편집

다음을 통해 공유


ATA 질문과 대답

적용 대상: Advanced Threat Analytics 버전 1.9

이 문서에서는 ATA에 대한 질문과 대답 목록을 제공하고 인사이트와 답변을 제공합니다.

ATA(Advanced Threat Analytics)에 대한 라이선스는 어디서 얻을 수 있나요?

활성 기업계약 있는 경우 Microsoft VLSC(볼륨 라이선스 센터)에서 소프트웨어를 다운로드할 수 있습니다.

Microsoft 365 포털 또는 CSP(클라우드 솔루션 파트너) 라이선스 모델을 통해 직접 EMS(Enterprise Mobility + Security)에 대한 라이선스를 획득했으며 Microsoft VLSC(볼륨 라이선스 센터)를 통해 ATA에 액세스할 수 없는 경우 Microsoft 고객 지원에 문의하여 ATA(Advanced Threat Analytics)를 활성화하는 프로세스를 얻습니다.

ATA 게이트웨이가 시작되지 않으면 어떻게 해야 하나요?

현재 오류 로그에서 가장 최근의 오류를 확인합니다(ATA가 "로그" 폴더 아래에 설치된 위치).

ATA를 테스트하는 방법

다음 중 하나를 수행하여 종단 간 테스트인 의심스러운 활동을 시뮬레이션할 수 있습니다.

  1. Nslookup.exe를 사용하여 DNS 정찰
  2. psexec.exe를 사용하여 원격 실행

ATA 게이트웨이가 아닌 모니터링 중인 do기본 컨트롤러에 대해 원격으로 실행해야 합니다.

각 버전에 해당하는 ATA 빌드는 무엇입니까?

버전 업그레이드 정보는 ATA 업그레이드 경로를 참조 하세요.

현재 ATA 배포를 최신 버전으로 업그레이드하는 데 사용해야 하는 버전은 무엇인가요?

ATA 버전 업그레이드 매트릭스는 ATA 업그레이드 경로를 참조 하세요.

ATA 센터는 최신 서명을 어떻게 업데이트하나요?

ATA 센터에 새 버전이 설치되면 ATA 검색 메커니즘이 향상됩니다. MU(Microsoft Update)를 사용하거나 다운로드 센터 또는 볼륨 라이선스 사이트에서 새 버전을 수동으로 다운로드하여 센터를 업그레이드할 수 있습니다.

Windows 이벤트 전달을 어떻게 할까요? 확인하시겠습니까?

다음 코드를 파일에 배치한 다음 디렉터리의 명령 프롬프트에서 실행할 수 있습니다. \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin 은 다음과 같습니다.

mongo.exe ATA 파일 이름

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA는 암호화된 트래픽에서 작동하나요?

ATA는 SIEM 또는 Windows 이벤트 전달을 통해 수집된 이벤트뿐만 아니라 여러 네트워크 프로토콜을 분석하는 데 의존합니다. 암호화된 트래픽을 사용하는 네트워크 프로토콜(예: LDAPS 및 IPSEC)을 기반으로 하는 검색은 분석되지 않습니다.

ATA는 Kerberos 아머링과 작동하나요?

FAST(유연한 인증 보안 터널링)라고도 하는 Kerberos 아머링 사용은 작동하지 않는 해시 검색을 과도하게 전달하는 것을 제외하고 ATA에서 지원됩니다.

필요한 ATA 게이트웨이는 몇 개입니까?

ATA 게이트웨이 수는 네트워크 레이아웃, 패킷 볼륨 및 ATA에서 캡처한 이벤트 볼륨에 따라 달라집니다. 정확한 수를 확인하려면 ATA 경량 게이트웨이 크기 조정을 참조하세요.

ATA에 필요한 스토리지는 얼마인가요?

하루 평균 1,000 패킷/초를 사용하는 경우 0.3GB의 스토리지가 필요합니다. ATA 센터 크기 조정에 대한 자세한 내용은 ATA 용량 계획을 참조하세요.

특정 계정이 중요한 것으로 간주되는 이유는 무엇인가요?

