Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9
Artikel ini menyediakan daftar pertanyaan yang sering diajukan tentang ATA dan memberikan wawasan dan jawaban.
Di mana saya bisa mendapatkan lisensi untuk Advanced Threat Analytics (ATA)?
Jika Anda memiliki Perjanjian Enterprise aktif, Anda dapat mengunduh perangkat lunak dari Pusat Lisensi Volume Microsoft (VLSC).
Jika Anda memperoleh lisensi untuk Enterprise Mobility + Security (EMS) secara langsung melalui portal Microsoft 365 atau melalui model lisensi Mitra Solusi Cloud (CSP) dan Anda tidak memiliki akses ke ATA melalui Pusat Lisensi Volume Microsoft (VLSC), hubungi Dukungan Pelanggan Microsoft untuk mendapatkan proses untuk mengaktifkan Analitik Ancaman Tingkat Lanjut (ATA).
Apa yang harus saya lakukan jika Gateway ATA tidak akan dimulai?
Lihat kesalahan terbaru dalam log kesalahan saat ini (Di mana ATA diinstal di bawah folder "Log").
Bagaimana cara menguji ATA?
Anda dapat mensimulasikan aktivitas mencurigakan yang merupakan pengujian ujung ke ujung dengan melakukan salah satu hal berikut:
- Pengintaian DNS dengan menggunakan Nslookup.exe
- Eksekusi jarak jauh dengan menggunakan psexec.exe
Ini perlu berjalan dari jarak jauh terhadap pengendali domain yang dipantau dan bukan dari Gateway ATA.
Build ATA mana yang sesuai dengan setiap versi?
Untuk informasi peningkatan versi, lihat jalur peningkatan ATA.
Versi apa yang harus saya gunakan untuk meningkatkan penyebaran ATA saya saat ini ke versi terbaru?
Untuk matriks peningkatan versi ATA, lihat Jalur peningkatan ATA.
Bagaimana Pusat ATA memperbarui tanda tangan terbarunya?
Mekanisme deteksi ATA ditingkatkan ketika versi baru diinstal pada Pusat ATA. Anda dapat memutakhirkan Pusat baik dengan menggunakan Microsoft Update (MU) atau dengan mengunduh versi baru secara manual dari Pusat Unduhan atau Situs Lisensi Volume.
Bagaimana cara memverifikasi Penerusan Peristiwa Windows?
Anda dapat menempatkan kode berikut ke dalam file lalu menjalankannya dari prompt perintah di direktori: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin sebagai berikut:
nama file mongo.exe ATA
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
Apakah ATA berfungsi dengan lalu lintas terenkripsi?
ATA mengandalkan analisis beberapa protokol jaringan, serta peristiwa yang dikumpulkan dari SIEM atau melalui Penerusan Peristiwa Windows. Deteksi berdasarkan protokol jaringan dengan lalu lintas terenkripsi (misalnya, LDAPS dan IPSEC) tidak akan dianalisis.
Apakah ATA bekerja dengan Kerberos Armoring?
Mengaktifkan Kerberos Armoring, juga dikenal sebagai Flexible Authentication Secure Tunneling (FAST), didukung oleh ATA, dengan pengecualian over-pass deteksi hash yang tidak akan berfungsi.
Berapa banyak Gateway ATA yang saya butuhkan?
Jumlah Gateway ATA bergantung pada tata letak jaringan Anda, volume paket, dan volume peristiwa yang diambil oleh ATA. Untuk menentukan angka yang tepat, lihat Ukuran Gateway Ringan ATA.
Berapa banyak penyimpanan yang saya butuhkan untuk ATA?
Untuk setiap satu hari penuh dengan rata-rata 1000 paket/detik Anda memerlukan penyimpanan 0,3 GB. Untuk informasi selengkapnya tentang ukuran Pusat ATA lihat, Perencanaan Kapasitas ATA.
Mengapa akun tertentu dianggap sensitif?
Ini terjadi ketika akun adalah anggota grup tertentu yang kami tetapkan sebagai sensitif (misalnya: "Admin Domain").
Untuk memahami mengapa akun sensitif, Anda dapat meninjau keanggotaan grupnya untuk memahami grup sensitif mana yang termasuk dalamnya (grup miliknya juga dapat sensitif karena grup lain, sehingga proses yang sama harus dilakukan sampai Anda menemukan grup sensitif tingkat tertinggi).
Selain itu, Anda dapat menandai pengguna, grup, atau komputer secara manual sebagai sensitif. Untuk informasi selengkapnya, lihat Menandai akun sensitif.
Bagaimana cara memantau pengontrol domain virtual menggunakan ATA?
Sebagian besar pengontrol domain virtual dapat dicakup oleh Gateway Ringan ATA, untuk menentukan apakah Gateway Ringan ATA sesuai untuk lingkungan Anda, lihat Perencanaan Kapasitas ATA.
Jika pengendali domain virtual tidak dapat dicakup oleh Gateway Ringan ATA, Anda dapat memiliki Gateway ATA virtual atau fisik seperti yang dijelaskan dalam Mengonfigurasi pencerminan port.
Cara term mudah adalah dengan memiliki Gateway ATA virtual di setiap host tempat pengontrol domain virtual ada. Jika pengontrol domain virtual Anda berpindah antar host, Anda perlu melakukan salah satu langkah berikut:
- Ketika pengontrol domain virtual berpindah ke host lain, prakonfigurasi Gateway ATA di host tersebut untuk menerima lalu lintas dari pengontrol domain virtual yang baru saja dipindahkan.
- Pastikan Anda berafiliasi dengan Gateway ATA virtual dengan pengontrol domain virtual sehingga jika dipindahkan, Gateway ATA akan berpindah dengannya.
