ATA 설치 - 7단계
적용 대상: Advanced Threat Analytics 버전 1.9
7단계: VPN 통합
MICROSOFT ATA(Advanced Threat Analytics) 버전 1.8 이상은 VPN 솔루션에서 회계 정보를 수집할 수 있습니다. 구성된 경우 사용자의 프로필 페이지에는 VPN 연결의 정보(예: IP 주소 및 연결이 시작된 위치)가 포함됩니다. 이는 사용자 활동에 대한 추가 정보를 제공하여 조사 프로세스를 보완합니다. 외부 IP 주소를 위치에 resolve 호출은 익명입니다. 이 호출에서는 개인 식별자가 전송되지 않습니다.
ATA는 ATA 게이트웨이로 전달되는 RADIUS 회계 이벤트를 수신 대기하여 VPN 솔루션과 통합됩니다. 이 메커니즘은 표준 RADIUS Accounting(RFC 2866)을 기반으로 하며 다음 VPN 공급업체가 지원됩니다.
- Microsoft
- F5
- Cisco ASA
중요
2019년 9월부터 VPN 위치 검색을 담당하는 Advanced Threat Analytics VPN 지리적 위치 서비스는 이제 TLS 1.2만 지원합니다. 버전 1.1 및 1.0이 더 이상 지원되지 않으므로 ATA 센터가 TLS 1.2를 지원하도록 구성되어 있는지 확인합니다.
필수 구성 요소
VPN 통합을 사용하도록 설정하려면 다음 매개 변수를 설정해야 합니다.
ATA 게이트웨이 및 ATA 경량 게이트웨이에서 포트 UDP 1813을 엽니다.
ATA 센터는 들어오는 IP 주소의 위치를 쿼리할 수 있도록 HTTPS(포트 443) 를 사용하여 ti.ata.azure.com 액세스할 수 있어야 합니다.
아래 예제에서는 Microsoft 라우팅 및 RRAS(원격 액세스 서버)를 사용하여 VPN 구성 프로세스를 설명합니다.
타사 VPN 솔루션을 사용하는 경우 RADIUS Accounting을 사용하도록 설정하는 방법에 대한 지침은 해당 설명서를 참조하세요.
VPN 시스템에서 RADIUS 회계 구성
RRAS 서버에서 다음 단계를 수행합니다.
라우팅 및 원격 액세스 콘솔을 엽니다.
서버 이름을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
보안 탭의 회계 공급자에서 RADIUS 회계를 선택하고 구성을 클릭합니다.
RADIUS 서버 추가 창에서 가장 가까운 ATA 게이트웨이 또는 ATA 경량 게이트웨이의 서버 이름을 입력합니다. 포트에서 기본값 1813이 구성되어 있는지 확인합니다. 변경을 클릭하고 기억할 수 있는 영숫자 문자의 새 공유 비밀 문자열을 입력합니다. 나중에 ATA 구성에서 작성해야 합니다. RADIUS 계정 보내기 및 계정 끄기 메시지 확인란을 선택한 다음 열려 있는 모든 대화 상자에서 확인을 클릭합니다.
ATA에서 VPN 구성
ATA는 VPN 데이터를 수집하고 VPN을 통해 자격 증명이 사용되는 시기와 위치를 식별하고 해당 데이터를 조사에 통합합니다. 이렇게 하면 ATA에서 보고한 경고를 조사하는 데 도움이 되는 추가 정보가 제공됩니다.
ATA에서 VPN 데이터를 구성하려면 다음을 수행합니다.
ATA 콘솔에서 ATA 구성 페이지를 열고 VPN으로 이동합니다.
Radius Accounting을 켜고 이전에 RRAS VPN 서버에서 구성한 공유 비밀을 입력합니다. 그런 다음 저장을 클릭합니다.
이 기능을 사용하도록 설정하면 모든 ATA 게이트웨이 및 경량 게이트웨이는 RADIUS 회계 이벤트에 대한 포트 1813에서 수신 대기합니다.
설정이 완료되었으며 이제 사용자의 프로필 페이지에서 VPN 활동을 볼 수 있습니다.
ATA 게이트웨이가 VPN 이벤트를 수신하고 처리를 위해 ATA 센터로 보낸 후 ATA 센터는 VPN 이벤트의 외부 IP 주소를 지리적 위치로 resolve 수 있도록 HTTPS(포트 443)를 사용하여 ti.ata.azure.com 액세스해야 합니다.