編輯

共用方式為

ATA 常見問題

  • 常見問題集

適用於:Advanced Threat Analytics 1.9 版

本文提供有關 ATA 的常見問題清單,並提供深入解析和解答。

哪裡可以取得進階威脅分析 (ATA) 的授權?

如果您有作用中的 Enterprise 合約,您可以從 Microsoft 大量授權中心下載軟體 (VLSC) 。

如果您直接透過 Microsoft 365 入口網站或透過雲端解決方案合作夥伴 (CSP) 授權模型取得 Enterprise Mobility + Security (EMS) 的授權,而且您無法透過 Microsoft 大量授權中心 (VLSC) 存取 ATA,請連絡 Microsoft 客戶支援以取得啟用進階威脅分析 (ATA) 的程式。

如果 ATA 閘道無法啟動,該怎麼辦?

查看目前錯誤記錄檔中的最新錯誤 (ATA 安裝在 [記錄] 資料夾) 下的位置。

如何測試 ATA?

您可以執行下列其中一項動作,模擬屬於端對端測試的可疑活動:

  1. 使用 Nslookup.exe 的 DNS 偵察
  2. 使用 psexec.exe 遠端執行

這必須針對受監視的域控制器進行遠端執行,而不是從 ATA 閘道執行。

哪一個 ATA 組建對應至每個版本?

如需版本升級資訊,請參閱 ATA 升級路徑

我應該使用哪個版本將目前的 ATA 部署升級至最新版本?

如需 ATA 版本升級矩陣,請參閱 ATA 升級路徑

ATA 中心如何更新其最新簽章?

ATA 偵測機制會在 ATA 中心安裝新版本時增強。 您可以使用 Microsoft Update (MU) 或從下載中心或大量授權網站手動下載新版本,來升級 Center。

如何? 驗證 Windows 事件轉送?

您可以將下列程式代碼放入檔案,然後從下列目錄中的命令提示字元執行: \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin ,如下所示:

mongo.exe ATA 檔名

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA 是否使用加密的流量?

ATA 依賴分析多個網路協定,以及從 SIEM 或透過 Windows 事件轉送收集的事件。 以具有加密流量的網路協定為基礎的偵測 (例如,將不會分析 LDAPS 和 IPSEC) 。

ATA 是否適用於 Kerberos 防護?

ATA 支援啟用 Kerberos 防護,也稱為彈性驗證安全通道 (FAST) ,但無法過度傳遞哈希偵測除外。

我需要多少個 ATA 閘道?

ATA 閘道的數目取決於您的網路配置、封包數量和 ATA 所擷取的事件量。 若要判斷確切的數位,請參閱 ATA 輕量型閘道大小調整

ATA 需要多少記憶體?

對於平均為 1000 封包/秒的每一天,您需要 0.3 GB 的記憶體。 如需 ATA 中心大小調整的詳細資訊,請參閱 ATA 容量規劃

為什麼某些帳戶會被視為機密帳戶?

當帳戶是指定為敏感性 (的特定群組成員時,就會發生這種情況,例如:“Domain Admins”) 。

若要了解帳戶為何敏感,您可以檢閱其群組成員資格,以瞭解其所屬群組 (屬於哪個敏感性群組也可能會因為另一個群組而產生敏感性,因此在找到最高層級的敏感性群組) 之前,應該執行相同的程式。

此外,您可以手動將使用者、群組或計算機標記為機密。 如需詳細資訊,請參閱 標記敏感性帳戶

如何? 使用 ATA 監視虛擬域控制器嗎?

ATA 輕量型閘道可以涵蓋大部分的虛擬域控制器,若要判斷 ATA 輕量型閘道是否適合您的環境,請參閱 ATA 容量規劃

如果 ATA 輕量型閘道無法涵蓋虛擬域控制器,您可以擁有虛擬或實體 ATA 閘道,如設定 埠鏡像中所述。

最簡單的方式是在虛擬域控制器所在的每個主機上都有虛擬 ATA 閘道。 如果您的虛擬域控制器在主機之間移動,您必須執行下列其中一個步驟:

  • 當虛擬域控制器移至另一部主機時,請在該主機中預先設定 ATA 閘道,以接收來自最近行動之虛擬域控制器的流量。
  • 請確定您將虛擬 ATA 閘道與虛擬域控制器建立關聯,以便在行動時,ATA 閘道隨之移動。
  • 有一些虛擬交換器可以在主機之間傳送流量。

如何? 備份 ATA?

