ATA installeren - stap 7
Van toepassing op: Advanced Threat Analytics versie 1.9
Stap 7: VPN integreren
Microsoft Advanced Threat Analytics (ATA) versie 1.8 en hoger kan boekhoudgegevens verzamelen van VPN-oplossingen. Wanneer deze is geconfigureerd, bevat de profielpagina van de gebruiker informatie van de VPN-verbindingen, zoals de IP-adressen en locaties waar verbindingen afkomstig zijn. Dit vormt een aanvulling op het onderzoeksproces door aanvullende informatie over gebruikersactiviteit te verstrekken. De aanroep voor het oplossen van een extern IP-adres naar een locatie is anoniem. Er wordt geen persoonlijke id verzonden in deze aanroep.
ATA integreert met uw VPN-oplossing door te luisteren naar RADIUS-accountinggebeurtenissen die zijn doorgestuurd naar de ATA-gateways. Dit mechanisme is gebaseerd op standaard RADIUS Accounting (RFC 2866) en de volgende VPN-leveranciers worden ondersteund:
- Microsoft
- F5
- Cisco ASA
Belangrijk
Vanaf september 2019 ondersteunt de Advanced Threat Analytics VPN-geo-locatieservice die verantwoordelijk is voor het detecteren van VPN-locaties nu uitsluitend TLS 1.2. Zorg ervoor dat uw ATA Center is geconfigureerd voor ondersteuning van TLS 1.2, omdat versies 1.1 en 1.0 niet meer worden ondersteund.
Vereisten
Als u VPN-integratie wilt inschakelen, moet u de volgende parameters instellen:
Open poort UDP 1813 op uw ATA-gateways en ATA Lightweight-gateways.
Het ATA Center moet toegang hebben tot ti.ata.azure.com via HTTPS (poort 443), zodat de locatie van binnenkomende IP-adressen kan worden opgevraagd.
In het onderstaande voorbeeld wordt Microsoft Routing and Remote Access Server (RRAS) gebruikt om het VPN-configuratieproces te beschrijven.
Als u een VPN-oplossing van derden gebruikt, raadpleegt u de bijbehorende documentatie voor instructies voor het inschakelen van RADIUS-accounting.
RADIUS-accounting configureren op het VPN-systeem
Voer de volgende stappen uit op uw RRAS-server.
Open de console Routering en RAS.
Klik met de rechtermuisknop op de servernaam en selecteer Eigenschappen.
Selecteer op het tabblad Beveiliging onder Boekhoudprovider de optie RADIUS-accounting en klik op Configureren.
Typ in het venster RADIUS-server toevoegen de servernaam van de dichtstbijzijnde ATA-gateway of ATA Lightweight-gateway. Controleer onder Poort of de standaardwaarde 1813 is geconfigureerd. Klik op Wijzigen en typ een nieuwe gedeelde geheime tekenreeks met alfanumerieke tekens die u kunt onthouden. U moet deze later invullen in uw ATA-configuratie. Schakel het selectievakje RADIUS-account verzenden aan en Accounting off-berichten in en klik vervolgens op OK in alle geopende dialoogvensters.
VPN configureren in ATA
ATA verzamelt VPN-gegevens en identificeert wanneer en waar referenties worden gebruikt via VPN en integreert die gegevens in uw onderzoek. Dit biedt aanvullende informatie om u te helpen bij het onderzoeken van waarschuwingen die zijn gerapporteerd door ATA.
VPN-gegevens configureren in ATA:
Open in de ATA-console de pagina ATA-configuratie en ga naar VPN.
Schakel Radius Accounting in en typ het gedeelde geheim dat u eerder hebt geconfigureerd op uw RRAS VPN-server. Klik vervolgens op Opslaan.
Nadat dit is ingeschakeld, luisteren alle ATA-gateways en Lightweight-gateways op poort 1813 naar RADIUS-accounting-gebeurtenissen.
Uw installatie is voltooid en u kunt nu VPN-activiteit zien op de profielpagina van de gebruikers:
Nadat de ATA Gateway de VPN-gebeurtenissen heeft ontvangen en deze voor verwerking naar het ATA Center heeft verzonden, heeft het ATA Center toegang nodig tot ti.ata.azure.com via HTTPS (poort 443) om de externe IP-adressen in de VPN-gebeurtenissen op hun geografische locatie te kunnen omzetten.