Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Установка ATA. Шаг 7Install ATA - Step 7

Шаг 7.Step 7. Настройка исключений IP-адресов и пользователя HoneytokenConfigure IP address exclusions and Honeytoken user

В ATA можно исключать из обнаружения определенные IP-адреса или пользователей.ATA enables the exclusion of specific IP addresses or users from a number of detections.

Например, исключением исследования DNS является сканер безопасности, использующий DNS в качестве механизма сканирования.For example, a DNS Reconnaissance exclusion could be a security scanner that uses DNS as a scanning mechanism. Благодаря этому исключению ATA игнорирует такие сканеры.The exclusion helps ATA ignore such scanners. Примером исключения Pass-the-Ticket является устройство NAT.An example of a Pass-the-Ticket exclusion is a NAT device.

Кроме того, ATA позволяет настраивать пользователя Honeytoken, который играет роль ловушки для вредоносных субъектов: в связи с любой аутентификацией, которая относится к этой (обычно неактивной) учетной записи, срабатывает оповещение.ATA also enables the configuration of a Honeytoken user, which is used as a trap for malicious actors - any authentication associated with this (normally dormant) account will trigger an alert.

Чтобы настроить описанное выше, выполните такие действия:To configure the above, follow these steps:

  1. В консоли ATA щелкните значок параметров и выберите пункт Конфигурация.From the ATA Console, click on the settings icon and select Configuration.

    Параметры конфигурации ATA

  2. На странице Обнаружение выберите вкладку Общие.Under Detection, click General.

  3. В разделе Учетные записи Honeytoken введите имя учетной записи Honeytoken.Under Honeytoken accounts enter the Honeytoken account name. Поле "Учетные записи Honeytoken" поддерживает поиск, и в нем автоматически отображаются сущности, имеющиеся в вашей сети.The Honeytoken accounts field is searchable and will automatically display entities in your network.

    Honeytoken

  4. Щелкните Исключения.Click Exclusions. Для каждого типа угрозы введите учетную запись пользователя или IP-адрес, которые следует исключить при обнаружении этих угроз, а затем щелкните знак плюс.For each type of threat, enter a user account or IP address to be excluded from the detection of these threats and click the plus sign. Поле Добавить сущность (пользователя или компьютер) поддерживает поиск и автоматически заполняется сущностями из вашей сети.The Add entity (user or computer) field is searchable and will autofill with entities in your network. См. дополнительные сведения об исключении сущностей из результатов обнаружения.For more information, see Excluding entities from detections

    Исключения

Примечание

Чтобы найти идентификатор безопасности пользователя, найдите пользователя в консоли ATA и выберите вкладкуСведения об учетной записи.To find the SID for a user, search for the user in the ATA Console, and then click on the Account Info tab.

  1. Нажмите кнопку Сохранить.Click Save.

На этом развертывание Microsoft Advanced Threat Analytics завершено.Congratulations, you have successfully deployed Microsoft Advanced Threat Analytics!

Просмотрите временную шкалу атак, чтобы увидеть обнаруженные подозрительные действия, найти пользователей или компьютеры и изучить их профили.Check the attack time line to view detected suspicious activities and search for users or computers and view their profiles.

В ATA сразу же начнется проверка на наличие подозрительных действий.ATA will start scanning for suspicious activities immediately. Некоторые действия, например подозрительные действия, связанные с поведением, будут недоступны, пока ATA не создаст профили поведения (минимум три недели).Some activities, such as some of the suspicious behavior activities, will not be available until ATA has had time to build behavioral profiles (minimum of three weeks).

Чтобы проверить, запущена ли служба ATA и выявляет ли она бреши в вашей сети, см. Сборник тренировочных заданий по моделированию атаки.To check that ATA is up and running and catching breaches in your network, you can check out the ATA attack simulation playbook.

См. такжеSee Also