的資安方面 , 可以利用內建的Machine Learning進行分析 , 學習 , 偵測 , 警告
ATA Gateway基本架構圖如以下 :
ATA Center基本架構圖如以下 :
小編在進行Microsoft Advanced Threat Analytics安裝並不困難 , 要比較注意的是ATA Center Server
需要注意以下二點 :
(一)安裝MS ATA Center Server時 , IIS不要勾選安裝ASP.NET , 免得裝不起來
(二)安裝MS ATA Center Server時需要二張網卡 , NIC1為 ATA Center , NIC2為 ATA Console (測試時用1張網卡帶2個IP Address也可以)
以下為MS ATA實測過程
- ATA Center Service IP & Port
- ATA Console URL必需獨立指定一個IP Address
- MS ATA Gateway會產生一個JSON檔案(GatewayInstallationConfiguration.json) , ATA Gateway安裝時會使讀取json內的資訊 , 將這個檔案打開 , 內容如以下
- 開始安裝MS ATA Gateway , 會先安裝.NET Framework
- 安裝MS ATA Gateway , 選定語系
- 確認MS ATA Gateway安裝路徑及註冊資訊
- 開始安裝MS ATA Gateway
- 完成MS ATA Gateway安裝
- 登入MS ATA Console
- 登入MS ATA Console , 檢視Honey token activity
- 登入MS ATA Console , 檢視administrator在Logged Computer 的Kerberos activity
- 登入MS ATA Console , 檢視Honey token activity
- 登入MS ATA Console , 可看到電腦的Distinguished Name , Sid , SPN
- 登入MS ATA Console , 可看到User何時變更密碼
- 依照網站上的PowerShell修改建立100個AD帳號 的ps1
- 執行PowerShell建立100個AD帳號
- 檢視ADUC , 確認產生了100個ad帳號
- 直接在ADUC刪除剛建立的AD帳號
- 登入MS ATA Console , 可看到顯示Massive object deletion訊息
- 在cmd執行nslookup , 並且輸入ls lab2016.local
- 可看到有人使用nslookup試圖查詢DNS記録,出現Reconnaissance using DNS訊息
沒有留言:
張貼留言