Freigeben über


Installieren von ATA – Schritt 8

Gilt für: Advanced Threat Analytics, Version 1.9

Schritt 8: Konfigurieren von IP-Adressausschlüssen und Honeytoken-Benutzern

ATA ermöglicht den Ausschluss bestimmter IP-Adressen oder Benutzer aus einer Reihe von Erkennungen.

Ein DNS-Reconnaissance-Ausschluss könnte beispielsweise ein Sicherheitsscanner sein, der DNS als Scanmechanismus verwendet. Der Ausschluss hilft ATA, solche Scanner zu ignorieren. Ein Beispiel für einen Pass-the-Ticket-Ausschluss ist ein NAT-Gerät.

ATA ermöglicht auch die Konfiguration eines Honeytoken-Benutzers, der als Falle für böswillige Akteure verwendet wird - jede Authentifizierung, die diesem (normalerweise ruhenden) Konto zugeordnet ist, löst eine Warnung aus.

Führen Sie zum Konfigurieren die folgenden Schritte aus:

  1. Klicken Sie in der ATA-Konsole auf Einstellungen und dann auf Konfiguration.

    ATA configuration settings.

  2. Klicken Sie unter Erkennung auf Entitätstags.

  3. Geben Sie unter Honeytoken-Konten den Namen des Honeytoken-Kontos ein. Das Feld "Honeytoken-Konten" ist durchsuchbar und zeigt automatisch Entitäten in Ihrem Netzwerk an.

    Screenshot showing Honeytoken account name entry.

  4. Klicken Sie auf Ausschlüsse. Geben Sie für jeden Bedrohungstyp ein Benutzerkonto oder eine IP-Adresse ein, das von der Erkennung dieser Bedrohungen ausgeschlossen werden soll, und klicken Sie auf das Pluszeichen . Das Feld Entität hinzufügen (Benutzer oder Computer) ist durchsuchbar und wird automatisch mit Entitäten in Ihrem Netzwerk ausgefüllt. Weitere Informationen finden Sie unter Entitäten von Erkennungen ausschließen

    Screenshot showing exclusion of entities from detection.

  5. Klicken Sie auf Speichern.

Herzlichen Glückwunsch, Sie haben Microsoft Advanced Threat Analytics erfolgreich bereitgestellt!

Überprüfen Sie die Angriffszeitlinie, um erkannte verdächtige Aktivitäten anzuzeigen und nach Benutzern oder Computern zu suchen und ihre Profile anzuzeigen.

ATA beginnt sofort nach verdächtigen Aktivitäten zu suchen. Einige Aktivitäten, z. B. einige der verdächtigen Verhaltensaktivitäten, sind erst verfügbar, wenn ATA Zeit hatte, Verhaltensprofile zu erstellen (mindestens drei Wochen).

Um zu überprüfen, ob ATA in Ihrem Netzwerk aktiv ist und Verstöße abfangen kann, können Sie das ATA-Angriffssimulations-Playbook auschecken.

Siehe auch