S’applique à : Advanced Threat Analytics version 1.9Applies to: Advanced Threat Analytics version 1.9

Installer ATA - Étape 7Install ATA - Step 7

Étape 7.Step 7. Intégrer le VPNIntegrate VPN

Microsoft Advanced Threat Analytics (ATA) version 1.8 peut collecter des informations de gestion de comptes dans les solutions VPN.Microsoft Advanced Threat Analytics (ATA) version 1.8 can collect accounting information from VPN solutions. Lors de la configuration, la page de profil de l’utilisateur contient des informations sur les connexions VPN, comme les adresses IP et les emplacements d’origine des connexions.When configured, the user's profile page includes information from the VPN connections, such as the IP addresses and locations where connections originated. Elles viennent en complément du processus d’investigation en fournissant des informations supplémentaires sur l’activité des utilisateurs.This complements the investigation process by providing additional information on user activity. L’appel pour résoudre une adresse IP externe à un emplacement est anonyme.The call to resolve an external IP address to a location is anonymous. Aucun identificateur personnel n’est envoyé durant cet appel.No personal identifier is sent in this call.

ATA s’intègre avec votre solution VPN en écoutant les événements de gestion de comptes RADIUS transférés aux passerelles ATA.ATA integrates with your VPN solution by listening to RADIUS accounting events forwarded to the ATA Gateways. Ce mécanisme est basé sur la gestion de comptes RADIUS standard (RFC 2866) et les fournisseurs VPN suivants sont pris en charge :This mechanism is based on standard RADIUS Accounting (RFC 2866), and the following VPN vendors are supported:

  • MicrosoftMicrosoft
  • F5F5
  • Cisco ASACisco ASA

PrérequisPrerequisites

Pour activer l’intégration VPN, veillez à définir les paramètres suivants :To enable VPN integration, make sure you set the following parameters:

  • Ouvrir le port UDP 1813 sur vos passerelles ATA et vos passerelles légères ATA.Open port UDP 1813 on your ATA Gateways and ATA Lightweight Gateways.

  • Le Centre ATA doit pouvoir accéder à ti.ata.azure.com avec HTTPS (port 443) afin d’être en mesure d’interroger l’emplacement des adresses IP entrantes.The ATA Center must be able to access ti.ata.azure.com using HTTPS (port 443) so that it can query the location of incoming IP addresses.

L’exemple ci-dessous utilise Microsoft Routing and Remote Access Server (RRAS) pour décrire le processus de configuration VPN.The example below uses Microsoft Routing and Remote Access Server (RRAS) to describe the VPN configuration process.

Si vous utilisez une solution VPN tierce, consultez sa documentation pour obtenir des instructions sur l’activation de la gestion de comptes RADIUS.If you’re using a third party VPN solution, consult their documentation for instructions on how to enable RADIUS Accounting.

Configurer la gestion de comptes RADIUS sur le système VPNConfigure RADIUS Accounting on the VPN system

Effectuez les étapes suivantes sur votre serveur RRAS.Perform the following steps on your RRAS server.

  1. Ouvrez la console Routage et accès distant.Open the Routing and Remote Access console.
  2. Cliquez avec le bouton droit sur le nom du serveur et cliquez sur Propriétés.Right-click the server name and click Properties.
  3. Sous l’onglet Sécurité, sous Fournisseur de comptes, sélectionnez Gestion de comptes RADIUS et cliquez sur Configurer.In the Security tab, under Accounting provider, select RADIUS Accounting and click Configure.

    Configuration de RADIUS

  4. Dans la fenêtre Ajouter un serveur RADIUS, tapez le Nom du serveur de la passerelle ATA ou de la passerelle légère ATA la plus proche.In the Add RADIUS Server window, type the Server name of the closest ATA Gateway or ATA Lightweight Gateway. Sous Port, veillez à configurer la valeur par défaut 1813.Under Port, make sure the default of 1813 is configured. Cliquez sur Modifier et tapez une nouvelle chaîne secrète partagée de caractères alphanumériques que vous pouvez mémoriser.Click Change and type a new shared secret string of alphanumeric characters that you can remember. Vous devez la fournir plus loin dans votre configuration ATA.You need to fill it out later in your ATA Configuration. Cochez la case Envoyer des messages de comptes RADIUS actifs et inactifs et cliquez sur OK dans toutes les boîtes de dialogue ouvertes.Check the Send RADIUS Account On and Accounting Off messages box and then click OK on all open dialog boxes.

    Configuration du VPN

Configurer le VPN dans ATAConfigure VPN in ATA

ATA collecte les données VPN et identifie quand et où les informations d’identification sont utilisées via le VPN, puis intègre ces données dans votre investigation.ATA collects VPN data and identifies when and where credentials are being used via VPN and integrates that data into your investigation. Vous obtenez ainsi des informations supplémentaires qui vous aideront à étudier les alertes signalées par ATA.This provides additional information to help you investigate alerts reported by ATA.

Pour configurer les données VPN dans ATA :To configure VPN data in ATA:

  1. Dans la console ATA, ouvrez la page Configuration d’ATA et accédez à VPN.In the ATA console, open the ATA Configuration page and go to VPN.

    Menu de configuration ATA

  2. Activez Gestion de comptes Radius et tapez le Secret partagé que vous avez configuré sur votre serveur VPN RRAS.Turn on Radius Accounting, and type the Shared Secret you configured previously on your RRAS VPN Server. Cliquez ensuite sur Enregistrer.Then click Save.

Configurer le VPN ATA

Une fois l’activation effectuée, toutes les passerelles et passerelles légères ATA écoutent le port 1813 pour les événements de gestion de comptes RADIUS.After this is enabled, all ATA Gateways and Lightweight Gateways listen on port 1813 for RADIUS accounting events.

Votre configuration est terminée et vous pouvez voir maintenant l’activité VPN dans la page de profil de l’utilisateur :Your setup is complete, and you can now see VPN activity in the users' profile page:

Configuration du VPN

Une fois que la passerelle ATA reçoit les événements VPN et les envoie au Centre ATA pour traitement, celui-ci a besoin d’accéder à ti.ata.azure.com avec HTTPS (port 443) pour pouvoir résoudre les adresses IP externes dans les événements VPN de leur emplacement géographique.After the ATA Gateway receives the VPN events and sends them to the ATA Center for processing, the ATA Center needs access to ti.ata.azure.com using HTTPS (port 443) to be able to resolve the external IP addresses in the VPN events to their geographic location.

Voir aussiSee Also