A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Ez a cikk az ATA-ra vonatkozó gyakori kérdések listáját, valamint megállapításokat és válaszokat tartalmaz.
Hol szerezhetek licencet az Advanced Threat Analyticshez (ATA)?
Ha aktív Nagyvállalati Szerződés rendelkezik, letöltheti a szoftvert a Microsoft mennyiségi licencelési központjából (VLSC).
Ha Enterprise Mobility + Security (EMS) licencét közvetlenül a Microsoft 365 portálon vagy a felhőszolgáltatói partner (CSP) licencelési modelljén keresztül szerezte be, és nem rendelkezik hozzáféréssel az ATA-hoz a Microsoft mennyiségi licencelési központon (VLSC) keresztül, lépjen kapcsolatba a Microsoft ügyfélszolgálatával az Advanced Threat Analytics (ATA) aktiválási folyamatának beszerzéséhez.
Mi a teendő, ha az ATA-átjáró nem indul el?
Tekintse meg a legutóbbi hibát az aktuális hibanaplóban (ahol az ATA telepítve van a "Naplók" mappában).
Hogyan tesztelhetem az ATA-t?
Az alábbi műveletek egyikével szimulálhatja a gyanús tevékenységeket, amelyek teljes körű tesztelést tesznek lehetővé:
- DNS-felderítés Nslookup.exe használatával
- Távoli végrehajtás a psexec.exe használatával
Ennek távolról kell futnia a figyelt tartományvezérlőn, nem pedig az ATA-átjárón.
Melyik ATA-build felel meg az egyes verzióknak?
A verziófrissítéssel kapcsolatos információkért lásd: Az ATA frissítési útvonala.
Melyik verziót kell használnom az ATA jelenlegi üzemelő példányának legújabb verzióra való frissítéséhez?
Az ATA verziófrissítési mátrixát lásd: Az ATA frissítési útvonala.
Hogyan frissíti az ATA-központ a legújabb aláírásait?
Az ATA észlelési mechanizmusa akkor továbbfejlesztett, ha új verziót telepít az ATA-központba. A Központot frissítheti a Microsoft Update (MU) használatával, vagy manuálisan is letöltheti az új verziót a letöltőközpontból vagy a mennyiségi licenccel rendelkező webhelyről.
Hogyan windowsos eseménytovábbítás ellenőrzése?
A következő kódot elhelyezheti egy fájlban, majd végrehajthatja egy parancssorból a könyvtárban: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin az alábbiak szerint:
mongo.exe ATA-fájlnév
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
Működik az ATA titkosított forgalommal?
Az ATA több hálózati protokoll elemzésére, valamint az SIEM-ből vagy a Windows eseménytovábbításán keresztül gyűjtött események elemzésére támaszkodik. A titkosított forgalmat (például LDAPS és IPSEC) tartalmazó hálózati protokollokon alapuló észlelések nem lesznek elemezve.
Működik az ATA a Kerberos-védelemmel?
Az ATA támogatja a Kerberos Armoring, más néven a rugalmas hitelesítés biztonságos bújtatásának (FAST) engedélyezését, kivéve a kivonatészlelést, amely nem fog működni.
Hány ATA-átjáróra van szükségem?
Az ATA-átjárók száma a hálózati elrendezéstől, a csomagok mennyiségétől és az ATA által rögzített események mennyiségétől függ. A pontos szám meghatározásához lásd: Egyszerűsített ATA-átjáró méretezése.
Mennyi tárterületre van szükségem az ATA-hoz?
Az átlagosan 1000 csomag/másodperces napi átlagos kapacitáshoz 0,3 GB tárterületre van szükség. További információ az ATA-központ méretezéséről: Az ATA kapacitástervezése.
Miért számítanak bizonyos fiókok bizalmasnak?
Ez akkor fordul elő, ha egy fiók olyan csoportok tagja, amelyeket bizalmasként jelölünk meg (például"Tartományi rendszergazdák").
