Installer ATA - Étape 8
S’applique à : Advanced Threat Analytics version 1.9
Étape 8 : Configurer les exclusions d’adresses IP et l’utilisateur Honeytoken
ATA permet d’exclure des adresses IP ou des utilisateurs spécifiques d’un certain nombre de détections.
Par exemple, une exclusion de reconnaissance DNS peut être un analyseur de sécurité qui utilise DNS comme mécanisme d’analyse. L’exclusion permet à ATA d’ignorer ces scanneurs. Un appareil NAT est un exemple d’exclusion Pass-the-Ticket .
ATA permet également la configuration d’un utilisateur Honeytoken, qui est utilisé comme piège pour les acteurs malveillants : toute authentification associée à ce compte (normalement dormant) déclenche une alerte.
Pour configurer cela, procédez comme suit :
Dans la console ATA, cliquez sur l’icône des paramètres et sélectionnez Configuration.
Sous Détection, cliquez sur Étiquettes d’entité.
Sous Comptes Honeytoken , entrez le nom du compte Honeytoken. Le champ Comptes Honeytoken peut faire l’objet d’une recherche et affiche automatiquement les entités de votre réseau.
Cliquez sur Exclusions. Pour chaque type de menace, entrez un compte d’utilisateur ou une adresse IP à exclure de la détection de ces menaces, puis cliquez sur le signe plus . Le champ Ajouter une entité (utilisateur ou ordinateur) peut faire l’objet d’une recherche et se remplira automatiquement avec les entités de votre réseau. Pour plus d’informations, consultez Exclusion d’entités des détections
Cliquez sur Save (Enregistrer).
Félicitations, vous avez déployé avec succès Microsoft Advanced Threat Analytics !
Vérifiez la ligne de temps d’attaque pour afficher les activités suspectes détectées et recherchez des utilisateurs ou des ordinateurs et affichez leurs profils.
ATA commence immédiatement à rechercher les activités suspectes. Certaines activités, telles que certaines des activités de comportement suspect, ne sont pas disponibles tant qu’ATA n’a pas eu le temps de créer des profils comportementaux (minimum de trois semaines).
Pour case activée qu’ATA est opérationnel et intercepte les violations dans votre réseau, vous pouvez case activée le playbook de simulation d’attaque ATA.