott eszközöket figyeli?
Nem. Az ATA figyeli a hálózat összes eszközét, amely hitelesítési és engedélyezési kéréseket hajt végre az Active Directoryn, beleértve a nem Windows- és mobileszközöket is.
Az ATA figyeli a számítógépfiókokat és a felhasználói fiókokat?
Igen. Mivel a számítógépfiókok (valamint bármely más entitás) rosszindulatú tevékenységek végrehajtására használhatók, az ATA figyeli a számítógépfiókok viselkedését és a környezet összes többi entitását.
Támogatja az ATA a többtartományos és a többerdős környezeteket?
A Microsoft Advanced Threat Analytics támogatja az ugyanazon erdőhatáron belüli többtartományos környezeteket. Több erdő esetében minden erdőhöz szükség van ATA-telepítésre.
Látja az üzembe helyezés általános állapotát?
Igen, megtekintheti az üzemelő példány általános állapotát, valamint a konfigurációval, a kapcsolattal stb. kapcsolatos konkrét problémákat, és riasztást kap, amikor azok előfordulnak.