ATA'ya sık sorulan sorular

Etkin bir Kurumsal Anlaşma varsa, yazılımı Microsoft Toplu Lisanslama Merkezi'nden (VLSC) indirebilirsiniz.

Enterprise Mobility + Security (EMS) için doğrudan Microsoft 365 portalı veya Bulut Çözümü İş Ortağı (CSP) lisans modeli aracılığıyla bir lisans aldıysanız ve Microsoft Toplu LisansLama Merkezi (VLSC) üzerinden ATA'ya erişiminiz yoksa, Gelişmiş Tehdit Analizi'ni (ATA) etkinleştirme işlemini almak için Microsoft Müşteri Desteği'ne başvurun.

Geçerli hata günlüğündeki en son hataya bakın (ATA'nın "Günlükler" klasörü altında yüklü olduğu yer).

Aşağıdakilerden birini yaparak uçtan uca test olan şüpheli etkinliklerin simülasyonunu yapabilirsiniz:

1. Nslookup.exe kullanarak DNS keşfi
2. psexec.exe kullanarak uzaktan yürütme

Bunun, ATA Gateway'den değil, izlenen etki alanı denetleyicisine karşı uzaktan çalıştırılması gerekir.

Sürüm yükseltme bilgileri için bkz . ATA yükseltme yolu.

ATA sürüm yükseltme matrisi için bkz . ATA yükseltme yolu.

ATA Center'a yeni bir sürüm yüklendiğinde ATA algılama mekanizması geliştirilir. Microsoft Update 'i (MU) kullanarak veya yeni sürümü İndirme Merkezi'nden veya Toplu Lisans Sitesi'nden el ile indirerek Merkezi yükseltebilirsiniz.

Aşağıdaki kodu bir dosyaya yerleştirip dizindeki bir komut isteminden yürütebilirsiniz: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin :

mongo.exe ATA dosya adı

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA, SIEM'den veya Windows Olay İletme aracılığıyla toplanan olayların yanı sıra birden çok ağ protokollerini analiz etme konusunda dayanır. Şifrelenmiş trafiğe sahip ağ protokollerini temel alan algılamalar (örneğin, LDAPS ve IPSEC) analiz edilmeyecektir.

Esnek Kimlik Doğrulama Güvenli Tüneli (FAST) olarak da bilinen Kerberos Koruması'nın etkinleştirilmesi, ata tarafından desteklenir ve karma algılamanın aşırı geçirilmesi dışında çalışmaz.

ATA Gateway sayısı, ağ düzeninize, paket hacmine ve ATA tarafından yakalanan olayların hacmine bağlıdır. Tam sayıyı belirlemek için bkz . ATA Lightweight Gateway Boyutlandırma.

Ortalama 1000 paket/sn ile her tam gün için 0,3 GB depolama alanı gerekir. ATA Center boyutlandırması hakkında daha fazla bilgi için bkz . ATA Kapasite Planlaması.

Bu durum, bir hesap hassas olarak belirttiğimiz (örneğin, "Etki alanı Yönetici") belirli grupların üyesi olduğunda gerçekleşir.

Bir hesabın neden hassas olduğunu anlamak için grup üyeliğini gözden geçirerek hangi hassas gruplara ait olduğunu anlayabilirsiniz (ait olduğu grup başka bir grup nedeniyle de hassas olabilir, bu nedenle en üst düzey hassas grubu bulana kadar aynı işlem gerçekleştirilmelidir).

Ayrıca, bir kullanıcıyı, grubu veya bilgisayarı hassas olarak el ile etiketleyebilirsiniz. Daha fazla bilgi için bkz . Hassas hesapları etiketleme.

Çoğu sanal etki alanı denetleyicisi ATA Lightweight Gateway kapsamında olabilir. ATA Lightweight Gateway'in ortamınıza uygun olup olmadığını belirlemek için bkz . ATA Kapasite Planlaması.

Bir sanal etki alanı denetleyicisi ATA Lightweight Gateway kapsamında değilse, Bağlantı noktası yansıtmayı yapılandırma bölümünde açıklandığı gibi bir sanal veya fiziksel ATA Gateway'e sahip olabilirsiniz.

En kolay yol, sanal etki alanı denetleyicisinin bulunduğu her konakta bir sanal ATA Gateway'e sahip olmaktır. Sanal etki alanı denetleyicileriniz konaklar arasında hareket ederse aşağıdaki adımlardan birini gerçekleştirmeniz gerekir:

• Sanal etki alanı denetleyicisi başka bir konağa taşındığında, yakın zamanda taşınan sanal etki alanı denetleyicisinden gelen trafiği almak için bu konaktaki ATA Gateway'i önceden yapılandırın.
• Sanal ATA Gateway'i sanal etki alanı denetleyicisiyle ilişkilendirdiğinizden emin olun; böylece taşınırsa ATA Gateway de onunla birlikte taşınır.
• Konaklar arasında trafik gönderebilen bazı sanal anahtarlar vardır.

ATA olağanüstü durum kurtarma bölümüne bakın

ATA bilinen kötü amaçlı saldırıları ve teknikleri, güvenlik sorunlarını ve riskleri algılar. ATA algılamalarının tam listesi için bkz . ATA hangi algılamaları gerçekleştirir?.

