適用対象: Advanced Threat Analytics Version 1.9
この記事では、ATA についてのよく寄せられる質問と、それに対する分析情報と回答が記載されています。
Advanced Threat Analytics (ATA) のライセンスはどこで入手できますか?
有効なマイクロソフトエンタープライズ契約 がある場合、Microsoft Volume Licensing Center (VLSC) からソフトウェアをダウンロードできます。
Enterprise Mobility + Security (EMS) のライセンスを Microsoft 365 ポータルまたは Cloud Solution Partner (CSP) ライセンス モデルを通じて直接取得し、Microsoft Volume Licensing Center (VLSC) を通じて ATA にアクセスできない場合は、Microsoft カスタマー サポートに連絡して Advanced Threat Analytics (ATA) をアクティブ化するプロセスを取得してください。
ATA ゲートウェイが起動しない場合はどうすればよいですか?
現在のエラー ログの最新のエラーを確認します (ATA が [ログ] フォルダーにインストールされている場所)。
ATA をテストする方法は何ですか?
次のいずれかの方法を用いて、エンド ツー エンド テストで不審なアクティビティをシミュレートできます。
- Nslookup.exe を使用した DNS 偵察
- psexec.exe を使用したリモート実行
これは、ATA ゲートウェイからではなく、監視対象のドメイン コントローラーに対してリモートで実行する必要があります。
各バージョンに対応する ATA ビルドはどれですか?
バージョンのアップグレード情報については、「ATA アップグレード パス」を参照してください。
現在の ATA デプロイを最新バージョンにアップグレードするには、どのバージョンを使用する必要がありますか?
ATA バージョンのアップグレード マトリックスについては、「ATA アップグレード パス」を参照してください。
ATA センターでは、最新の署名はどのように更新されますか?
ATA 検出メカニズムは、ATA センターに新しいバージョンがインストールされると強化されます。 Microsoft Update (MU) を使用するか、ダウンロード センターまたはボリューム ライセンス サイトから新しいバージョンを手動でダウンロードして、センターをアップグレードできます。
Windows イベント転送の確認方法は何ですか?
次のコードをファイルに配置したら、それを、次のように \Program Files\Microsoft Advanced Threat Analytics\Center\MongoDB\bin ディレクトリのコマンド プロンプトで実行します。
mongo.exe ATA filename
db.getCollectionNames().forEach(function(collection) {
if (collection.substring(0,10)=="NtlmEvent_") {
if (db[collection].count() > 0) {
print ("Found "+db[collection].count()+" NTLM events")
}
}
});
ATA は暗号化されたトラフィックで動作しますか?
ATA は、複数のネットワーク プロトコルと SIEM または Windows イベント転送を介して収集したイベントの分析に依存します。 暗号化されたトラフィック (LDAPS や IPSEC など) を使用したネットワーク プロトコルに基づく検出は分析されません。
ATA は Kerberos Armoring と連携しますか?
Flexible Authentication Secure Tunneling (FAST) としても知られている Kerberos Armoring の有効化は、ATA でサポートされています。ただし、例外として overpass-the-hash 検出は、機能しません。
ATA ゲートウェイはいくつ必要ですか?
ATA ゲートウェイの数は、ネットワーク レイアウト、パケットの量、ATA によってキャプチャされたイベントの量によって異なります。 正確な数を確認するには、「ATA Lightweight Gateway のサイズ設定」を参照してください。
ATA にはどれくらいのストレージ容量が必要ですか?
1 日あたり、平均 1000 パケット/秒で、0.3 GB のストレージが必要です。 ATA センターのサイズ設定の詳細については、「 ATA キャパシティ プランニング」を参照してください。
特定のアカウントが機密性の高いと見なされるのはなぜですか?
これは、アカウントが機密性の高いグループ (「ドメイン管理者」など) のメンバーである場合に発生します。
アカウントが機密性の高い理由を理解するには、そのグループ メンバーシップを確認すると、属している機密性の高いグループを把握できます (属するグループは別のグループによって機密性が高くなる可能性があるため、最上位の機密性の高いグループが見つかるまで同じプロセスを実行する必要があります)。
さらに、ユーザー、グループ、またはコンピューターに機密性の高いタグを手動で付けることができます。 詳細については、「機密性の高いアカウントにタグを付ける」を参照してください。
ATA を使用してどのように仮想ドメイン コントローラーを監視しますか?
ほとんどの仮想ドメイン コントローラーは ATA Lightweight Gateway でカバーできます。ATA Lightweight Gateway が環境に適しているかどうかを判断するには、「ATA の容量計画」を参照してください。
仮想ドメイン コントローラーを ATA Lightweight Gateway でカバーできない場合は、「ポート ミラーリングの構成」の説明に従って、仮想または物理の ATA ゲートウェイを使用できます。
最も簡単な方法は、仮想ドメイン コントローラーが存在するすべてのホストに仮想 ATA ゲートウェイを配置することです。 仮想ドメイン コントローラーがホスト間を移動する場合は、次のいずれかの手順を実行する必要があります。
- 仮想ドメイン コントローラーが別のホストに移動したら、そのホスト内の ATA ゲートウェイを事前に構成して、最近移動した仮想ドメイン コントローラーからのトラフィックを受信します。
- 仮想 ATA ゲートウェイを仮想ドメイン コントローラーと関連付け、移動した場合は ATA ゲートウェイが移動するようにします。
- ホスト間でトラフィックを送信できる仮想スイッチがいくつかあります。
ATA のバックアップ方法を教えてください。
「ATA ディザスター リカバリー」を参照してください。
ATA は何を検出できますか?
