Van toepassing op: Advanced Threat Analytics versie 1.9
Dit artikel bevat een lijst met veelgestelde vragen over ATA en biedt inzicht en antwoorden.
Waar kan ik een licentie krijgen voor Advanced Threat Analytics (ATA)?
Als u een actieve Enterprise Overeenkomst hebt, kunt u de software downloaden via het Microsoft Volume Licensing Center (VLSC).
Als u rechtstreeks via de Microsoft 365-portal of via het CSP-licentiemodel (Cloud Solution Partner) een licentie voor Enterprise Mobility + Security (EMS) hebt verkregen en u geen toegang hebt tot ATA via het Microsoft Volume Licensing Center (VLSC), neemt u contact op met de klantondersteuning van Microsoft om het proces te verkrijgen voor het activeren van Advanced Threat Analytics (ATA).
Wat moet ik doen als de ATA Gateway niet wordt gestart?
Bekijk de meest recente fout in het huidige foutenlogboek (waar ATA is geïnstalleerd onder de map Logboeken).
Hoe kan ik ATA testen?
U kunt verdachte activiteiten simuleren die een end-to-end-test zijn door een van de volgende handelingen uit te voeren:
- DNS-reconnaissance met behulp van Nslookup.exe
- Externe uitvoering met behulp van psexec.exe
Dit moet extern worden uitgevoerd op de domeincontroller die wordt bewaakt en niet vanuit de ATA Gateway.
Welke ATA-build komt overeen met elke versie?
Zie ATA-upgradepad voor informatie over de versie-upgrade.
Welke versie moet ik gebruiken om mijn huidige ATA-implementatie bij te werken naar de nieuwste versie?
Hoe werkt ATA Center de meest recente handtekeningen bij?
Het ATA-detectiemechanisme wordt uitgebreid wanneer er een nieuwe versie is geïnstalleerd in het ATA Center. U kunt het Centrum upgraden met behulp van Microsoft Update (MU) of door de nieuwe versie handmatig te downloaden van downloadcentrum of volumelicentiesite.
Hoe kan ik Windows Event Forwarding controleren?
U kunt de volgende code in een bestand plaatsen en deze vervolgens als volgt uitvoeren vanuit een opdrachtprompt in de map: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin :
mongo.exe ATA-bestandsnaam
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
Werkt ATA met versleuteld verkeer?
ATA is afhankelijk van het analyseren van meerdere netwerkprotocollen, evenals gebeurtenissen die zijn verzameld van de SIEM of via Windows Event Forwarding. Detecties op basis van netwerkprotocollen met versleuteld verkeer (bijvoorbeeld LDAPS en IPSEC) worden niet geanalyseerd.
Werkt ATA met Kerberos Armoring?
Het inschakelen van Kerberos Armoring, ook wel bekend als Flexible Authentication Secure Tunneling (FAST), wordt ondersteund door ATA, met uitzondering van over-pass-de hash-detectie die niet werkt.
Hoeveel ATA Gateways heb ik nodig?
Het aantal ATA Gateways is afhankelijk van uw netwerkindeling, het volume van pakketten en het volume van gebeurtenissen die zijn vastgelegd door ATA. Als u het exacte getal wilt bepalen, raadpleegt u de grootte van de ATA Lightweight-gateway.
Hoeveel opslagruimte heb ik nodig voor ATA?
Voor elke volledige dag met gemiddeld 1000 pakketten per seconde hebt u 0,3 GB opslagruimte nodig. Zie ATA Capacity Planning voor meer informatie over de grootte van ATA Center.
Waarom worden bepaalde accounts als gevoelig beschouwd?
Dit gebeurt wanneer een account lid is van bepaalde groepen die we als gevoelig aanwijzen (bijvoorbeeld: 'Domein Beheer s').
Als u wilt weten waarom een account gevoelig is, kunt u het groepslidmaatschap controleren om te begrijpen tot welke gevoelige groepen het behoort (de groep waartoe het behoort, kan ook gevoelig zijn vanwege een andere groep, dus hetzelfde proces moet worden uitgevoerd totdat u de meest gevoelige groep op het hoogste niveau hebt gevonden).
Daarnaast kunt u handmatig een gebruiker, groep of computer taggen als gevoelig. Zie Gevoelige accounts taggen voor meer informatie.
Hoe kan ik een virtuele domeincontroller bewaken met behulp van ATA?
De meeste virtuele domeincontrollers kunnen worden gedekt door de ATA Lightweight-gateway om te bepalen of de ATA Lightweight-gateway geschikt is voor uw omgeving. Zie ATA Capacity Planning.
Als een virtuele domeincontroller niet kan worden gedekt door de ATA Lightweight-gateway, kunt u een virtuele of fysieke ATA-gateway hebben, zoals beschreven in Poortspiegeling configureren.
De eenvoudigste manier is om een virtuele ATA Gateway te hebben op elke host waar een virtuele domeincontroller bestaat. Als uw virtuele domeincontrollers schakelen tussen hosts, moet u een van de volgende stappen uitvoeren:
- Wanneer de virtuele domeincontroller naar een andere host wordt verplaatst, configureert u de ATA Gateway in die host vooraf om het verkeer van de onlangs verplaatste virtuele domeincontroller te ontvangen.
- Zorg ervoor dat u de virtuele ATA Gateway aan de virtuele domeincontroller hebt gekoppeld, zodat de ATA-gateway ermee wordt verplaatst als deze wordt verplaatst.
- Er zijn enkele virtuele switches die verkeer tussen hosts kunnen verzenden.
Hoe kan ik een back-up maken van ATA?
Wat kan ATA detecteren?
