Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Installare ATA - Passaggio 7Install ATA - Step 7

Passaggio 7.Step 7. Configurare le esclusioni degli indirizzi IP e dell'utente di tipo honeytokenConfigure IP address exclusions and Honeytoken user

ATA consente di escludere indirizzi IP o utenti specifici da un numero di rilevamenti.ATA enables the exclusion of specific IP addresses or users from a number of detections.

Ad esempio, un'esclusione di Esplorazione tramite DNS può essere costituita da uno strumento di analisi della sicurezza basato su DNS.For example, a DNS Reconnaissance exclusion could be a security scanner that uses DNS as a scanning mechanism. L'impostazione di questa esclusione permette ad ATA di ignorare strumenti di analisi di questo tipo.The exclusion helps ATA ignore such scanners. Ad esempio, un'esclusione Pass-the-Ticket può essere costituita da un dispositivo NAT.An example of a Pass-the-Ticket exclusion is a NAT device.

ATA consente inoltre la configurazione di un utente di tipo honeytoken, che viene usato per intercettare attori dannosi. Qualsiasi tipo di autenticazione associato a questo account (normalmente inattivo) attiverà un avviso.ATA also enables the configuration of a Honeytoken user, which is used as a trap for malicious actors - any authentication associated with this (normally dormant) account will trigger an alert.

Per configurare le esclusioni, seguire questa procedura:To configure the above, follow these steps:

  1. Dalla Console ATA, fare clic sull'icona delle impostazioni e selezionare Configuration (Configurazione).From the ATA Console, click on the settings icon and select Configuration.

    Impostazioni di configurazione di ATA

  2. In Detection (Rilevamento) fare clic su General (Generale).Under Detection, click General.

  3. In Honeytoken accounts (Account di tipo honeytoken) immettere il nome dell'account di tipo Honeytoken.Under Honeytoken accounts enter the Honeytoken account name. Nel campo Honeytoken accounts (Account di tipo honeytoken) è possibile eseguire la ricerca. Saranno visualizzate automaticamente le entità nella rete.The Honeytoken accounts field is searchable and will automatically display entities in your network.

    Honeytoken

  4. Fare clic su Exclusions (Esclusioni).Click Exclusions. Per ogni tipo di minaccia, immettere un account utente o un indirizzo IP da escludere dal rilevamento di queste minacce e fare clic sul segno +.For each type of threat, enter a user account or IP address to be excluded from the detection of these threats and click the plus sign. Nel campo Add Entity (Aggiungi entità) (utente o computer) è possibile eseguire la ricerca. Il campo verrà compilato automaticamente con le entità nella rete.The Add entity (user or computer) field is searchable and will autofill with entities in your network. Per altre informazioni, vedere Esclusione di entità dai rilevamentiFor more information, see Excluding entities from detections

    Esclusioni

Nota

Per trovare il SID di un utente, cercare l'utente nella Console ATA e quindi fare clic sulla scheda Account Info (Info account).To find the SID for a user, search for the user in the ATA Console, and then click on the Account Info tab.

  1. Fare clic su Save.Click Save.

La distribuzione di Microsoft Advanced Threat Analytics è stata completata.Congratulations, you have successfully deployed Microsoft Advanced Threat Analytics!

Controllare la sequenza temporale di attacco per visualizzare le attività sospette rilevate e per cercare utenti o computer e visualizzare i relativi profili.Check the attack time line to view detected suspicious activities and search for users or computers and view their profiles.

ATA inizierà immediatamente la ricerca di attività sospette.ATA will start scanning for suspicious activities immediately. Determinate attività, ad esempio alcune legate a comportamenti sospetti, non saranno disponibili fino a quando ATA non avrà creato profili comportamentali (minimo tre settimane).Some activities, such as some of the suspicious behavior activities, will not be available until ATA has had time to build behavioral profiles (minimum of three weeks).

Per verificare che ATA sia in esecuzione e intercetti le violazioni della rete, consultare la guida alla simulazione degli attacchi di ATA.To check that ATA is up and running and catching breaches in your network, you can check out the ATA attack simulation playbook.

Vedere ancheSee Also