网络安全：安装 Microsoft 高级威胁分析 (ATA) 版本 1.8

Microsoft 高级威胁分析 (ATA) 是一个平台，可帮助您保护基础设施免受网络攻击。 ATA 使用解析引擎来捕获 Kerberos 等协议的网络流量。它监视身份验证和授权。这可以通过域控制器和其他重要计算机的端口镜像来完成。您还可以将 ATA 直接部署在域控制器上，称为 ATA 轻量级网关。

ATA 支持在运行 Windows Server 2012 R2 或 Windows Server 2016 的服务器上安装。

ATA 可以检测 Pass-the-Ticket、Pass-the-Hash、Golden Ticket、Brute-Force 等攻击。简而言之：

• 恶意攻击
• 行为异常
• 安全问题

在本文中，我将在我的 Active Directory 域的成员服务器上安装 ATA 中心。然后我的域控制器将被配置为 ATA 轻量级网关，因此不需要专用服务器或配置端口镜像。两台服务器都运行 Windows Server 2016。Microsoft 文档中的此示例屏幕截图显示了可能的情况。在文章的最后我将模拟通过 DNS 进行侦察。

链接：https://docs.microsoft.com/de-de/advanced-threat-analytics/what-is-ata

要下载 90 天 ATA 试用版，请点击以下链接：

https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics

在成员服务器上安装 ATA Center

运行 Microsoft ATA Center 安装包。

点击下一步。

接受许可条款。我强烈建议在继续之前检查更新。

选择安装和数据库路径。如果您有有效的 SSL 证书，请在此步骤中提供。我没有，所以我选择创建自签名证书。单击安装。

进步 …

我很惊讶在我的会员服务器上安装它的速度是如此之快且轻松。

现在单击“启动”。接受证书警告。

景色不错。 ?

创建 Active Directory ATA 用户（读取访问权限）

切换到您的域控制器。我们的下一步是将 ATA 中心连接到 AD 森林。我们必须提供用户名和密码。此用户应该仅具有对所有 Active Directory 对象的读取访问权限。默认情况下，域用户拥有对 Active Directory 对象的读取权限。

连接到您的 Active Directory 林

现在切换回成员服务器ATA中心。输入用户名、密码和您的域名。单击测试连接。

就是这样。单击“保存”。

配置 ATA 网关

我们的下一步是下载网关设置并配置我们的第一个网关。我的域控制器将成为第一个网关。在 ATA Center 中，单击“下载网关设置”。

将文件保存到您的计算机。将其复制到您的域控制器。在域控制器上解压安装包并打开 Microsoft ATA Gateway Setup.exe。

选择您的语言并单击下一步。如前所述，我将使用域控制器作为 ATA 轻量级网关。选择安装路径，点击安装。

快速浏览一下 ATA 中心，我发现网关已成功安装并已完成首次同步。

单击网关的名称并检查域同步器候选者。应将其设置为“开”。

查看右侧区域。 ATA 开始学习。这可能要花点时间。

我们完成了。激动人心的时刻。我的网络现在受到监控。

ATA 和 PowerShell

GitHub 上提供了适用于 ATA 的 PowerShell 模块。我还没有尝试过，链接如下：https://github.com/Microsoft/Advanced-Threat-Analytics

另一种方法是通过 Install-Module 安装它。

Install-Module Advanced-Threat-Analytics

第一眼。

Get-Command -Module Advanced-Threat-Analytics | Select Name

也许我稍后会使用这个命令。现在我想用 ATA 进行第一次测试。

第一步 …

我的第一个测试已经完成。这是一个完整的 DNS 区域传输尝试：

几分钟后，ATA 记录了这一活动。好的。

下一步是什么？

嗯，正如我所承诺的，我稍后会在另一篇博客文章中写下我使用 ATA 的经验，因为现在 ATA 必须在更长的时间内学习和分析我的基础设施的默认行为和活动。敬请关注！