ATA detecteert bekende aanvallen en technieken, beveiligingsproblemen en risico's. Zie Welke detecties worden uitgevoerd door ATA voor de volledige lijst met ATA-detecties.
Wat voor soort opslag heb ik nodig voor ATA?
We raden aan om snelle opslag (7200-RPM-schijven worden niet aanbevolen) met schijftoegang met lage latentie (minder dan 10 ms). De RAID-configuratie moet zware schrijfbelastingen ondersteunen (RAID-5/6 en hun derivaten worden niet aanbevolen).
Hoeveel NIC's heeft de ATA Gateway nodig?
De ATA Gateway heeft minimaal twee netwerkadapters nodig:
1. Een NIC om verbinding te maken met het interne netwerk en het ATA Center
2. Een NIC die wordt gebruikt om het netwerkverkeer van de domeincontroller vast te leggen via poortspiegeling.
* Dit geldt niet voor de ATA Lightweight-gateway, die systeemeigen alle netwerkadapters gebruikt die door de domeincontroller worden gebruikt.
Wat voor integratie heeft ATA met SIEM's?
ATA heeft als volgt een bidirectionele integratie met SIEM's:
- ATA kan worden geconfigureerd voor het verzenden van een Syslog-waarschuwing, naar elke SIEM-server met behulp van de CEF-indeling wanneer er een verdachte activiteit wordt gedetecteerd.
- ATA kan worden geconfigureerd voor het ontvangen van Syslog-berichten voor Windows-gebeurtenissen van deze SIEM's.
Kan ATA domeincontrollers bewaken die zijn gevirtualiseerd op uw IaaS-oplossing?
Ja, u kunt de ATA Lightweight-gateway gebruiken om domeincontrollers te bewaken die zich in elke IaaS-oplossing bevinden.
Is dit een on-premises of in-cloud-aanbieding?
Microsoft Advanced Threat Analytics is een on-premises product.
Maakt dit deel uit van Microsoft Entra ID of on-premises Active Directory?
Deze oplossing is momenteel een zelfstandig aanbod, maar maakt geen deel uit van Microsoft Entra ID of on-premises Active Directory.
Moet u uw eigen regels schrijven en een drempelwaarde/basislijn maken?
Met Microsoft Advanced Threat Analytics hoeft u geen regels, drempelwaarden of basislijnen te maken en vervolgens af te stemmen. ATA analyseert het gedrag tussen gebruikers, apparaten en resources, evenals hun relatie met elkaar, en kan verdachte activiteiten en bekende aanvallen snel detecteren. Drie weken na de implementatie begint ATA met het detecteren van verdachte gedragsactiviteiten. Aan de andere kant zal ATA beginnen met het detecteren van bekende schadelijke aanvallen en beveiligingsproblemen direct na de implementatie.
Als u al bent geschonden, kan Microsoft Advanced Threat Analytics abnormaal gedrag identificeren?
Ja, zelfs wanneer ATA is geïnstalleerd nadat u bent geschonden, kan ATA nog steeds verdachte activiteiten van de hacker detecteren. ATA kijkt niet alleen naar het gedrag van de gebruiker, maar ook naar de andere gebruikers in de beveiligingskaart van de organisatie. Als het gedrag van de aanvaller abnormaal is gedurende de eerste analysetijd, wordt het geïdentificeerd als een 'uitbijter' en blijft ATA rapporteren over het abnormale gedrag. Daarnaast kan ATA de verdachte activiteit detecteren als de hacker probeert andere gebruikersreferenties te stelen, zoals Pass-the-Ticket, of probeert een externe uitvoering uit te voeren op een van de domeincontrollers.
Maakt dit alleen gebruik van verkeer vanuit Active Directory?
Naast het analyseren van Active Directory-verkeer met behulp van deep packet inspection-technologie, kan ATA ook relevante gebeurtenissen verzamelen van uw SIEM (Security Information and Event Management) en entiteitsprofielen maken op basis van gegevens van Active Directory-domein Services. ATA kan ook gebeurtenissen uit de gebeurtenislogboeken verzamelen als de organisatie Doorsturen van Windows-gebeurtenislogboeken configureert.
Wat is poortspiegeling?
Ook wel bekend als SPAN (Switched Port Analyzer), poortspiegeling is een methode voor het bewaken van netwerkverkeer. Als poortspiegeling is ingeschakeld, verzendt de switch een kopie van alle netwerkpakketten die op de ene poort (of een volledig VLAN) worden gezien, naar een andere poort, waar het pakket kan worden geanalyseerd.
Bewaakt ATA alleen apparaten die lid zijn van een domein?
Nee ATA bewaakt alle apparaten in het netwerk die verificatie- en autorisatieaanvragen uitvoeren voor Active Directory, inclusief niet-Windows- en mobiele apparaten.
Controleert ATA computeraccounts en gebruikersaccounts?
Ja. Omdat computeraccounts (evenals andere entiteiten) kunnen worden gebruikt om schadelijke activiteiten uit te voeren, bewaakt ATA alle computeraccounts en alle andere entiteiten in de omgeving.
Kan ATA ondersteuning bieden voor meerdere domeinen en meerdere forests?
Microsoft Advanced Threat Analytics ondersteunt omgevingen met meerdere domeinen binnen dezelfde forestgrens. Voor meerdere forests is een ATA-implementatie vereist voor elk forest.
Ziet u de algehele status van de implementatie?
Ja, u kunt de algehele status van de implementatie bekijken, evenals specifieke problemen met betrekking tot configuratie, connectiviteit, enzovoort, en u wordt gewaarschuwd wanneer deze zich voordoen.