Instalace ATA – krok 7
Platí pro: Advanced Threat Analytics verze 1.9
Krok 7: Integrace sítě VPN
Microsoft Advanced Threat Analytics (ATA) verze 1.8 a novější může shromažďovat účetní informace z řešení VPN. Po nakonfigurování stránka profilu uživatele obsahuje informace z připojení VPN, jako jsou IP adresy a umístění, ze kterých připojení pochází. To doplňuje proces šetření tím, že poskytuje další informace o aktivitách uživatelů. Volání pro překlad externí IP adresy do umístění je anonymní. V tomto volání se neposílají žádné osobní identifikátory.
ATA se integruje s vaším řešením VPN tím, že naslouchá událostem monitorování účtů protokolu RADIUS předávaným do ATA Gateway. Tento mechanismus je založený na standardním monitorování protokolu RADIUS (RFC 2866) a podporují se následující dodavatelé sítě VPN:
- Microsoft
- F5
- Cisco ASA
Důležité
Od září 2019 služba geografického umístění VPN Advanced Threat Analytics zodpovědná za detekci umístění VPN teď podporuje výhradně protokol TLS 1.2. Ujistěte se, že je váš ATA Center nakonfigurovaný tak, aby podporoval protokol TLS 1.2, protože verze 1.1 a 1.0 už nejsou podporované.
Požadavky
Pokud chcete povolit integraci sítě VPN, ujistěte se, že jste nastavili následující parametry:
Otevřete port UDP 1813 pro komponenty ATA Gateway a ATA Lightweight Gateway.
ATA Center musí mít přístup k ti.ata.azure.com pomocí protokolu HTTPS (port 443), aby se mohl dotazovat na umístění příchozích IP adres.
Následující příklad používá server směrování a vzdáleného přístupu (RRAS) společnosti Microsoft k popisu procesu konfigurace sítě VPN.
Pokud používáte řešení VPN od jiného výrobce, přečtěte si jeho dokumentaci, kde najdete pokyny k povolení monitorování účtů radius.
Konfigurace monitorování účtů RADIUS v systému VPN
Na serveru RRAS proveďte následující kroky.
Otevřete konzolu Směrování a vzdálený přístup.
Klikněte pravým tlačítkem na název serveru a vyberte Vlastnosti.
Na kartě Zabezpečení v části Poskytovatel účtů vyberte Účetnický účet RADIUS a klikněte na Konfigurovat.
V okně Přidat server RADIUS zadejte název serveru nejbližší komponenty ATA Gateway nebo ATA Lightweight Gateway. V části Port se ujistěte, že je nakonfigurovaná výchozí hodnota 1813. Klikněte na Změnit a zadejte nový sdílený tajný řetězec alfanumerických znaků, který si můžete zapamatovat. Musíte ho vyplnit později v konfiguraci ATA. Zaškrtněte políčko Odeslat zprávy Radius Account On a Accounting Off a potom ve všech otevřených dialogových oknech klikněte na OK .
Konfigurace sítě VPN v ATA
ATA shromažďuje data SÍTĚ VPN a identifikuje, kdy a kde se přihlašovací údaje používají prostřednictvím sítě VPN, a integruje tato data do vašeho vyšetřování. Poskytuje další informace, které vám pomůžou prošetřit výstrahy hlášené ata.
Konfigurace dat VPN v ATA:
V konzole ATA otevřete stránku Konfigurace ATA a přejděte na VPN.
Zapněte monitorování účtů radius a zadejte sdílený tajný klíč , který jste nakonfigurovali dříve na serveru RRAS VPN. Potom klikněte na Uložit.
Po povolení naslouchají všechny komponenty ATA Gateway a Lightweight Gateway na portu 1813 pro účetní události protokolu RADIUS.
Vaše nastavení je dokončené a na stránce profilu uživatelů se teď můžete podívat na aktivitu VPN:
Jakmile ATA Gateway přijme události SÍTĚ VPN a odešle je do ATA Center ke zpracování, potřebuje ATA Center přístup k ti.ata.azure.com pomocí protokolu HTTPS (port 443), aby bylo možné přeložit externí IP adresy v událostech VPN do jejich geografického umístění.