ATA のインストール - 手順 7
適用対象: Advanced Threat Analytics バージョン 1.9
手順 7: VPN を統合する
Microsoft Advanced Threat Analytics (ATA) バージョン 1.8 以降では、VPN ソリューションからアカウンティング情報を収集できます。 構成すると、ユーザーのプロファイル ページには、VPN 接続からの情報 (IP アドレスや接続の送信元の場所など) が含まれます。 これにより、ユーザー アクティビティに関する追加情報が提供され、調査プロセスが補完されます。 外部 IP アドレスを場所に解決する呼び出しは匿名です。 この呼び出しでは個人識別子は送信されません。
ATA は、ATA ゲートウェイに転送される RADIUS アカウンティング イベントをリッスンすることで、VPN ソリューションと統合します。 このメカニズムは、標準の RADIUS アカウンティング (RFC 2866) に基づいており、次の VPN ベンダーがサポートされています。
- Microsoft
- F5
- Cisco ASA
重要
2019 年 9 月の時点で、VPN の場所の検出を担当する Advanced Threat Analytics VPN geo 位置情報サービスでは、TLS 1.2 のみがサポートされるようになりました。 バージョン 1.1 と 1.0 がサポートされなくなったので、ATA センターが TLS 1.2 をサポートするように構成されていることを確認します。
前提条件
VPN 統合を有効にするには、次のパラメーターを設定してください。
ATA ゲートウェイと ATA ライトウェイト ゲートウェイでポート UDP 1813 を開きます。
ATA センターは、受信 IP アドレス の 場所を照会できるように、HTTPS (ポート 443) を使用して ti.ata.azure.com にアクセスできる必要があります。
次の例では、Microsoft ルーティングとリモート アクセス サーバー (RRAS) を使用して、VPN 構成プロセスについて説明します。
サード パーティ製 VPN ソリューションを使用している場合は、RADIUS アカウンティングを有効にする方法に関するドキュメントを参照してください。
VPN システムで RADIUS アカウンティングを構成する
RRAS サーバーで次の手順を実行します。
ルーティングとリモート アクセス コンソールを開きます。
サーバー名を右クリックし、[プロパティ] を選択 します。
[ セキュリティ ] タブの [ アカウンティング プロバイダー] で、[ RADIUS アカウンティング ] を選択し、[ 構成] をクリックします。
[ RADIUS サーバーの追加] ウィンドウで、最も近い ATA ゲートウェイまたは ATA ライトウェイト ゲートウェイの サーバー名 を入力します。 [ ポート] で、既定値の 1813 が構成されていることを確認します。 [ 変更 ] をクリックし、覚えておくことができる英数字の新しい共有シークレット文字列を入力します。 後で ATA 構成で入力する必要があります。 [ RADIUS アカウントのオンとアカウンティングオフのメッセージの送信 ] ボックスをオンにし、開いているすべてのダイアログ ボックスで [OK] をクリックします 。
ATA で VPN を構成する
ATA は VPN データを収集し、VPN 経由で資格情報が使用されているタイミングと場所を特定し、そのデータを調査に統合します。 これにより、ATA によって報告されたアラートを調査するのに役立つ追加情報が提供されます。
ATA で VPN データを構成するには:
ATA コンソールで、[ATA 構成] ページを開き、[VPN] に移動 します。
Radius アカウンティングを有効にし、RRAS VPN Server で前に構成した共有シークレットを入力します。 [保存] をクリックします。
これを有効にすると、すべての ATA ゲートウェイとライトウェイト ゲートウェイがポート 1813 で RADIUS アカウンティング イベントをリッスンします。
セットアップが完了し、ユーザーのプロファイル ページに VPN アクティビティが表示されるようになりました。
ATA ゲートウェイが VPN イベントを受信して処理のために ATA センターに送信した後、ATA センターは HTTPS (ポート 443) を使用して ti.ata.azure.com にアクセスして、VPN イベントの外部 IP アドレスを地理的な場所に解決できるようにする必要があります。