請參閱 ATA 災害復原

ATA 可以偵測到什麼?

ATA 會偵測已知的惡意攻擊和技術、安全性問題和風險。 如需 ATA 偵測的完整清單,請參閱 ATA 會執行哪些偵測?

ATA 需要何種記憶體?

建議) 低延遲磁碟存取 (少於 10 毫秒) ,不建議快速儲存 (7200 RPM 磁碟。 RAID 組態應該支援RAID-5/6 (大量寫入負載,而且不建議) 其衍生專案。

ATA 閘道需要多少 NIC?

ATA 閘道至少需要兩個網路適配器:
1.連線到內部網路和 ATA 中心的 NIC
2.用來透過埠鏡像擷取域控制器網路流量的 NIC。
* 這不適用於 ATA 輕量型閘道,其原生會使用域控制器使用的所有網路適配器。

ATA 與 SIEM 有何種整合?

ATA 與 SIEM 有雙向整合,如下所示:

  1. ATA 可設定為在偵測到可疑活動時,使用 CEF 格式將 Syslog 警示傳送至任何 SIEM 伺服器。
  2. ATA 可以設定為從 這些 SIEM 接收 Windows 事件的 Syslog 訊息。

ATA 可以監視 IaaS 解決方案上虛擬化的域控制器嗎?

是,您可以使用 ATA 輕量型閘道來監視任何 IaaS 解決方案中的域控制器。

這是內部部署或雲端內供應專案?

Microsoft進階威脅分析是內部部署產品。

這會是 Microsoft Entra ID 還是 內部部署的 Active Directory 的一部分?

此解決方案目前為獨立供應專案,不屬於 Microsoft Entra ID 或 內部部署的 Active Directory。

您是否必須撰寫自己的規則並建立閾值/基準?

使用 Microsoft Advanced Threat Analytics,不需要建立規則、閾值或基準,然後進行微調。 ATA 會分析使用者、裝置和資源之間的行為,以及它們彼此之間的關聯性,而且可以快速偵測可疑的活動和已知攻擊。 部署三周之後,ATA 會開始偵測行為可疑活動。 另一方面,ATA 會在部署之後立即開始偵測已知的惡意攻擊和安全性問題。

如果您已經遭到入侵,Microsoft進階威脅分析是否能識別異常行為?

是,即使在您遭到入侵之後安裝 ATA,ATA 仍可偵測到駭客的可疑活動。 ATA 不僅會查看用戶的行為,也會查看組織安全性對應中的其他使用者。 在初始分析期間,如果攻擊者的行為異常,則會將其識別為「極端值」,且 ATA 會持續報告異常行為。 此外,如果駭客嘗試竊取其他用戶認證,例如傳遞票證,或嘗試在其中一個域控制器上執行遠端執行,ATA 可以偵測可疑的活動。

這是否只會利用來自 Active Directory 的流量?

除了使用深層封包檢查技術來分析 Active Directory 流量之外,ATA 也可以從安全性資訊和事件管理 (SIEM) 收集相關事件,並根據來自 Active Directory 網域服務 的資訊建立實體配置檔。 如果組織設定 Windows 事件記錄轉送,ATA 也可以從事件記錄檔收集事件。

什麼是埠鏡像?

也稱為 SPAN (交換埠分析器) ,埠鏡像是監視網路流量的方法。 啟用埠鏡像后,交換器會將一個埠 (或整個 VLAN) 上看到的所有網路封包複本傳送至另一個埠,以便分析封包。

ATA 是否只會監視已加入網域的裝置?

不能。 ATA 會監視網路中對 Active Directory 執行驗證和授權要求的所有裝置,包括非 Windows 和行動裝置。

ATA 是否監視電腦帳戶以及用戶帳戶?

是。 由於計算機帳戶 (以及任何其他實體) 可用來執行惡意活動,ATA 會監視環境中的所有計算機帳戶行為和所有其他實體。

ATA 可以支援多網域和多樹系嗎?

Microsoft進階威脅分析支援相同樹系界限內的多網域環境。 多個樹系需要針對每個樹系部署 ATA。

您可以查看部署的整體健康情況嗎?

是,您可以檢視部署的整體健康情況,以及與設定、連線能力等相關的特定問題,並在發生問題時收到警示。

另請參閱