Megosztás a következőn keresztül:


Az ATA telepítése – 8. lépés

A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió

8. lépés: IP-címkizárások és Honeytoken-felhasználó konfigurálása

Az ATA lehetővé teszi bizonyos IP-címek vagy felhasználók kizárását számos észlelésből.

A DNS-felderítés kizárása lehet például egy biztonsági ellenőrző eszköz, amely DNS-t használ vizsgálati mechanizmusként. A kizárás segít az ATA-nak figyelmen kívül hagyni az ilyen szkennereket. A pass-the-ticket kizárásra példa a NAT-eszköz.

Az ATA lehetővé teszi egy Honeytoken-felhasználó konfigurálását is, amely a rosszindulatú szereplők csapdájaként szolgál – az ehhez a (általában alvó) fiókhoz társított hitelesítés riasztást aktivál.

Ennek konfigurálásához kövesse az alábbi lépéseket:

  1. Az ATA-konzolon kattintson a beállítások ikonra, és válassza a Konfiguráció lehetőséget.

    Az ATA konfigurációs beállításai.

  2. Az Észlelés területen kattintson az Entitáscímkék elemre.

  3. A Honeytoken-fiókok területen adja meg a Honeytoken-fiók nevét. A Honeytoken-fiókok mező kereshető, és automatikusan megjeleníti a hálózaton lévő entitásokat.

    Képernyőkép a Honeytoken-fióknév bejegyzésről.

  4. Kattintson a Kizárások elemre. Minden fenyegetéstípusnál adjon meg egy felhasználói fiókot vagy IP-címet, amelyet ki szeretne zárni a fenyegetések észleléséből, majd kattintson a pluszjelre . Az Entitás hozzáadása (felhasználó vagy számítógép) mező kereshető, és automatikusan kitölti a hálózat entitásaival. További információ: Entitások kizárása az észlelésekből

    Képernyőkép az entitások észleléséből való kizárásáról.

  5. Kattintson a Mentés gombra.

Gratulálunk, sikeresen üzembe helyezte a Microsoft Advanced Threat Analyticset!

Ellenőrizze a támadási idősort az észlelt gyanús tevékenységek megtekintéséhez, a felhasználók vagy számítógépek kereséséhez és a profiljuk megtekintéséhez.

Az ATA azonnal megkezdi a gyanús tevékenységek keresését. Egyes tevékenységek, például a gyanús viselkedési tevékenységek csak akkor érhetők el, ha az ATA-nak volt ideje viselkedési profilok létrehozására (legalább három hét).

Az ATA támadásszimulációs forgatókönyvével ellenőrizheti, hogy az ATA működik-e és működik-e, és észleli-e a hálózati incidenseket.

Lásd még