Dela via

Installera ATA – steg 7

  • Artikel

Gäller för: Advanced Threat Analytics version 1.9

« Steg 5Steg 8 »

Steg 7: Integrera VPN

Microsoft Advanced Threat Analytics (ATA) version 1.8 och senare kan samla in redovisningsinformation från VPN-lösningar. När den konfigureras innehåller användarens profilsida information från VPN-anslutningarna, till exempel IP-adresser och platser där anslutningarna kommer från. Detta kompletterar undersökningsprocessen genom att tillhandahålla ytterligare information om användaraktivitet. Anropet för att matcha en extern IP-adress till en plats är anonymt. Ingen personlig identifierare skickas i det här anropet.

ATA integreras med din VPN-lösning genom att lyssna på RADIUS-redovisningshändelser som vidarebefordras till ATA-gatewayerna. Den här mekanismen baseras på STANDARD RADIUS Accounting (RFC 2866) och följande VPN-leverantörer stöds:

  • Microsoft
  • F5
  • Cisco ASA

Viktigt

Från och med september 2019 har den geoplatstjänst för Advanced Threat Analytics VPN som ansvarar för att identifiera VPN-platser nu exklusivt stöd för TLS 1.2. Kontrollera att ATA Center har konfigurerats för att stödja TLS 1.2 eftersom versionerna 1.1 och 1.0 inte längre stöds.

Förhandskrav

Om du vill aktivera VPN-integrering kontrollerar du att du anger följande parametrar:

  • Öppna port UDP 1813 på dina ATA-gatewayer och ATA Lightweight Gateways.

  • ATA Center måste kunna komma åt ti.ata.azure.com med https (port 443) så att det kan fråga platsen för inkommande IP-adresser.

I exemplet nedan används Microsoft Routing and Remote Access Server (RRAS) för att beskriva VPN-konfigurationsprocessen.

Om du använder en VPN-lösning från tredje part läser du dokumentationen för instruktioner om hur du aktiverar RADIUS-redovisning.

Konfigurera RADIUS-redovisning i VPN-systemet

Utför följande steg på RRAS-servern.

  1. Öppna konsolen Routning och fjärråtkomst.

  2. Högerklicka på servernamnet och välj Egenskaper.

  3. På fliken Säkerhet under Redovisningsprovider väljer du RADIUS-redovisning och klickar på Konfigurera.

    RADIUS-konfiguration.

  4. I fönstret Lägg till RADIUS-server skriver du servernamnet för närmaste ATA Gateway eller ATA Lightweight Gateway. Under Port kontrollerar du att standardvärdet 1813 är konfigurerat. Klicka på Ändra och skriv en ny delad hemlighetssträng med alfanumeriska tecken som du kan komma ihåg. Du måste fylla i den senare i ATA-konfigurationen. Markera rutan Skicka MEDDELANDEN för RADIUS-konto på och Redovisning av och klicka sedan på OK i alla öppna dialogrutor.

    Skärmbild som visar VPN-konfiguration.

Konfigurera VPN i ATA

ATA samlar in VPN-data och identifierar när och var autentiseringsuppgifter används via VPN och integrerar dessa data i din undersökning. Detta ger ytterligare information som hjälper dig att undersöka aviseringar som rapporterats av ATA.

Så här konfigurerar du VPN-data i ATA:

  1. I ATA-konsolen öppnar du sidan ATA-konfiguration och går till VPN.

    ATA-konfigurationsmeny.

  2. Aktivera Radius Accounting och skriv den delade hemlighet som du konfigurerade tidigare på din RRAS VPN-server. Klicka sedan på Spara.

    Konfigurera ATA VPN.

När detta har aktiverats lyssnar alla ATA-gatewayer och Lightweight Gateways på port 1813 för RADIUS-redovisningshändelser.

Konfigurationen är klar och du kan nu se VPN-aktivitet på användarnas profilsida:

VPN-konfiguration.

När ATA Gateway tar emot VPN-händelserna och skickar dem till ATA Center för bearbetning behöver ATA Center åtkomst till ti.ata.azure.com med https (port 443) för att kunna matcha de externa IP-adresserna i VPN-händelserna till deras geografiska plats.

« Steg 6Steg 8 »

Se även