이는 계정이 중요한 것으로 지정한 특정 그룹의 구성원인 경우 발생합니다(예: "Do기본 관리s").

계정이 중요한 이유를 이해하려면 그룹 멤버 자격을 검토하여 해당 그룹이 속한 중요한 그룹(속한 그룹이 다른 그룹으로 인해 민감할 수도 있으므로 가장 높은 수준의 중요한 그룹을 찾을 때까지 동일한 프로세스를 수행해야 함)을 이해할 수 있습니다.

또한 사용자, 그룹 또는 컴퓨터에 중요한 태그를 수동으로 지정할 수 있습니다. 자세한 내용은 중요한 계정 태그를 참조 하세요.

ATA를 사용하여 가상 do기본 컨트롤러를 모니터링할 어떻게 할까요? 있나요?

대부분의 가상 do기본 컨트롤러는 ATA 경량 게이트웨이에서 처리하여 ATA 경량 게이트웨이가 사용자 환경에 적합한지 여부를 확인할 수 있습니다. ATA 용량 계획을 참조하세요.

가상 do기본 컨트롤러가 ATA 경량 게이트웨이에서 처리할 수 없는 경우 포트 미러 구성에 설명된 대로 가상 또는 물리적 ATA 게이트웨이를 포함할 수 있습니다.

가장 쉬운 방법은 가상이 기본 컨트롤러가 있는 모든 호스트에 가상 ATA 게이트웨이를 두는 것입니다. 가상 기본 컨트롤러가 호스트 간에 이동하는 경우 다음 단계 중 하나를 수행해야 합니다.

  • 가상 do기본 컨트롤러가 다른 호스트로 이동하면 최근에 이동한 가상 do기본 컨트롤러에서 트래픽을 수신하도록 해당 호스트의 ATA 게이트웨이를 미리 구성합니다.
  • 가상 ATA 게이트웨이를 가상 do기본 컨트롤러와 연결하여 이동하면 ATA 게이트웨이가 가상 컨트롤러와 함께 이동되도록 합니다.
  • 호스트 간에 트래픽을 보낼 수 있는 몇 가지 가상 스위치가 있습니다.

ATA를 백업할 어떻게 할까요? 있나요?

ATA는 무엇을 감지할 수 있나요?

ATA는 알려진 악의적인 공격 및 기술, 보안 문제 및 위험을 검색합니다. ATA 검색의 전체 목록은 ATA에서 수행하는 검색을 참조하세요.

ATA에 필요한 스토리지 종류는 무엇인가요?

짧은 대기 시간 디스크 액세스(10ms 미만)를 사용하는 빠른 스토리지(7200-RPM 디스크는 권장되지 않음)를 권장합니다. RAID 구성은 많은 쓰기 로드를 지원해야 합니다(RAID-5/6 및 파생 항목은 권장되지 않음).

ATA 게이트웨이에 필요한 NIC 수는 몇 개입니까?

ATA 게이트웨이에는 최소 두 개의 네트워크 어댑터가 필요합니다.
1. 내부 네트워크 및 ATA 센터에 연결하는 NIC
2. 포트 미러 통해 할 일기본 컨트롤러 네트워크 트래픽을 캡처하는 데 사용되는 NIC입니다.
* 기본적으로 할 기본 컨트롤러에서 사용하는 모든 네트워크 어댑터를 사용하는 ATA 경량 게이트웨이에는 적용되지 않습니다.

ATA는 SIEM과 어떤 종류의 통합을 수행하나요?

ATA는 다음과 같이 SIEM과 양방향 통합을 제공합니다.

  1. 의심스러운 활동이 감지되면 CEF 형식을 사용하여 모든 SIEM 서버에 Syslog 경고를 보내도록 ATA를 구성할 수 있습니다.
  2. 이러한 SIEM에서 Windows 이벤트에 대한 Syslog 메시지를 받도록 ATA를 구성할 수 있습니다.

ATA 모니터가 IaaS 솔루션에서 가상화된 컨트롤러를 기본 수 있나요?

