Advanced Threat Analytics (ATA)
対象とする複数の種類の高度なサイバー攻撃や内部関係者による脅威から、
エンタープライズを保護できるようにするオンプレミスのプラットフォーム。

・仕組み
独自のネットワーク解析エンジンを利用して、認証、承認、および情報収集を目的として
複数のプロトコル (Kerberos、DNS、RPC、NTLM など) のネットワーク トラフィックを収集および解析します。

・収集方法
ドメイン コントローラーおよび DNS サーバーから ATA ゲートウェイへのポート ミラーリング
ATA Lightweight Gateway (LGW) のドメイン コントローラーへの直接展開

・イベント・ログの受け取り元
SIEM 統合
Windows イベント転送 (WEF)
Windows イベント コレクターから直接 (ライトウェイト ゲートウェイの場合)

・機能
ATA テクノロジでは、次のようなサイバー攻撃 kill
チェーンの複数のフェーズに重点を置いて、複数の不審なアクティビティを検出

例：
Pass-the-Ticket (PtT)
Pass-the-Hash (PtH)
Overpass-the-Hash
偽造 PAC (MS14 068)
ゴールデン チケット
悪意のあるレプリケーション
偵察
ブルート フォース
リモート実行

・アーキテクチャ
https://docs.microsoft.com/ja-jp/advanced-threat-analytics/ata-architecture