Installare ATA - Passaggio 8

  • Articolo

Si applica a: Advanced Threat Analytics versione 1.9

« Passaggio 7passaggio 9 »

Passaggio 8. Configurare le esclusioni degli indirizzi IP e l'utente honeytoken

ATA consente l'esclusione di specifici indirizzi IP o utenti da diversi rilevamenti.

Ad esempio, un'esclusione di ricognizione DNS potrebbe essere uno scanner di sicurezza che usa DNS come meccanismo di analisi. L'esclusione consente ad ATA di ignorare tali scanner. Un esempio di esclusione pass-the-ticket è un dispositivo NAT.

ATA abilita anche la configurazione di un utente honeytoken, che viene usato come trap per gli attori malintenzionati: qualsiasi autenticazione associata a questo account (normalmente inattivo) attiva un avviso.

Per configurare questa operazione, seguire questa procedura:

  1. Nella console ATA fare clic sull'icona delle impostazioni e selezionare Configurazione.

    ATA configuration settings.

  2. In Rilevamento fare clic su Tag entità.

  3. In Honeytoken accounts (Account honeytoken) immettere il nome dell'account Honeytoken. Il campo Account honeytoken è ricercabile e visualizza automaticamente le entità nella rete.

    Screenshot showing Honeytoken account name entry.

  4. Fare clic su Esclusioni. Per ogni tipo di minaccia, immettere un account utente o un indirizzo IP da escludere dal rilevamento di queste minacce e fare clic sul segno più . Il campo Aggiungi entità (utente o computer) è ricercabile e riempie automaticamente le entità nella rete. Per altre informazioni, vedere Esclusione di entità dai rilevamenti

    Screenshot showing exclusion of entities from detection.

  5. Fare clic su Salva.

Congratulazioni, è stata distribuita correttamente Microsoft Advanced Threat Analytics.

Controllare la linea di tempo di attacco per visualizzare le attività sospette rilevate e cercare utenti o computer e visualizzare i profili.

ATA avvia immediatamente l'analisi delle attività sospette. Alcune attività, ad esempio alcune delle attività di comportamento sospette, non sono disponibili fino a quando ATA non ha avuto tempo per creare profili comportamentali (almeno tre settimane).

Per verificare che ATA sia attivo e in esecuzione e intercetta le violazioni nella rete, è possibile consultare il playbook di simulazione degli attacchi ATA.

« Passaggio 7passaggio 9 »

Vedi anche