Ha meg szeretné érteni, hogy egy fiók miért bizalmas, tekintse át a csoporttagságát, hogy megértse, melyik bizalmas csoporthoz tartozik (a csoport, amelyhez tartozik, egy másik csoport miatt is bizalmas lehet, ezért ugyanazt a folyamatot kell végrehajtani, amíg meg nem találja a legmagasabb szintű bizalmas csoportot).
Emellett manuálisan is megjelölhet egy felhasználót, csoportot vagy számítógépet bizalmasként. További információ: Bizalmas fiókok címkézése.
Hogyan monitorozni egy virtuális tartományvezérlőt az ATA használatával?
A legtöbb virtuális tartományvezérlőt lefedheti az egyszerűsített ATA-átjáró. Annak megállapításához, hogy az egyszerűsített ATA-átjáró megfelel-e a környezetének, tekintse meg az ATA kapacitástervezését.
Ha egy virtuális tartományvezérlőt nem tud lefedni az egyszerűsített ATA-átjáró, rendelkezhet virtuális vagy fizikai ATA-átjáróval a Porttükrözés konfigurálása című cikkben leírtak szerint.
A legegyszerűbb módszer, ha minden gazdagépen rendelkezik virtuális ATA-átjáróval, ahol virtuális tartományvezérlő található. Ha a virtuális tartományvezérlők a gazdagépek között mozognak, az alábbi lépések egyikét kell végrehajtania:
- Amikor a virtuális tartományvezérlő egy másik gazdagépre kerül, konfigurálja előre az adott gazdagépen lévő ATA-átjárót, hogy fogadja a forgalmat a nemrég áthelyezett virtuális tartományvezérlőről.
- Győződjön meg arról, hogy társította a virtuális ATA-átjárót a virtuális tartományvezérlővel, hogy áthelyezés esetén az ATA-átjáró vele együtt mozogjon.
- Vannak olyan virtuális kapcsolók, amelyek képesek forgalmat küldeni a gazdagépek között.
Hogyan biztonsági másolatot az ATA-ról?
Mit észlel az ATA?
Az ATA észleli az ismert rosszindulatú támadásokat és technikákat, biztonsági problémákat és kockázatokat. Az ATA-észlelések teljes listájáért lásd: Milyen észleléseket végez az ATA?.
Milyen típusú tárhelyre van szükségem az ATA-hoz?
Gyors tárolást (7200 RPM-lemez használata nem ajánlott) alacsony késésű (10 ms-nál kisebb) lemezhozzáférés ajánlott. A RAID-konfigurációnak támogatnia kell a nagy írási terhelést (a RAID-5/6 és származékai nem ajánlottak).
Hány hálózati adapterre van szükség az ATA-átjáróhoz?
Az ATA-átjárónak legalább két hálózati adapterre van szüksége:
1. Hálózati adapter a belső hálózathoz és az ATA-központhoz való csatlakozáshoz
2. Egy hálózati adapter, amely porttükrözéssel rögzíti a tartományvezérlő hálózati forgalmát.
* Ez nem vonatkozik az egyszerűsített ATA-átjáróra, amely natív módon használja a tartományvezérlő által használt összes hálózati adaptert.
Milyen típusú integrációval rendelkezik az ATA a SIEM-ekkel?
Az ATA kétirányú integrációval rendelkezik a SIEM-ekkel az alábbiak szerint:
- Az ATA konfigurálható úgy, hogy gyanús tevékenység észlelésekor syslog-riasztást küldjön bármely SIEM-kiszolgálóra CEF formátumban.
- Az ATA konfigurálható úgy, hogy syslog-üzeneteket fogadjon a Windows-eseményekhez ezekről a SIEM-ekről.
Képes az ATA monitorozni az IaaS-megoldáson virtualizált tartományvezérlőket?
Igen, az egyszerűsített ATA-átjáróval figyelheti a bármely IaaS-megoldásban található tartományvezérlőket.
Helyszíni vagy felhőbeli ajánlatról van szó?
