ATA に関してよく寄せられる質問

アクティブなEnterprise Agreementがある場合は、Microsoft ボリューム ライセンス センター (VLSC) からソフトウェアをダウンロードできます。

Microsoft 365 ポータルまたはクラウド ソリューション パートナー (CSP) ライセンス モデルを介して直接Enterprise Mobility + Security (EMS) のライセンスを取得し、Microsoft ボリューム ライセンス センター (VLSC) を介して ATA にアクセスできない場合は、Microsoft カスタマー サポートに問い合わせて Advanced Threat Analytics (ATA) をアクティブ化するプロセスを取得してください。

現在のエラー ログの最新のエラー (ATA が "ログ" フォルダーの下にインストールされている場所) を確認します。

次のいずれかの方法で、エンド ツー エンド テストである疑わしいアクティビティをシミュレートできます。

1. Nslookup.exe を使用した DNS 偵察
2. psexec.exe を使用したリモート実行

これは、ATA ゲートウェイからではなく、監視されているドメイン コントローラーに対してリモートで実行する必要があります。

バージョン アップグレードの情報については、「 ATA アップグレード パス」を参照してください。

ATA バージョンのアップグレード マトリックスについては、「 ATA アップグレード パス」を参照してください。

ATA 検出メカニズムは、新しいバージョンが ATA センターにインストールされると強化されます。 Microsoft Update (MU) を使用するか、ダウンロード センターまたはボリューム ライセンス サイトから新しいバージョンを手動でダウンロードして、センターをアップグレードできます。

次のコードをファイルに配置し、ディレクトリのコマンド プロンプトから実行できます: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin:

ATA ファイル名の mongo.exe

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA は、複数のネットワーク プロトコルと、SIEM または Windows イベント転送を介して収集されたイベントを分析することに依存しています。 暗号化されたトラフィック (LDAPS や IPSEC など) を持つネットワーク プロトコルに基づく検出は分析されません。

フレキシブル認証セキュア トンネリング (FAST) とも呼ばれる Kerberos Armoring の有効化は、ATA でサポートされています。ただし、ハッシュ検出が過剰に通過する場合は機能しません。

ATA ゲートウェイの数は、ネットワーク レイアウト、パケットの量、ATA によってキャプチャされたイベントの量によって異なります。 正確な数値を確認するには、「 ATA ライトウェイト ゲートウェイのサイズ設定」を参照してください。

平均 1,000 パケット/秒の 1 日ごとに、0.3 GB のストレージが必要です。 ATA センターのサイズ設定の詳細については、「 ATA 容量計画」を参照してください。

これは、アカウントが機密性の高いグループ ("Domain Admins" など) として指定されている特定のグループのメンバーである場合に発生します。

アカウントが機密性の高い理由を理解するには、そのグループ メンバーシップを確認して、属している機密性の高いグループを把握できます (属するグループは別のグループによって機密性が高くなる可能性があるため、最上位の機密グループが見つかるまで同じプロセスを実行する必要があります)。

さらに、ユーザー、グループ、またはコンピューターに機密として手動でタグを付けることができます。 詳細については、「機密性の 高いアカウントにタグを付けます」を参照してください。

ほとんどの仮想ドメイン コントローラーは ATA ライトウェイト ゲートウェイでカバーできます。ATA ライトウェイト ゲートウェイが環境に適しているかどうかを判断するには、「 ATA 容量計画」を参照してください。

仮想ドメイン コントローラーを ATA ライトウェイト ゲートウェイでカバーできない場合は、「 ポート ミラーリングの構成」の説明に従って、仮想または物理 ATA ゲートウェイを使用できます。

最も簡単な方法は、仮想ドメイン コントローラーが存在するすべてのホストに仮想 ATA ゲートウェイを配置することです。 仮想ドメイン コントローラーがホスト間を移動する場合は、次のいずれかの手順を実行する必要があります。

• 仮想ドメイン コントローラーが別のホストに移動したら、そのホストの ATA ゲートウェイを事前に構成して、最近移動した仮想ドメイン コントローラーからトラフィックを受信します。
• 仮想 ATA ゲートウェイを仮想ドメイン コントローラーと関連付け、移動した場合は ATA ゲートウェイが移動するようにします。
• ホスト間でトラフィックを送信できる仮想スイッチがいくつかあります。

