Compartir a través de

Instalación de ATA: paso 8

  • Artículo

Se aplica a: Advanced Threat Analytics versión 1.9

« Paso 7Paso 9 »

Paso 8: Configuración de exclusiones de direcciones IP y usuario de Honeytoken

ATA permite la exclusión de direcciones IP o usuarios específicos de varias detecciones.

Por ejemplo, una exclusión de reconocimiento de DNS podría ser un analizador de seguridad que use DNS como mecanismo de examen. La exclusión ayuda a ATA a ignorar estos escáneres. Un ejemplo de exclusión pass-the-ticket es un dispositivo NAT.

ATA también habilita la configuración de un usuario honeytoken, que se usa como trampa para actores malintencionados: cualquier autenticación asociada a esta cuenta (normalmente inactiva) desencadena una alerta.

Para configurar esto, siga estos pasos:

  1. En la consola de ATA, haga clic en el icono de configuración y seleccione Configuración.

    Opciones de configuración de ATA.

  2. En Detección, haga clic en Etiquetas de entidad.

  3. En Cuentas de Honeytoken , escriba el nombre de la cuenta de Honeytoken. El campo Cuentas de Honeytoken se puede buscar y muestra automáticamente las entidades de la red.

    Captura de pantalla que muestra la entrada de nombre de cuenta de Honeytoken.

  4. Haga clic en Exclusiones. Para cada tipo de amenaza, escriba una cuenta de usuario o una dirección IP que se excluirá de la detección de estas amenazas y haga clic en el signo más . El campo Agregar entidad (usuario o equipo) se puede buscar y se rellenará automáticamente con las entidades de la red. Para obtener más información, consulte Exclusión de entidades de detecciones.

    Captura de pantalla que muestra la exclusión de entidades de la detección.

  5. Haga clic en Guardar.

Enhorabuena, ha implementado correctamente Microsoft Advanced Threat Analytics!

Compruebe la línea de tiempo de ataque para ver las actividades sospechosas detectadas y busque usuarios o equipos y vea sus perfiles.

ATA comienza a examinar las actividades sospechosas inmediatamente. Algunas actividades, como algunas de las actividades de comportamiento sospechosas, no están disponibles hasta que ATA haya tenido tiempo para crear perfiles de comportamiento (como mínimo tres semanas).

Para comprobar que ATA está en funcionamiento y detecta infracciones en la red, puede consultar el cuaderno de estrategias de simulación de ataques ATA.

« Paso 7Paso 9 »

Recursos adicionales