A Microsoft Advanced Threat Analytics egy helyszíni termék.
Ez Microsoft Entra ID vagy helyi Active Directory része lesz?
Ez a megoldás jelenleg önálló ajánlat – nem része Microsoft Entra ID vagy helyi Active Directory.
Meg kell írnia a saját szabályait, és létre kell hoznia egy küszöbértéket/alapkonfigurációt?
A Microsoft Advanced Threat Analytics használatával nincs szükség szabályok, küszöbértékek vagy alapkonfigurációk létrehozására, majd finomhangolására. Az ATA elemzi a felhasználók, eszközök és erőforrások viselkedését, valamint az egymáshoz való viszonyukat, és gyorsan észleli a gyanús tevékenységeket és az ismert támadásokat. Az üzembe helyezés után három héttel az ATA elkezdi észlelni a viselkedési gyanús tevékenységeket. Az ATA viszont közvetlenül az üzembe helyezés után megkezdi az ismert rosszindulatú támadások és biztonsági problémák észlelését.
Ha már megsértették, azonosíthatja a Microsoft Advanced Threat Analytics a rendellenes viselkedést?
Igen, az ATA akkor is képes észlelni a támadó gyanús tevékenységeit, ha az ATA-t a behatolás után telepítik. Az ATA nemcsak a felhasználó viselkedését vizsgálja, hanem a szervezet biztonsági térképének többi felhasználójával szemben is. A kezdeti elemzés során, ha a támadó viselkedése rendellenes, akkor a rendszer "kiugró"ként azonosítja, és az ATA folyamatosan jelentést készít a rendellenes viselkedésről. Emellett az ATA észlelni tudja a gyanús tevékenységet, ha a hacker megpróbál ellopni egy másik felhasználó hitelesítő adatait, például a Pass-the-Ticketot, vagy távoli végrehajtást kísérel meg végrehajtani az egyik tartományvezérlőn.
Ez csak az Active Directoryból érkező forgalmat használja?
Az Active Directory-forgalom mély csomagvizsgálati technológiával történő elemzése mellett az ATA összegyűjtheti a releváns eseményeket a Biztonsági információk és események kezelése (SIEM) szolgáltatásból, és entitásprofilokat hozhat létre Active Directory tartományi szolgáltatások információi alapján. Az ATA akkor is gyűjthet eseményeket az eseménynaplókból, ha a szervezet konfigurálja a Windows eseménynapló-továbbítást.
Mi az a porttükrözés?
A porttükrözés a hálózati forgalom figyelésére szolgáló módszer, más néven SPAN (Switched Port Analyzer). Ha a porttükrözés engedélyezve van, a kapcsoló elküldi az egyik porton (vagy egy teljes VLAN-on) látható összes hálózati csomag másolatát egy másik portra, ahol a csomag elemezhető.
Az ATA csak a tartományhoz csatlakoztatott eszközöket figyeli?
Nem. Az ATA a hálózat összes eszközét figyeli, amely hitelesítési és engedélyezési kéréseket hajt végre az Active Directoryn, beleértve a nem Windows- és mobileszközöket is.
Az ATA figyeli a számítógépfiókokat és a felhasználói fiókokat?
Igen, Mivel a számítógépfiókok (és más entitások) rosszindulatú tevékenységek végrehajtására is használhatók, az ATA figyeli a számítógépfiókok viselkedését és a környezetben lévő összes többi entitást.
Támogatja az ATA a többtartományos és a többerdős környezeteket?
A Microsoft Advanced Threat Analytics támogatja a többtartományos környezeteket ugyanazon az erdőhatáron belül. Több erdő esetén minden erdőhöz szükség van egy ATA-telepítésre.
Látja az üzembe helyezés általános állapotát?
Igen, megtekintheti az üzemelő példány általános állapotát, valamint a konfigurációval, a kapcsolattal stb. kapcsolatos konkrét problémákat, és riasztást kap azok bekövetkezésekor.