Editar

Partilhar via


Perguntas frequentes sobre o ATA

Aplica-se a: Advanced Threat Analytics versão 1.9

Este artigo fornece uma lista de perguntas frequentes sobre o ATA e fornece informações e respostas.

Onde posso obter uma licença para Advanced Threat Analytics (ATA)?

Se tiver um Enterprise Agreement ativo, pode transferir o software a partir do Centro de Licenciamento por Volume da Microsoft (VLSC).

Se adquiriu uma licença para o Enterprise Mobility + Security (EMS) diretamente através do portal do Microsoft 365 ou através do modelo de licenciamento do Cloud Solution Partner (CSP) e não tem acesso ao ATA através do Centro de Licenciamento por Volume da Microsoft (VLSC), contacte o Suporte ao Cliente da Microsoft para obter o processo de ativação do Advanced Threat Analytics (ATA).

O que devo fazer se o ATA Gateway não iniciar?

Observe o erro mais recente no log de erros atual (onde o ATA está instalado na pasta "Logs").

Como posso testar o ATA?

Você pode simular atividades suspeitas, que é um teste de ponta a ponta, seguindo um destes procedimentos:

  1. Reconhecimento de DNS usando Nslookup.exe
  2. Execução remota usando psexec.exe

Isso precisa ser executado remotamente no controlador de domínio que está sendo monitorado e não no Gateway ATA.

Qual compilação do ATA corresponde a cada versão?

Para obter informações sobre a atualização de versão, consulte Caminho de atualização do ATA.

Qual versão devo usar para atualizar minha implantação atual do ATA para a versão mais recente?

Para obter a matriz de atualização da versão do ATA, consulte Caminho de atualização do ATA.

Como o ATA Center atualiza suas assinaturas mais recentes?

O mecanismo de deteção do ATA é aprimorado quando uma nova versão é instalada no Centro do ATA. Você pode atualizar o Centro usando o Microsoft Update (MU) ou baixando manualmente a nova versão do Centro de Download ou do Site de Licença por Volume.

Como verifico o Reencaminhamento de Eventos do Windows?

Você pode colocar o seguinte código em um arquivo e, em seguida, executá-lo a partir de um prompt de comando no diretório: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin da seguinte maneira:

mongo.exe Nome do arquivo ATA

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

O ATA funciona com tráfego criptografado?

O ATA depende da análise de vários protocolos de rede, bem como de eventos coletados do SIEM ou por meio do Encaminhamento de Eventos do Windows. As deteções baseadas em protocolos de rede com tráfego criptografado (por exemplo, LDAPS e IPSEC) não serão analisadas.

A ATA funciona com a Kerberos Armoring?

A habilitação da Blindagem Kerberos, também conhecida como FAST (Flexible Authentication Secure Tunneling), é suportada pelo ATA, com exceção da deteção de hash que não funcionará.

De quantos gateways ATA preciso?

O número de Gateways ATA depende do layout da rede, do volume de pacotes e do volume de eventos capturados pelo ATA. Para determinar o número exato, consulte Dimensionamento do ATA Lightweight Gateway.

De quanto armazenamento necessito para ATA?

Para cada dia inteiro com uma média de 1000 pacotes/seg, você precisa de 0,3 GB de armazenamento. Para obter mais informações sobre o dimensionamento do ATA Center, consulte Planejamento de capacidade do ATA.

Por que certas contas são consideradas sensíveis?

Isso acontece quando uma conta é membro de determinados grupos que designamos como confidenciais (por exemplo: "Administradores de Domínio").

Para entender por que uma conta é confidencial, você pode revisar sua associação ao grupo para entender a quais grupos confidenciais ela pertence (o grupo ao qual ela pertence também pode ser sensível devido a outro grupo, portanto, o mesmo processo deve ser executado até localizar o grupo confidencial de nível mais alto).

Além disso, você pode marcar manualmente um usuário, grupo ou computador como confidencial. Para obter mais informações, consulte Marcar contas confidenciais.

Como faço para monitorar um controlador de domínio virtual usando ATA?

A maioria dos controladores de domínio virtual pode ser coberta pelo ATA Lightweight Gateway, para determinar se o ATA Lightweight Gateway é apropriado para seu ambiente, consulte Planejamento de capacidade do ATA.

Se um controlador de domínio virtual não puder ser coberto pelo ATA Lightweight Gateway, você poderá ter um Gateway ATA virtual ou físico, conforme descrito em Configurar espelhamento de porta.

A maneira mais fácil é ter um gateway ATA virtual em cada host onde existe um controlador de domínio virtual. Se os controladores de domínio virtual se moverem entre hosts, você precisará executar uma das seguintes etapas:

  • Quando o controlador de domínio virtual for movido para outro host, pré-configure o Gateway ATA nesse host para receber o tráfego do controlador de domínio virtual movido recentemente.
  • Certifique-se de afiliar o Gateway ATA virtual ao controlador de domínio virtual para que, se ele for movido, o Gateway ATA seja movido com ele.
  • Existem alguns comutadores virtuais que podem enviar tráfego entre hosts.

