ATA 설치 - 8단계

적용 대상: Advanced Threat Analytics 버전 1.9

« 7단계9단계 »

8단계: IP 주소 제외 및 Honeytoken 사용자 구성

ATA를 사용하면 여러 검색에서 특정 IP 주소 또는 사용자를 제외할 수 있습니다.

예를 들어 DNS 정찰 제외는 DNS 를 검사 메커니즘으로 사용하는 보안 스캐너일 수 있습니다. 제외는 ATA가 이러한 스캐너를 무시하는 데 도움이 됩니다. Pass-the-Ticket 제외의 예는 NAT 디바이스입니다.

또한 ATA는 악의적인 행위자를 위한 트랩으로 사용되는 Honeytoken 사용자의 구성을 사용하도록 설정합니다. 이(일반적으로 휴면) 계정과 관련된 모든 인증은 경고를 트리거합니다.

이를 구성하려면 다음 단계를 수행합니다.

1. ATA 콘솔에서 설정 아이콘을 클릭하고 구성을 선택합니다.

   

2. 검색에서 엔터티 태그를 클릭합니다.

3. Honeytoken 계정 아래에 Honeytoken 계정 이름을 입력합니다. Honeytoken 계정 필드는 검색할 수 있으며 네트워크에 엔터티를 자동으로 표시합니다.

   

4. 제외를 클릭합니다. 각 위협 유형에 대해 이러한 위협 검색에서 제외할 사용자 계정 또는 IP 주소를 입력하고 더하기 기호를 클릭합니다. 엔터티 추가(사용자 또는 컴퓨터) 필드는 검색할 수 있으며 네트워크의 엔터티로 자동 채워집니다. 자세한 내용은 검색에서 엔터티 제외를 참조하세요.

   

5. 저장을 클릭합니다.

축하합니다. Microsoft Advanced Threat Analytics를 성공적으로 배포했습니다.

공격 시간선을 확인하여 검색된 의심스러운 활동을 보고 사용자 또는 컴퓨터를 검색하고 프로필을 확인합니다.

ATA는 의심스러운 활동을 즉시 검색하기 시작합니다. 의심스러운 동작 활동 중 일부와 같은 일부 활동은 ATA에서 동작 프로필을 빌드할 시간이 있기 전까지는 사용할 수 없습니다(최소 3주).

ATA가 실행 중이며 네트워크에서 위반을 catch하고 있음을 검사 위해 ATA 공격 시뮬레이션 플레이북을 검사 수 있습니다.

« 7단계9단계 »

참고 항목

• ATA POC 배포 가이드
• ATA 크기 조정 도구
• ATA 포럼을 확인하세요!
• 이벤트 컬렉션 구성
• ATA 필수 구성 요소