Specificare ATA con le impostazioni del server di posta elettronica
Si applica a: Advanced Threat Analytics versione 1.9
ATA può inviare una notifica quando rileva un'attività sospetta. Affinché ATA sia in grado di inviare notifiche tramite posta elettronica, è prima necessario configurare le impostazioni del server di posta elettronica.
Nel server ATA Center fare clic sull'icona Microsoft Advanced Threat Analytics Management (Gestione di Microsoft Advanced Threat Analytics) sul desktop.
Immettere il nome utente e la password e fare clic su Accedi.
Selezionare l'opzione impostazioni sulla barra degli strumenti e selezionare Configurazione.
Nella sezione notifiche, in Server di posta, immettere le informazioni seguenti:
Campo Descrizione Valore Endpoint server SMTP (obbligatorio) Immettere il nome di dominio completo del server SMTP e, facoltativamente, modificare il numero di porta (impostazione predefinita 25). Ad esempio:
smtp.contoso.comSSL Attivare o disattivare SSL se il server SMTP richiede SSL. Nota: se si abilita SSL, è necessario modificare anche il numero di porta. Il valore predefinito è disabilitato Authentication Abilitare se il server SMTP richiede l'autenticazione. Nota: se si abilita l'autenticazione, è necessario specificare un nome utente e una password di un account di posta elettronica autorizzato a connettersi al server SMTP. Il valore predefinito è disabilitato Invia da (obbligatorio) Immettere un indirizzo di posta elettronica da cui verrà inviato il messaggio di posta elettronica. Ad esempio:
ATA@contoso.com
Specificare ATA con le impostazioni del server Syslog
ATA può inviare una notifica quando rileva un'attività sospetta inviando la notifica al server Syslog. Se si abilitano le notifiche syslog, è possibile impostarle come segue.
Prima di configurare le notifiche Syslog, rivolgersi all'amministratore SIEM per trovare le informazioni seguenti:
FQDN o indirizzo IP del server SIEM
Porta in cui il server SIEM è in ascolto
Quale trasporto usare: UDP, TCP o TLS (Syslog protetto)
Formato in cui inviare i dati RFC 3164 o 5424
Nel server ATA Center fare clic sull'icona Microsoft Advanced Threat Analytics Management (Gestione di Microsoft Advanced Threat Analytics) sul desktop.
Immettere il nome utente e la password e fare clic su Accedi.
Selezionare l'opzione impostazioni sulla barra degli strumenti e selezionare Configurazione.
Nella sezione Notifiche selezionare il server Syslog e immettere le informazioni seguenti:
Campo Descrizione Endpoint del server Syslog FQDN del server Syslog e, facoltativamente, modificare il numero di porta (impostazione predefinita 514)
È possibile configurare un solo endpoint Syslog.Trasporto Può essere UDP, TCP o TLS (Syslog protetto) Formattazione Questo è il formato usato da ATA per inviare eventi al server SIEM, RFC 5424 o RFC 3164.