Como faço backup do ATA?

Consulte a recuperação de desastres do ATA

O que o ATA pode detetar?

O ATA deteta técnicas e ataques mal-intencionados conhecidos, problemas de segurança e riscos. Para obter a lista completa de deteções do ATA, consulte Que deteções o ATA executa?.

De que tipo de armazenamento necessito para o ATA?

Recomendamos armazenamento rápido (discos de 7200 RPM não são recomendados) com acesso a disco de baixa latência (menos de 10 ms). A configuração RAID deve suportar cargas de gravação pesadas (RAID-5/6 e seus derivados não são recomendados).

Quantas NICs o ATA Gateway exige?

O Gateway ATA precisa de um mínimo de dois adaptadores de rede:
1. Uma NIC para se conectar à rede interna e ao Centro ATA
2. Uma NIC usada para capturar o tráfego de rede do controlador de domínio por meio do espelhamento de portas.
* Isso não se aplica ao ATA Lightweight Gateway, que usa nativamente todos os adaptadores de rede que o controlador de domínio usa.

Que tipo de integração a ATA tem com os SIEMs?

O ATA tem uma integração bidirecional com SIEMs da seguinte forma:

  1. O ATA pode ser configurado para enviar um alerta Syslog para qualquer servidor SIEM usando o formato CEF, quando uma atividade suspeita é detetada.
  2. O ATA pode ser configurado para receber mensagens Syslog para eventos do Windows desses SIEMs.

O ATA pode monitorar controladores de domínio virtualizados em sua solução IaaS?

Sim, você pode usar o ATA Lightweight Gateway para monitorar controladores de domínio que estão em qualquer solução IaaS.

Esta é uma oferta local ou na nuvem?

O Microsoft Advanced Threat Analytics é um produto local.

Isso fará parte do Microsoft Entra ID ou do Ative Directory local?

Esta solução é atualmente uma oferta autónoma — não faz parte do Microsoft Entra ID nem do Ative Directory local.

Tem de escrever as suas próprias regras e criar um limite/linha de base?

Com o Microsoft Advanced Threat Analytics, não há necessidade de criar regras, limites ou linhas de base e, em seguida, ajustar. O ATA analisa os comportamentos entre usuários, dispositivos e recursos, bem como seu relacionamento entre si, e pode detetar atividades suspeitas e ataques conhecidos rapidamente. Três semanas após a implantação, o ATA começa a detetar atividades comportamentais suspeitas. Por outro lado, o ATA começará a detetar ataques mal-intencionados conhecidos e problemas de segurança imediatamente após a implantação.

Se você já tiver sido violado, o Microsoft Advanced Threat Analytics pode identificar um comportamento anormal?

Sim, mesmo quando o ATA é instalado depois de ter sido violado, o ATA ainda pode detetar atividades suspeitas do hacker. O ATA não está apenas olhando para o comportamento do usuário, mas também em relação aos outros usuários no mapa de segurança da organização. Durante o tempo de análise inicial, se o comportamento do atacante for anormal, então ele é identificado como um "outlier" e a ATA continua relatando o comportamento anormal. Além disso, o ATA pode detetar a atividade suspeita se o hacker tentar roubar credenciais de outros usuários, como Pass-the-Ticket, ou tentar executar uma execução remota em um dos controladores de domínio.

Isso aproveita apenas o tráfego do Ative Directory?

Além de analisar o tráfego do Ative Directory usando a tecnologia de inspeção profunda de pacotes, o ATA também pode coletar eventos relevantes do SIEM (Gerenciamento de Informações de Segurança e Eventos) e criar perfis de entidade com base nas informações dos Serviços de Domínio Ative Directory. O ATA também pode coletar eventos dos logs de eventos se a organização configurar o encaminhamento do Log de Eventos do Windows.

O que é espelhamento de porta?

Também conhecido como SPAN (Switched Port Analyzer), o espelhamento de portas é um método de monitoramento do tráfego de rede. Com o espelhamento de porta habilitado, o switch envia uma cópia de todos os pacotes de rede vistos em uma porta (ou uma VLAN inteira) para outra porta, onde o pacote pode ser analisado.

O ATA monitora apenas dispositivos que ingressaram no domínio?

Não O ATA monitora todos os dispositivos na rede executando solicitações de autenticação e autorização no Ative Directory, incluindo dispositivos móveis e não Windows.

O ATA monitoriza contas de computador, bem como contas de utilizador?

Sim. Como as contas de computador (bem como quaisquer outras entidades) podem ser usadas para executar atividades maliciosas, o ATA monitora o comportamento de todas as contas de computador e todas as outras entidades no ambiente.

O ATA pode suportar multidomínios e várias florestas?

O Microsoft Advanced Threat Analytics oferece suporte a ambientes de vários domínios dentro do mesmo limite de floresta. Várias florestas exigem uma implantação de ATA para cada floresta.

Você consegue ver a integridade geral da implantação?

Sim, você pode visualizar a integridade geral da implantação, bem como problemas específicos relacionados à configuração, conectividade, etc., e você será alertado à medida que eles ocorrem.