Installieren von ATA – Schritt 7
Gilt für: Advanced Threat Analytics Version 1.9
Schritt 7: Integrieren von VPN
Microsoft Advanced Threat Analytics (ATA) Version 1.8 und höher können Buchhaltungsinformationen von VPN-Lösungen sammeln. Wenn ATP konfiguriert ist, enthält die Profilseite des Benutzers Informationen über die VPN-Verbindungen, wie z. B. die IP-Adressen und Standorte, von denen Verbindungen ausgehen. Dies ergänzt den Untersuchungsprozess, indem zusätzliche Informationen zur Benutzeraktivität bereitgestellt werden. Der Aufruf zum Auflösen einer externen IP-Adresse an einen Standort ist anonym. In diesem Aufruf wird kein persönlicher Bezeichner gesendet.
ATA lässt sich in Ihre VPN-Lösung integrieren, indem es radius-Buchhaltungsereignisse lauscht, die an die ATA-Gateways weitergeleitet werden. Dieser Mechanismus basiert auf standard RADIUS Accounting (RFC 2866), und die folgenden VPN-Anbieter werden unterstützt:
- Microsoft
- F5
- Cisco ASA
Wichtig
Ab September 2019 unterstützt der Advanced Threat Analytics-VPN-Geostandortdienst, der für die Erkennung von VPN-Standorten zuständig ist, jetzt ausschließlich TLS 1.2. Stellen Sie sicher, dass Ihr ATA Center für die Unterstützung von TLS 1.2 konfiguriert ist, da die Versionen 1.1 und 1.0 nicht mehr unterstützt werden.
Voraussetzungen
Um die VPN-Integration zu aktivieren, stellen Sie sicher, dass Sie die folgenden Parameter festlegen:
Öffnen Sie Port UDP 1813 auf Ihren ATA-Gateways und ATA-Lightweight-Gateways.
Ata Center muss über HTTPS (Port 443) auf ti.ata.azure.com zugreifen können, damit der Speicherort eingehender IP-Adressen abfragt werden kann.
Im folgenden Beispiel wird microsoft Routing and REMOTE Access Server (RRAS) verwendet, um den VPN-Konfigurationsprozess zu beschreiben.
Wenn Sie eine VPN-Lösung eines Drittanbieters verwenden, lesen Sie deren Dokumentation, um Anweisungen zum Aktivieren der RADIUS-Buchhaltung zu erhalten.
Konfigurieren der RADIUS-Buchhaltung auf dem VPN-System
Führen Sie die folgenden Schritte auf Ihrem RRAS-Server aus.
Öffnen Sie die Routing- und RAS-Konsole.
Klicken Sie mit der rechten Maustaste auf den Servernamen, und wählen Sie Eigenschaften aus.
Wählen Sie auf der Registerkarte Sicherheit unter Buchhaltungsanbieter die Option RADIUS-Buchhaltung aus, und klicken Sie auf Konfigurieren.
Geben Sie im Fenster RADIUS-Server hinzufügen den Servernamen des nächstgelegenen ATA-Gateways oder ATA Lightweight-Gateways ein. Stellen Sie unter Port sicher, dass der Standardwert 1813 konfiguriert ist. Klicken Sie auf Ändern , und geben Sie eine neue freigegebene geheime Zeichenfolge mit alphanumerischen Zeichen ein, die Sie sich merken können. Sie müssen es später in Ihrer ATA-Konfiguration ausfüllen. Aktivieren Sie das Kontrollkästchen Nachrichten für RADIUS-Konto ein und Buchhaltung aus senden , und klicken Sie dann in allen geöffneten Dialogfeldern auf OK .
Konfigurieren von VPN in ATA
ATA sammelt VPN-Daten und identifiziert, wann und wo Anmeldeinformationen über VPN verwendet werden, und integriert diese Daten in Ihre Untersuchung. Dies enthält zusätzliche Informationen, die Ihnen helfen, von ATA gemeldete Warnungen zu untersuchen.
So konfigurieren Sie VPN-Daten in ATA:
Öffnen Sie in der ATA-Konsole die Seite ATA-Konfiguration, und wechseln Sie zu VPN.
Aktivieren Sie Radius-Buchhaltung, und geben Sie das gemeinsame Geheimnis ein, das Sie zuvor auf Ihrem RRAS-VPN-Server konfiguriert haben. Klicken Sie dann auf Speichern.
Nachdem dies aktiviert wurde, lauschen alle ATA-Gateways und Lightweight-Gateways an Port 1813 auf RADIUS-Buchhaltungsereignisse.
Ihr Setup ist abgeschlossen, und Die VPN-Aktivität wird jetzt auf der Profilseite des Benutzers angezeigt:
Nachdem das ATA-Gateway die VPN-Ereignisse empfangen und zur Verarbeitung an ATA Center sendet, benötigt ATA Center Zugriff auf ti.ata.azure.com über HTTPS (Port 443), um die externen IP-Adressen in den VPN-Ereignissen in ihren geografischen Standort auflösen zu können.