Düşük gecikme süreli disk erişimine (10 ms'den az) sahip hızlı depolama (7200 RPM diskler önerilmez) önerilir. RAID yapılandırması ağır yazma yüklerini desteklemelidir (RAID-5/6 ve türevleri önerilmez).

ATA Gateway için en az iki ağ bağdaştırıcısı gerekir:
1. İç ağa ve ATA Center'a bağlanmak için NIC
2. Bağlantı noktası yansıtma yoluyla etki alanı denetleyicisi ağ trafiğini yakalamak için kullanılan bir NIC.
* Bu, etki alanı denetleyicisinin kullandığı tüm ağ bağdaştırıcılarını yerel olarak kullanan ATA Lightweight Gateway için geçerli değildir.

ATA, SIEM'lerle aşağıdaki gibi çift yönlü bir tümleştirmeye sahiptir:

1. ATA, şüpheli bir etkinlik algılandığında CEF biçimini kullanarak herhangi bir SIEM sunucusuna Syslog uyarısı gönderecek şekilde yapılandırılabilir.
2. ATA, bu SIEM'lerden Windows olayları için Syslog iletileri alacak şekilde yapılandırılabilir.

Evet, herhangi bir IaaS çözümündeki etki alanı denetleyicilerini izlemek için ATA Lightweight Gateway'i kullanabilirsiniz.

Microsoft Advanced Threat Analytics, şirket içi bir üründür.

Bu çözüm şu anda tek başına bir tekliftir; Microsoft Entra Id veya şirket içi Active Directory'nin bir parçası değildir.

Microsoft Advanced Threat Analytics ile kurallar, eşikler veya temeller oluşturmanıza ve ardından ince ayar yapmanıza gerek yoktur. ATA, kullanıcılar, cihazlar ve kaynaklar arasındaki davranışları ve bunların birbiriyle ilişkilerini analiz eder ve şüpheli etkinlikleri ve bilinen saldırıları hızla algılayabilir. Dağıtımdan üç hafta sonra ATA, davranışsal şüpheli etkinlikleri algılamaya başlar. Öte yandan, ATA bilinen kötü amaçlı saldırıları ve güvenlik sorunlarını dağıtımdan hemen sonra algılamaya başlar.

Evet, siz ihlal edildikten sonra ATA yüklendiğinde bile, ATA yine de korsanın şüpheli etkinliklerini algılayabilir. ATA yalnızca kullanıcının davranışına değil, aynı zamanda kuruluş güvenlik haritasındaki diğer kullanıcılara karşı da bakar. İlk çözümleme sırasında, saldırganın davranışı anormalse, "aykırı" olarak tanımlanır ve ATA anormal davranışı raporlamaya devam eder. Buna ek olarak, bilgisayar korsanı Anahtar Geçişi gibi başka bir kullanıcı kimlik bilgilerini çalmaya çalışırsa veya etki alanı denetleyicilerinden birinde uzaktan yürütme gerçekleştirmeye çalışırsa, ATA şüpheli etkinliği algılayabilir.

ATA, derin paket inceleme teknolojisini kullanarak Active Directory trafiğini analiz etmeye ek olarak, Güvenlik Bilgileri ve Olay Yönetimi (SIEM) hizmetinizden ilgili olayları toplayabilir ve Active Directory Etki Alanı Hizmetleri'nden alınan bilgilere göre varlık profilleri oluşturabilir. Kuruluş Windows Olay Günlüğü iletmeyi yapılandırırsa, ATA olay günlüklerinden olayları da toplayabilir.

SPAN (Anahtarlı Bağlantı Noktası Çözümleyicisi) olarak da bilinen bağlantı noktası yansıtma, ağ trafiğini izleme yöntemidir. Bağlantı noktası yansıtma etkinleştirildiğinde anahtar, bir bağlantı noktasında (veya VLAN'ın tamamında) görülen tüm ağ paketlerinin bir kopyasını paketin analiz edilebileceği başka bir bağlantı noktasına gönderir.

Hayır. ATA, Windows dışı cihazlar ve mobil cihazlar da dahil olmak üzere Active Directory'de kimlik doğrulaması ve yetkilendirme istekleri gerçekleştiren ağdaki tüm cihazları izler.

Evet. Bilgisayar hesapları (ve diğer varlıklar) kötü amaçlı etkinlikler gerçekleştirmek için kullanılabildiğinden, ATA tüm bilgisayar hesaplarının davranışını ve ortamdaki diğer tüm varlıkları izler.

Microsoft Advanced Threat Analytics, aynı orman sınırı içindeki çok etki alanılı ortamları destekler. Birden çok orman, her orman için bir ATA dağıtımı gerektirir.

Evet, dağıtımın genel durumunu ve yapılandırma, bağlantı vb. ile ilgili belirli sorunları görüntüleyebilirsiniz ve oluştukları anda uyarı alırsınız.

Ayrıca bkz:

• ATA önkoşulları
• ATA kapasite planlaması
• Olay koleksiyonunu yapılandırma
• Windows olay iletmeyi yapılandırma
• ATA forumunu inceleyin!