- Ada beberapa sakelar virtual yang dapat mengirim lalu lintas antar host.
Bagaimana cara mencadangkan ATA?
Apa yang dapat dideteksi ATA?
ATA mendeteksi serangan dan teknik berbahaya yang diketahui, masalah keamanan, dan risiko. Untuk daftar lengkap deteksi ATA, lihat Deteksi apa yang dilakukan ATA?.
Jenis penyimpanan apa yang saya butuhkan untuk ATA?
Kami merekomendasikan penyimpanan cepat (disk 7200-RPM tidak disarankan) dengan akses disk latensi rendah (kurang dari 10 md). Konfigurasi RAID harus mendukung beban tulis berat (RAID-5/6 dan turunannya tidak disarankan).
Berapa banyak NIC yang diperlukan Gateway ATA?
Gateway ATA membutuhkan minimal dua adaptor jaringan:
1. NIC untuk terhubung ke jaringan internal dan Pusat ATA
2. NIC yang digunakan untuk menangkap lalu lintas jaringan pengendali domain melalui pencerminan port.
* Ini tidak berlaku untuk Gateway ATA Lightweight, yang secara asli menggunakan semua adaptor jaringan yang digunakan pengendali domain.
Integrasi seperti apa yang dimiliki ATA dengan SIEM?
ATA memiliki integrasi dua arah dengan SIEM sebagai berikut:
- ATA dapat dikonfigurasi untuk mengirim pemberitahuan Syslog, ke server SIEM apa pun menggunakan format CEF, ketika aktivitas mencurigakan terdeteksi.
- ATA dapat dikonfigurasi untuk menerima pesan Syslog untuk peristiwa Windows dari SIEM ini.
Dapatkah ATA memantau pengendali domain yang divirtualisasi pada solusi IaaS Anda?
Ya, Anda dapat menggunakan ATA Lightweight Gateway untuk memantau pengendali domain yang berada dalam solusi IaaS apa pun.
Apakah ini penawaran lokal atau di cloud?
Microsoft Advanced Threat Analytics adalah produk lokal.
Apakah ini akan menjadi bagian dari ID Microsoft Entra atau Active Directory lokal?
Solusi ini saat ini merupakan penawaran mandiri—solusi ini bukan bagian dari ID Microsoft Entra atau Active Directory lokal.
Apakah Anda harus menulis aturan Anda sendiri dan membuat ambang/garis besar?
Dengan Microsoft Advanced Threat Analytics, Anda tidak perlu membuat aturan, ambang batas, atau garis besar lalu menyempurnakan. ATA menganalisis perilaku di antara pengguna, perangkat, dan sumber daya—serta hubungan mereka satu sama lain—dan dapat mendeteksi aktivitas mencurigakan dan serangan yang diketahui dengan cepat. Tiga minggu setelah penyebaran, ATA mulai mendeteksi aktivitas mencurigakan perilaku. Di sisi lain, ATA akan mulai mendeteksi serangan berbahaya yang diketahui dan masalah keamanan segera setelah penyebaran.
Jika Anda sudah dilanggar, dapatkah Microsoft Advanced Threat Analytics mengidentifikasi perilaku abnormal?
Ya, bahkan ketika ATA diinstal setelah Anda dilanggar, ATA masih dapat mendeteksi aktivitas mencurigakan peretas. ATA tidak hanya melihat perilaku pengguna tetapi juga terhadap pengguna lain di peta keamanan organisasi. Selama waktu analisis awal, jika perilaku penyerang tidak normal, maka diidentifikasi sebagai "outlier" dan ATA terus melaporkan perilaku abnormal. Selain itu ATA dapat mendeteksi aktivitas mencurigakan jika peretas mencoba mencuri kredensial pengguna lain, seperti Pass-the-Ticket, atau mencoba melakukan eksekusi jarak jauh pada salah satu pengontrol domain.
Apakah ini hanya memanfaatkan lalu lintas dari Direktori Aktif?
Selain menganalisis lalu lintas Direktori Aktif menggunakan teknologi inspeksi paket mendalam, ATA juga dapat mengumpulkan peristiwa yang relevan dari Security Information and Event Management (SIEM) Anda dan membuat profil entitas berdasarkan informasi dari Active Directory Domain Services. ATA juga dapat mengumpulkan peristiwa dari log peristiwa jika organisasi mengonfigurasi penerusan Log Peristiwa Windows.
Apa itu pencerminan port?
Juga dikenal sebagai SPAN (Switched Port Analyzer), pencerminan port adalah metode pemantauan lalu lintas jaringan. Dengan pencerminan port diaktifkan, sakelar mengirim salinan semua paket jaringan yang terlihat pada satu port (atau seluruh VLAN) ke port lain, di mana paket dapat dianalisis.
Apakah ATA hanya memantau perangkat yang bergabung dengan domain?
Nomor. ATA memantau semua perangkat dalam jaringan yang melakukan permintaan autentikasi dan otorisasi terhadap Direktori Aktif, termasuk perangkat non-Windows dan seluler.
Apakah ATA memantau akun komputer serta akun pengguna?
Ya. Karena akun komputer (serta entitas lain) dapat digunakan untuk melakukan aktivitas berbahaya, ATA memantau semua perilaku akun komputer dan semua entitas lain di lingkungan.
Dapatkah ATA mendukung multi-domain dan multi-forest?
Microsoft Advanced Threat Analytics mendukung lingkungan multi-domain dalam batas forest yang sama. Beberapa forest memerlukan penyebaran ATA untuk setiap forest.
Dapatkah Anda melihat kesehatan keseluruhan penyebaran?
Ya, Anda dapat melihat kesehatan keseluruhan penyebaran serta masalah spesifik yang terkait dengan konfigurasi, konektivitas, dll., dan Anda diberi tahu saat terjadi.