Installér ATA - trin 8
Gælder for: Advanced Threat Analytics version 1.9
Trin 8: Konfigurer undtagelser for IP-adresser og Honeytoken-bruger
ATA muliggør udelukkelse af bestemte IP-adresser eller brugere fra en række registreringer.
En udeladelse af DNS-rekognoscering kan f.eks. være en sikkerhedsscanner, der bruger DNS som en scanningsmekanisme. Udeladelse hjælper ATA med at ignorere sådanne scannere. Et eksempel på en udeladelse af adgangsbilletten er en NAT-enhed .
ATA aktiverer også konfigurationen af en Honeytoken-bruger, som bruges som en fælde for ondsindede aktører – enhver godkendelse, der er knyttet til denne (normalt hvilende) konto, udløser en besked.
Følg disse trin for at konfigurere dette:
Klik på ikonet Indstillinger i ATA-konsollen, og vælg Konfiguration.
Klik på Enhedskoder under Registrering.
Angiv navnet på Honeytoken-kontoen under Honeytoken-konti . Der kan søges i feltet Honeytoken-konti, og enheder i dit netværk vises automatisk.
Klik på Udeladelser. For hver type trussel skal du angive en brugerkonto eller IP-adresse, der skal udelukkes fra registreringen af disse trusler, og klikke på plustegnet . Der kan søges i feltet Tilføj enhed (bruger eller computer), og enhederne i netværket udfyldes automatisk. Du kan få flere oplysninger under Udelade objekter fra registreringer
Klik på Gem.
Tillykke, du har udrullet Microsoft Advanced Threat Analytics!
Kontrollér tidslinjen for angreb for at få vist registrerede mistænkelige aktiviteter, og søg efter brugere eller computere, og se deres profiler.
ATA starter scanning efter mistænkelige aktiviteter med det samme. Nogle aktiviteter, f.eks. nogle af de mistænkelige adfærdsaktiviteter, er ikke tilgængelige, før ATA har haft tid til at oprette adfærdsprofiler (mindst tre uger).
Hvis du vil kontrollere, at ATA kører og fanger brud på dit netværk, kan du se playbooken til simulering af ATA-angreb.