Instalar o ATA – Passo 8
Aplica-se a: Advanced Threat Analytics versão 1.9
Passo 8: Configurar exclusões de endereços IP e utilizador honeytoken
O ATA permite a exclusão de endereços IP ou utilizadores específicos de várias deteções.
Por exemplo, uma exclusão de Reconhecimento de DNS pode ser um detetor de segurança que utiliza o DNS como um mecanismo de análise. A exclusão ajuda o ATA a ignorar esses scanners. Um exemplo de uma exclusão Pass-the-Ticket é um dispositivo NAT.
O ATA também permite a configuração de um utilizador Honeytoken, que é utilizado como uma armadilha para atores maliciosos – qualquer autenticação associada a esta conta (normalmente inativa) aciona um alerta.
Para configurar isto, siga estes passos:
Na ATA Console, clique no ícone de definições e selecione Configuração.
Em Deteção, clique em Etiquetas de entidade.
Em Contas Honeytoken , introduza o nome da conta Honeytoken. O campo Contas Honeytoken é pesquisável e apresenta automaticamente entidades na sua rede.
Clique em Exclusões. Para cada tipo de ameaça, introduza uma conta de utilizador ou endereço IP para ser excluído da deteção destas ameaças e clique no sinal de adição . O campo Adicionar entidade (utilizador ou computador) é pesquisável e será preenchido automaticamente com entidades na sua rede. Para obter mais informações, veja Excluir entidades de deteções
Clique em Salvar.
Parabéns, implementou com êxito o Microsoft Advanced Threat Analytics!
Verifique a linha temporal do ataque para ver as atividades suspeitas detetadas e procure utilizadores ou computadores e veja os respetivos perfis.
O ATA começa imediatamente a procurar atividades suspeitas. Algumas atividades, como algumas das atividades de comportamento suspeito, não estão disponíveis até que o ATA tenha tido tempo para criar perfis comportamentais (no mínimo, três semanas).
Para marcar que o ATA está em execução e a detetar falhas na sua rede, pode marcar o manual de procedimentos de simulação de ataques do ATA.