Konfigurieren von Ausschlüssen von Erkennungen und HoneytokenkontenConfigure detection exclusions and honeytoken accounts

Azure ATP ermöglicht den Ausschluss bestimmter IP-Adressen oder Benutzer aus einer Reihe von Erkennungen.Azure ATP enables the exclusion of specific IP addresses or users from a number of detections.

Angenommen, ein DNS-Reconnaissance-Ausschluss könnte eine Sicherheitsprüfung sein, die DNS als Überprüfungsmechanismus verwendet.For example, a DNS Reconnaissance exclusion could be a security scanner that uses DNS as a scanning mechanism. Der Ausschluss hilft Azure ATP, Überprüfungen dieser Art zu ignorieren.The exclusion helps Azure ATP ignore such scanners.

Azure ATP ermöglicht auch die Konfiguration von Honeytokenkonten, die als Traps für böswillige Akteure verwendet werden. Jede Authentifizierung, die diesen (normalerweise ruhenden) Honeytokenkonten zugeordnet ist, löst eine Warnung aus.Azure ATP also enables the configuration of honeytoken accounts, which are used as traps for malicious actors - any authentication associated with these honeytoken accounts (normally dormant), triggers an alert.

Dazu führen Sie folgende Schritte aus:To configure, follow these steps:

  1. Klicken Sie im Azure ATP-Portal zuerst auf das Symbol „Einstellungen“ und dann auf Konfiguration.From the Azure ATP portal, click on the settings icon and select Configuration.

    Azure ATP-Konfigurationseinstellungen

  2. Klicken Sie unter Erkennung auf Entitätstag.Under Detection, click Entity tags.

  3. Geben Sie unter Honeytokenkonten den Kontonamen des Honeytokens ein, und klicken Sie auf das +-Zeichen.Under Honeytoken accounts, enter the Honeytoken account name and click the + sign. Das Honeytoken-Kontenfeld kann gesucht werden und zeigt automatisch Entitäten in Ihrem Netzwerk an.The Honeytoken accounts field is searchable and automatically displays entities in your network. Klicken Sie auf Speichern.Click Save.

    Honeytoken

  4. Klicken Sie auf Ausschlüsse.Click Exclusions. Geben Sie für jeden Bedrohungstyp ein Benutzerkonto oder eine IP-Adresse ein, das/die von der Erkennung ausgeschlossen werden soll.Enter a user account or IP address to be excluded from the detection, for each type of threat.

  5. Klicken Sie auf das Plus-Zeichen.Click the plus sign. Das Feld Entität hinzufügen (Benutzer oder Computer) kann durchsucht werden und wird automatisch mit Entitäten in Ihrem Netzwerk gefüllt.The Add entity (user or computer) field is searchable and will autofill with entities in your network. Weitere Informationen finden Sie unter Ausschließen von Entitäten von Erkennungen und im Handbuch zu Sicherheitswarnungen.For more information, see Excluding entities from detections and the security alert guide.

    Ausschlüsse

  6. Klicken Sie auf Speichern.Click Save.

Damit haben Sie Azure Advanced Threat Protection erfolgreich bereitgestellt.Congratulations, you have successfully deployed Azure Advanced Threat Protection!

Sie können nun die Angriffszeitleiste auf erkannte Sicherheitswarnungen prüfen sowie nach Benutzern oder Computern suchen und deren Profile anzeigen.Check the attack time line to view detected security alerts and search for users or computers, and view their profiles.

Azure ATP-Überprüfung wird sofort gestartet.Azure ATP scanning starts immediately. Einige Erkennungen wie Abnormal Group Modification (ungewöhnliche Gruppenänderungen) erfordern eine Lernphase und sind nicht unmittelbar nach der Azure ATP-Bereitstellung verfügbar.Some detections, such as Abnormal Group Modifications, require a learning period and aren't available immediately after Azure ATP deployment.

Weitere InformationenSee Also