ATA ディザスター リカバリーに関するページを参照してください

ATA は、既知の悪意のある攻撃と手法、セキュリティの問題、およびリスクを検出します。 ATA 検出の完全な一覧については、「ATA が 実行する検出内容」を参照してください。

待機時間の短いディスク アクセス (10 ミリ秒未満) の高速ストレージ (7200 RPM ディスクは推奨されません) をお勧めします。 RAID 構成では、大量の書き込み負荷をサポートする必要があります (RAID-5/6 とその派生物は推奨されません)。

ATA ゲートウェイには、少なくとも 2 つのネットワーク アダプターが必要です。
1. 内部ネットワークと ATA センターに接続する NIC
2. ポート ミラーリングを介してドメイン コントローラーのネットワーク トラフィックをキャプチャするために使用される NIC。
* これは、ドメイン コントローラーが使用するすべてのネットワーク アダプターをネイティブに使用する ATA ライトウェイト ゲートウェイには適用されません。

ATA は、次のように SIEM と双方向の統合を行います。

1. 疑わしいアクティビティが検出されたときに、CEF 形式を使用して任意の SIEM サーバーに Syslog アラートを送信するように ATA を構成できます。
2. ATA は、これらの SIEM から Windows イベントの Syslog メッセージを受信するように構成できます。

はい。ATA Lightweight Gateway を使用して、任意の IaaS ソリューション内のドメイン コントローラーを監視できます。

Microsoft Advanced Threat Analyticsはオンプレミス製品です。

このソリューションは現在、スタンドアロン のオファリングであり、Microsoft Entra IDやオンプレミスの Active Directoryの一部ではありません。

Microsoft Advanced Threat Analyticsでは、ルール、しきい値、ベースラインを作成してから微調整する必要はありません。 ATA は、ユーザー、デバイス、リソース間の動作と相互の関係を分析し、疑わしいアクティビティと既知の攻撃を迅速に検出できます。 デプロイから 3 週間後、ATA は動作の疑わしいアクティビティの検出を開始します。 一方、ATA はデプロイ直後に既知の悪意のある攻撃とセキュリティの問題の検出を開始します。

はい。侵害された後に ATA がインストールされた場合でも、ATA はハッカーの疑わしいアクティビティを検出できます。 ATA では、ユーザーの動作だけでなく、organization セキュリティ マップ内の他のユーザーに対しても見ています。 最初の分析時間中に、攻撃者の動作が異常な場合は、"外れ値" として識別され、ATA は異常な動作を報告し続けます。 さらに、ハッカーが Pass-the-Ticket などの別のユーザー資格情報を盗もうとしたり、いずれかのドメイン コントローラーでリモート実行を実行しようとしたりした場合、ATA は疑わしいアクティビティを検出できます。

ATA では、ディープ パケット検査テクノロジを使用して Active Directory トラフィックを分析するだけでなく、セキュリティ情報およびイベント管理 (SIEM) から関連するイベントを収集し、Active Directory Domain Servicesからの情報に基づいてエンティティ プロファイルを作成することもできます。 また、organizationで Windows イベント ログ転送が構成されている場合、ATA はイベント ログからイベントを収集することもできます。

SPAN (スイッチド ポート アナライザー) とも呼ばれるポート ミラーリングは、ネットワーク トラフィックを監視する方法です。 ポート ミラーリングが有効になっている場合、スイッチは、1 つのポート (または VLAN 全体) で見られるすべてのネットワーク パケットのコピーを別のポートに送信します。ここで、パケットを分析できます。

いいえ。 ATA は、Windows 以外のデバイスやモバイル デバイスを含め、Active Directory に対して認証要求と承認要求を実行するネットワーク内のすべてのデバイスを監視します。

はい。 コンピューター アカウント (およびその他のエンティティ) を使用して悪意のあるアクティビティを実行できるため、ATA は環境内のすべてのコンピューター アカウントの動作とその他のすべてのエンティティを監視します。

Microsoft Advanced Threat Analyticsは、同じフォレスト境界内のマルチドメイン環境をサポートします。 複数のフォレストでは、フォレストごとに ATA のデプロイが必要です。

はい。デプロイの全体的な正常性と、構成、接続などに関連する特定の問題を表示でき、発生するとアラートが表示されます。

関連項目

• ATA の前提条件
• ATA 容量計画
• イベント収集を構成する
• Windows イベント転送の構成
• ATA フォーラムをご覧ください。