예, ATA 경량 게이트웨이를 사용하여 모든 IaaS 솔루션에 있는 do기본 컨트롤러를 모니터링할 수 있습니다.

온-프레미스 또는 클라우드 내 제품인가요?

Microsoft Advanced Threat Analytics는 온-프레미스 제품입니다.

Microsoft Entra ID 또는 온-프레미스 Active Directory 포함되나요?

이 솔루션은 현재 독립 실행형 제품이며 Microsoft Entra ID 또는 온-프레미스 Active Directory 일부가 아닙니다.

고유한 규칙을 작성하고 임계값/기준을 만들어야 합니까?

Microsoft Advanced Threat Analytics를 사용하면 규칙, 임계값 또는 기준을 만든 다음 미세 조정할 필요가 없습니다. ATA는 사용자, 디바이스 및 리소스 간의 동작과 서로의 관계를 분석하고 의심스러운 활동 및 알려진 공격을 빠르게 검색할 수 있습니다. 배포 후 3주 후에 ATA는 의심스러운 동작을 감지하기 시작합니다. 반면에 ATA는 배포 직후 알려진 악의적인 공격 및 보안 문제를 탐지하기 시작합니다.

이미 위반된 경우 Microsoft Advanced Threat Analytics에서 비정상적인 동작을 식별할 수 있나요?

예, 위반 후 ATA가 설치되어 있더라도 ATA는 여전히 해커의 의심스러운 활동을 감지할 수 있습니다. ATA는 사용자의 동작뿐만 아니라 조직 보안 맵의 다른 사용자에 대해서도 보고 있습니다. 초기 분석 시간 동안 공격자의 동작이 비정상적인 경우 "이상값"으로 식별되고 ATA는 비정상적인 동작에 대한 보고를 계속합니다. 또한 ATA는 해커가 Pass-the-Ticket과 같은 다른 사용자 자격 증명을 도용하려고 시도하거나 할 일기본 컨트롤러 중 하나에서 원격 실행을 수행하려는 경우 의심스러운 활동을 감지할 수 있습니다.

Active Directory의 트래픽만 활용하나요?

ATA는 심층 패킷 검사 기술을 사용하여 Active Directory 트래픽을 분석하는 것 외에도 SIEM(보안 정보 및 이벤트 관리)에서 관련 이벤트를 수집하고 Active Directory 도메인 Services의 정보를 기반으로 엔터티 프로필을 만들 수도 있습니다. 조직에서 Windows 이벤트 로그 전달을 구성하는 경우 ATA는 이벤트 로그에서 이벤트를 수집할 수도 있습니다.

포트 미러이란?

SPAN(스위치 포트 분석기)라고도 하는 포트 미러는 네트워크 트래픽을 모니터링하는 방법입니다. 포트 미러 사용하도록 설정하면 스위치는 한 포트(또는 전체 VLAN)에 표시된 모든 네트워크 패킷의 복사본을 다른 포트로 보내 패킷을 분석할 수 있습니다.

ATA 모니터는 기본 조인된 디바이스만 수행하나요?

아니요. ATA는 비 Windows 및 모바일 디바이스를 포함하여 Active Directory에 대한 인증 및 권한 부여 요청을 수행하는 네트워크의 모든 디바이스를 모니터링합니다.

ATA는 컴퓨터 계정과 사용자 계정을 모니터링하나요?

예. 컴퓨터 계정(및 기타 엔터티)을 사용하여 악의적인 활동을 수행할 수 있으므로 ATA는 모든 컴퓨터 계정 동작 및 환경의 다른 모든 엔터티를 모니터링합니다.

ATA에서 다중 기본 및 다중 포리스트를 지원할 수 있나요?

Microsoft Advanced Threat Analytics는 동일한 포리스트 경계 내에서 다중 기본 환경을 지원합니다. 여러 포리스트에는 각 포리스트에 대한 ATA 배포가 필요합니다.

배포의 전반적인 상태를 볼 수 있나요?

예, 구성, 연결 등과 관련된 특정 문제뿐만 아니라 배포의 전반적인 상태를 볼 수 있으며 발생 시 경고가 표시됩니다.