Az ATA telepítése – 8. lépés
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
8. lépés: IP-címkizárások és Honeytoken-felhasználó konfigurálása
Az ATA lehetővé teszi bizonyos IP-címek vagy felhasználók kizárását számos észlelésből.
A DNS-felderítés kizárása lehet például egy biztonsági ellenőrző eszköz, amely DNS-t használ vizsgálati mechanizmusként. A kizárás segít az ATA-nak figyelmen kívül hagyni az ilyen szkennereket. A pass-the-ticket kizárásra példa a NAT-eszköz.
Az ATA lehetővé teszi egy Honeytoken-felhasználó konfigurálását is, amely a rosszindulatú szereplők csapdájaként szolgál – az ehhez a (általában alvó) fiókhoz társított hitelesítés riasztást aktivál.
Ennek konfigurálásához kövesse az alábbi lépéseket:
Az ATA-konzolon kattintson a beállítások ikonra, és válassza a Konfiguráció lehetőséget.
Az Észlelés területen kattintson az Entitáscímkék elemre.
A Honeytoken-fiókok területen adja meg a Honeytoken-fiók nevét. A Honeytoken-fiókok mező kereshető, és automatikusan megjeleníti a hálózaton lévő entitásokat.
Kattintson a Kizárások elemre. Minden fenyegetéstípusnál adjon meg egy felhasználói fiókot vagy IP-címet, amelyet ki szeretne zárni a fenyegetések észleléséből, majd kattintson a pluszjelre . Az Entitás hozzáadása (felhasználó vagy számítógép) mező kereshető, és automatikusan kitölti a hálózat entitásaival. További információ: Entitások kizárása az észlelésekből
Kattintson a Mentés gombra.
Gratulálunk, sikeresen üzembe helyezte a Microsoft Advanced Threat Analyticset!
Ellenőrizze a támadási idősort az észlelt gyanús tevékenységek megtekintéséhez, a felhasználók vagy számítógépek kereséséhez és a profiljuk megtekintéséhez.
Az ATA azonnal megkezdi a gyanús tevékenységek keresését. Egyes tevékenységek, például a gyanús viselkedési tevékenységek csak akkor érhetők el, ha az ATA-nak volt ideje viselkedési profilok létrehozására (legalább három hét).
Az ATA támadásszimulációs forgatókönyvével ellenőrizheti, hogy az ATA működik-e és működik-e, és észleli-e a hálózati incidenseket.