Instalowanie usługi ATA — krok 8
Dotyczy: Advanced Threat Analytics w wersji 1.9
Krok 8. Konfigurowanie wykluczeń adresów IP i użytkownika honeytoken
Usługa ATA umożliwia wykluczenie określonych adresów IP lub użytkowników z wielu wykryć.
Na przykład wykluczenie rekonesansu DNS może być skanerem zabezpieczeń, który używa systemu DNS jako mechanizmu skanowania. Wykluczenie pomaga usłudze ATA ignorować takie skanery. Przykładem wykluczenia typu Pass-the-Ticket jest urządzenie NAT.
Usługa ATA umożliwia również konfigurację użytkownika honeytoken, który jest używany jako pułapka dla złośliwych aktorów — każde uwierzytelnianie skojarzone z tym (zwykle uśpionym) kontem wyzwala alert.
Aby to skonfigurować, wykonaj następujące kroki:
W konsoli usługi ATA kliknij ikonę ustawień i wybierz pozycję Konfiguracja.
W obszarze Wykrywanie kliknij pozycję Tagi jednostki.
W obszarze Konta honeytoken wprowadź nazwę konta Honeytoken. Pole Konta honeytoken można przeszukiwać i automatycznie wyświetla jednostki w sieci.
Kliknij pozycję Wykluczenia. Dla każdego typu zagrożenia wprowadź konto użytkownika lub adres IP, które ma zostać wykluczone z wykrywania tych zagrożeń, i kliknij znak plus . Pole Dodaj jednostkę (użytkownika lub komputer) można przeszukiwać i będzie automatycznie wypełniać jednostki w sieci. Aby uzyskać więcej informacji, zobacz Wykluczanie jednostek z wykrywania
Kliknij Zapisz.
Gratulacje, pomyślnie wdrożono usługę Microsoft Advanced Threat Analytics!
Sprawdź wiersz czasu ataku, aby wyświetlić wykryte podejrzane działania i wyszukać użytkowników lub komputery i wyświetlić ich profile.
Usługa ATA natychmiast rozpoczyna skanowanie pod kątem podejrzanych działań. Niektóre działania, takie jak niektóre podejrzane działania zachowania, nie są dostępne, dopóki usługa ATA nie będzie miała czasu na tworzenie profilów behawioralnych (co najmniej trzy tygodnie).
Aby sprawdzić, czy usługa ATA działa i łapie naruszenia zabezpieczeń w sieci, możesz zapoznać się z podręcznikiem symulacji ataków usługi ATA.