Instalación de ATA: paso 7
Se aplica a: Advanced Threat Analytics versión 1.9
Paso 7: Integración de VPN
Microsoft Advanced Threat Analytics (ATA) versión 1.8 y posteriores pueden recopilar información de contabilidad de soluciones VPN. Cuando se configura, la página de perfil del usuario incluye información de las conexiones VPN, como las direcciones IP y las ubicaciones donde se originaron las conexiones. Esto complementa el proceso de investigación proporcionando información adicional sobre la actividad del usuario. La llamada para resolver una dirección IP externa en una ubicación es anónima. No se envía ningún identificador personal en esta llamada.
ATA se integra con la solución VPN escuchando eventos de contabilidad RADIUS reenviados a las puertas de enlace de ATA. Este mecanismo se basa en la contabilidad RADIUS estándar (RFC 2866) y se admiten los siguientes proveedores de VPN:
- Microsoft
- F5
- Cisco ASA
Importante
A partir de septiembre de 2019, el servicio de ubicación geográfica de VPN de Advanced Threat Analytics responsable de detectar ubicaciones VPN ahora admite exclusivamente TLS 1.2. Asegúrese de que el Centro de ATA está configurado para admitir TLS 1.2, ya que ya no se admiten las versiones 1.1 y 1.0.
Requisitos previos
Para habilitar la integración de VPN, asegúrese de establecer los parámetros siguientes:
Abra el puerto UDP 1813 en las puertas de enlace de ATA y las puertas de enlace ligeras de ATA.
El Centro de ATA debe poder acceder a ti.ata.azure.com mediante HTTPS (puerto 443) para que pueda consultar la ubicación de las direcciones IP entrantes.
En el ejemplo siguiente se usa el enrutamiento de Microsoft y el servidor de acceso remoto (RRAS) para describir el proceso de configuración de VPN.
Si usa una solución VPN de terceros, consulte su documentación para obtener instrucciones sobre cómo habilitar la contabilidad RADIUS.
Configuración de la contabilidad RADIUS en el sistema VPN
Lleve a cabo los siguientes pasos en el servidor RRAS.
Abra la consola de Enrutamiento y Acceso remoto.
Haga clic con el botón derecho en el nombre del servidor y seleccione Propiedades.
En la pestaña Seguridad, en Proveedor de contabilidad, seleccione Contabilidad RADIUS y haga clic en Configurar.
En la ventana Agregar servidor RADIUS, escriba el nombre del servidor de la puerta de enlace de ATA más cercana o la puerta de enlace ligera de ATA. En Puerto, asegúrese de que el valor predeterminado de 1813 está configurado. Haga clic en Cambiar y escriba una nueva cadena secreta compartida de caracteres alfanuméricos que puede recordar. Debe rellenarla más adelante en la configuración de ATA. Active la casilla Enviar mensajes de Contabilidad activada y Contabilidad desactivada y, a continuación, haga clic en Aceptar en todos los cuadros de diálogo abiertos.
Configuración de VPN en ATA
ATA recopila datos de VPN e identifica cuándo y dónde se usan las credenciales a través de VPN e integra esos datos en la investigación. Esto proporciona información adicional para ayudarle a investigar las alertas notificadas por ATA.
Para configurar los datos de VPN en ATA:
En la consola de ATA, abra la página Configuración de ATA y vaya a VPN.
Active la contabilidad de Radius y escriba el secreto compartido que configuró anteriormente en el servidor VPN RRAS. A continuación, haga clic en Save(Guardar).
Una vez habilitada esta opción, todas las puertas de enlace de ATA y las puertas de enlace ligeras escuchan en el puerto 1813 para eventos de contabilidad RADIUS.
La configuración se ha completado y ahora puede ver la actividad de VPN en la página de perfil de los usuarios:
Una vez que la puerta de enlace de ATA recibe los eventos de VPN y los envía al Centro de ATA para su procesamiento, el Centro de ATA necesita acceder a ti.ata.azure.com mediante HTTPS (puerto 443) para poder resolver las direcciones IP externas de los eventos VPN en su ubicación geográfica.