ATA 常見問題

如果你有活躍的Enterprise 合約，可以從 Microsoft Volume Licensing Center (VLSC) 下載軟體。

如果您直接透過Microsoft 365入口網站取得Enterprise Mobility + Security (EMS) 授權，或透過雲端解決方案夥伴 (CSP) 授權模式取得授權，且無法透過Microsoft批量授權中心 (VLSC) 取得ATA，請聯絡Microsoft客服，取得啟動ATA (ATA) 的流程。

查看目前錯誤日誌中最近的錯誤 (ATA 安裝在「Logs」資料夾) 下。

你可以透過以下其中一項來模擬可疑活動，這是端到端的測試：

1. 使用 Nslookup.exe 進行 DNS 偵察
2. 利用 psexec.exe 進行遠端執行

這需要遠端對被監控的網域控制器執行，而不是從 ATA 閘道器。

有關版本升級資訊，請參閱 ATA 升級路徑。

關於 ATA 版本升級矩陣，請參見 ATA 升級路徑。

當ATA中心安裝新版本時，ATA偵測機制會得到強化。 你可以透過 Microsoft Update (MU) ，或是從下載中心或磁碟授權網站手動下載新版本來升級中心。

你可以將以下程式碼放入檔案，然後從指令提示字元執行：\Program Files\Microsoft 進階威脅分析\Center\MongoDB\bin，內容如下：

mongo.exe ATA 檔案名稱

db.getCollectionNames().forEach(function(collection) {
    if (collection.substring(0,10)=="NtlmEvent_") {
        if (db[collection].count() > 0) {
            print ("Found "+db[collection].count()+" NTLM events") 
        }
    }
});

ATA 依賴分析多個網路協定，以及從 SIEM 或 Windows 事件轉發收集的事件。 基於加密流量的網路協定偵測 (如 LDAPS 和 IPSEC) 不會被分析。

啟用 Kerberos Armoring，也稱為彈性認證安全隧道 (FAST) ，ATA 支援，但除了跨越雜湊偵測時無法運作。

ATA 閘道器的數量取決於你的網路配置、封包數量以及 ATA 捕捉的事件量。 欲確定確切數字，請參閱 ATA 輕量閘道尺寸。

每整天平均每秒 1000 封包，你需要 0.3 GB 的儲存空間。 欲了解更多關於 ATA 中心規模的資訊，請參閱 ATA 容量規劃。

這種情況發生在帳號屬於我們指定為敏感 (的群組成員時，例如：「網域管理員」) 。

要了解帳戶為何敏感，可以查看其群組成員資格，了解它所屬的敏感群組 (該群組也可能因其他群組而敏感，因此應重複同樣流程，直到找到最高等級的敏感群組) 。

此外，你也可以手動標記使用者、群組或電腦為敏感。 欲了解更多資訊，請參閱 標籤敏感帳號。

大多數虛擬域控制器都可以由 ATA 輕量級閘道器涵蓋，以判斷 ATA 輕量級閘道是否適合您的環境，請參見 ATA 容量規劃。

如果虛擬網域控制器無法被 ATA 輕量級閘道器覆蓋，你可以選擇虛擬或實體 ATA 閘道器，如配置埠鏡像。

最簡單的方法是在每個有虛擬網域控制器的主機上設置虛擬 ATA 閘道器。 如果您的虛擬網域控制器在主機間移動，您需要執行以下步驟之一：

• 當虛擬網域控制器移動到另一台主機時，預先設定該主機的 ATA 閘道器以接收來自最近移動的虛擬網域控制器的流量。
• 確保你將虛擬 ATA 閘道器與虛擬網域控制器綁定，這樣如果它被移動，ATA 閘道器也會跟著移動。
• 有些虛擬交換器可以在主機間傳送流量。

請參考 ATA 災難復原

ATA 偵測已知的惡意攻擊與技術、安全問題與風險。 欲了解完整的ATA偵測清單，請參閱 ATA執行哪些偵測？。

我們建議使用快速儲存 (7200轉的硬碟不建議使用) 低延遲磁碟存取 () 不到10毫秒。 RAID 配置應該能支援 RAID-5/6 (重寫入負載，其衍生版本不建議) 。

ATA 閘道器至少需要兩個網路介面卡：
1. 一個網卡，用於連接內部網路及ATA中心
2. 一個用來透過埠鏡像捕捉網域控制器網路流量的網卡。
* 此規定不適用於 ATA 輕量級閘道器，該閘道器原生使用網域控制器所使用的所有網路介面卡。

ATA 與 SIEM 有雙向整合，具體如下：

1. ATA 可設定在偵測到可疑活動時，向任何使用 CEF 格式的 SIEM 伺服器發送 Syslog 警示。
2. ATA 可設定接收來自 這些 SIEM 的 Windows 事件系統日誌訊息。

是的，你可以使用 ATA 輕量閘道來監控任何 IaaS 解決方案中的網域控制站。

Microsoft 進階威脅分析是一款本地部署的產品。

這個解決方案目前是獨立的方案——它不包含在 Microsoft Entra ID 或內部部署的 Active Directory 中。

有了 Microsoft 進階威脅分析，無需建立規則、門檻或基線，然後再微調。 ATA 分析使用者、裝置與資源之間的行為，以及它們彼此間的關係，能快速偵測可疑活動與已知攻擊。 部署三週後，ATA 開始偵測到行為上的可疑活動。 另一方面，ATA 會在部署後立即偵測已知的惡意攻擊和安全問題。

是的，即使你在被入侵後才安裝 ATA，ATA 仍能偵測駭客的可疑行為。 ATA 不僅會觀察使用者的行為，也會針對組織安全地圖中其他使用者的行為進行比較。 在初步分析期間，如果攻擊者的行為異常，就會被認定為「異常值」，ATA 會持續回報異常行為。 此外，ATA 也能偵測駭客試圖竊取其他使用者憑證（如 Pass-the-Ticket）或嘗試遠端執行網域控制器的可疑行為。

除了利用深度封包檢查技術分析 Active Directory 流量外，ATA 也能從您的安全資訊與事件管理 (SIEM) 收集相關事件，並根據Active Directory 網域服務資訊建立實體檔案。 若組織設定 Windows 事件日誌轉發，ATA 也能從事件日誌中收集事件。

埠鏡像也稱為 SPAN (交換埠分析儀) ，是一種監控網路流量的方法。 啟用埠鏡像時，交換器會將一個埠 (或整個 VLAN) 上看到的所有網路封包副本傳送到另一個埠，供分析。

不能。 ATA 監控網路中所有執行 Active Directory 認證與授權請求的裝置，包括非 Windows 及行動裝置。

是。 由於電腦帳號 (及其他) 實體都可能被用來執行惡意活動，ATA 監控所有電腦帳號的行為以及環境中的所有其他實體。

Microsoft 進階威脅分析支援同一森林邊界內的多域環境。 多個森林需要為每個森林部署 ATA。

是的，你可以查看整體部署的健康狀況以及與設定、連線等相關的具體問題，並且會在發生時收到通知。

另請參閱

• ATA 先修條件
• ATA 容量規劃
• 配置事件集合
• 設定 Windows 事件轉發
• 去看看ATA論壇吧！