ATA は、既知の悪意のある攻撃と手法、セキュリティの問題、およびリスクを検出します。 ATA 検出の完全な一覧については、「ATA で実行される検出」を参照してください。
ATA にはどのような種類のストレージが必要ですか?
待機時間の短いディスク アクセス (10 ミリ秒未満) の高速ストレージ (7200 RPM ディスクは推奨されません) をお勧めします。 RAID 構成では、大量の書き込み負荷をサポートする必要があります (RAID-5/6 とその派生物は推奨されません)。
ATA ゲートウェイにはいくつの NIC が必要ですか?
ATA ゲートウェイには、少なくとも 2 つのネットワーク アダプターが必要です。
1. 内部ネットワークと ATA センターに接続する NIC
2. ポート ミラーリングを介してドメイン コントローラーのネットワーク トラフィックをキャプチャするために使用される NIC。
* これは ATA Lightweight Gateway には適用されません。このゲートウェイは、ドメイン コントローラーが使用するすべてのネットワーク アダプターをネイティブに使用します。
ATA は SIEM とどのような統合が可能ですか?
ATA は、次のように SIEM と双方向統合を行います。
- 不審なアクティビティが検出されたときに、CEF 形式を使用して任意の SIEM サーバーに Syslog アラートを送信するように ATA を構成できます。
- ATA は、これらの SIEM から Windows イベントの Syslog メッセージを受信するように構成できます。
ATA は IaaS ソリューションで仮想化されたドメイン コントローラーを監視できますか?
はい。ATA Lightweight Gateway を使用して、任意の IaaS ソリューション内にあるドメイン コントローラーを監視できます。
これはオンプレミス型ですか、それともクラウド型ですか?
Microsoft Advanced Threat Analytics は、オンプレミス製品です。
これは Microsoft Entra ID または オンプレミスの Active Directory の一部になりますか?
現在、このソリューションはスタンドアロン型であり、Microsoft Entra ID やオンプレミスの Active Directoryの一部ではありません。
独自のルールを記述し、しきい値/ベースラインを作成する必要がありますか?
Microsoft Advanced Threat Analytics では、ルール、しきい値、ベースラインを作成して微調整する必要はありません。 ATA は、ユーザー、デバイス、およびリソース間の動作と相互の関係を分析し、不審なアクティビティや既知の攻撃を迅速に検出できます。 展開から 3 週間後に、ATA は動作の不審なアクティビティの検出を開始します。 一方、ATA はデプロイ直後に既知の悪意のある攻撃とセキュリティの問題の検出を開始します。
既に侵害されている場合、Microsoft Advanced Threat Analytics は異常な動作を特定できますか?
はい。侵害された後に ATA がインストールされた場合でも、ATA はハッカーの不審なアクティビティを検出できます。 ATA は、ユーザーの動作だけでなく、組織のセキュリティ マップ内の他のユーザーも監視します。 最初の分析時に、攻撃者の動作が異常な場合は、「外れ値」として認識され、ATA は、その異常動作を報告し続けます。 さらに、ハッカーが Pass-the-Ticket などの別のユーザー資格情報を盗もうとしたり、ドメイン コントローラーのいずれかでリモート実行を実行しようとしたりした場合、ATA は不審なアクティビティを検出できます。
これは Active Directory からのトラフィックのみを利用しますか?
ATA では、ディープ パケット検査テクノロジを使用して Active Directory トラフィックを分析するだけでなく、Security Information and Event Management (SIEM) から関連するイベントを収集し、Active Directory ドメイン サービスからの情報に基づいてエンティティ プロファイルを作成することもできます。 組織が Windows イベント ログ転送を構成している場合、ATA はイベント ログからイベントを収集することもできます。
ポート ミラーリングとは何ですか?
SPAN (Switched Port Analyzer) とも呼ばれるポート ミラーリングは、ネットワーク トラフィックを監視する方法です。 ポート ミラーリングを有効にすると、スイッチは、1 つのポート (または VLAN 全体) で見られるすべてのネットワーク パケットのコピーを別のポートに送信し、そこでパケットを分析できます。
ATA モニターはドメイン参加型デバイスのみを監視しますか?
いいえ。 ATA は、Windows 以外のデバイスやモバイル デバイスを含め、Active Directory に対して認証要求と承認要求を実行するネットワーク内のすべてのデバイスを監視します。
ATA はコンピューター アカウントとユーザー アカウントを監視しますか?
はい。 コンピューター アカウント (およびその他のエンティティ) を使用して悪意のあるアクティビティを実行できるため、ATA は環境内のすべてのコンピューター アカウントの動作とその他のすべてのエンティティを監視します。
ATA はマルチ ドメイン とマルチフォレストをサポートできますか?
Microsoft Advanced Threat Analytics では、同じフォレスト境界内の複数のメイン環境がサポートされています。 複数のフォレストでは、フォレストごとに ATA デプロイが必要です。
デプロイの全体的な正常性を確認できますか?
はい。デプロイの全体的な正常性と、構成、接続などに関連する特定の問題を表示でき、発生するとアラートが表示されます。