安装 ATA - 步骤 8

适用于：高级威胁分析版本 1.9

« 步骤 7步骤 9 »

步骤 8：配置 IP 地址排除项和 Honeytoken 用户

ATA 允许从大量检测中排除特定 IP 地址或用户。

例如， DNS 侦查排除 可以是使用 DNS 作为扫描机制的安全扫描程序。 排除可帮助 ATA 忽略此类扫描程序。 “票证”排除的一个示例是 NAT 设备。

ATA 还启用 Honeytoken 用户的配置，该用户用作恶意参与者的陷阱 - 与此 (通常休眠) 帐户关联的任何身份验证都触发警报。

若要对此进行配置，请执行以下步骤：

1. 在 ATA 控制台中，单击设置图标并选择“ 配置”。

   

2. 在 “检测”下，单击“ 实体标记”。

3. 在 “Honeytoken 帐户 ”下输入 Honeytoken 帐户名称。 Honeytoken 帐户字段是可搜索的，并自动显示网络中实体。

   

4. 单击“ 排除项”。 对于每种类型的威胁，请输入要从这些威胁检测中排除的用户帐户或 IP 地址，然后单击 加 号。 “ 添加实体 (用户或计算机) ”字段是可搜索的，并将在网络中自动填充实体。 有关详细信息，请参阅 从检测中排除实体

   

5. 单击保存。

恭喜，已成功部署Microsoft高级威胁分析！

检查攻击时间线以查看检测到的可疑活动，并搜索用户或计算机并查看其配置文件。

ATA 立即开始扫描可疑活动。 在 ATA 有时间生成行为配置文件之前，某些活动（例如某些可疑行为活动）将不可用， (至少三周) 。

若要检查 ATA 已启动并运行并捕获网络中的漏洞，可以检查 ATA 攻击模拟 playbook。

« 步骤 7步骤 9 »

另请参阅

• ATA POC 部署指南
• ATA 大小调整工具
• 查看 ATA 论坛！
• 配置事件集合
• ATA 先决条件